NORA Aanpak en patronen voor informatiebeveiliging
Uit IBpedia
Inhoud |
Voorwoord
Deze pagina bestaat uit twee delen. Deel I beschrijft de aanpak, op basis waarvan een set van IB-patronen wordt ontwikkeld door een community, gefaciliteerd door het PvIB. Het werkdocument van deze community is opgenomen in Deel II van dit document. De versie van het werkdocument is hierboven aangegeven en het versienummer per patroon is aangegeven in Tabel 1.
Voor vragen over deze pagina kunt u contact opnemen met jaap.vanderveen@gmail.com
Deel I Architectuuraanpak Informatiebeveiliging
Voor u ligt deel I van een tweedelig document. Deel I beschrijft de architectuuraanpak informatiebeveiliging. Deel II bevat het werkdocument van de patronen, die op basis van het NORA katern Informatiebeveiliging [1] zijn ontwikkeld. In de architectuuraanpak vindt u een uitwerking van de methode voor het samenstellen van IB-partronen voor ICT, de doelstelling, de doelgroep en het beoogde abstractieniveau.
Als context voor de patronen is in Hoofdstuk 3 het Beschouwingsmodel Zonering uitgewerkt. Met behulp van dit model kunnen IB-patronen in het ICT-landschap van een organisatie gepositioneerd worden.
Inleiding
Deel I van dit document beschrijft de aanpak waarmee invulling kan worden gegeven aan het analyseren, adviseren en toetsen van informatiebeveiligingsaspecten in architectuurmodellen In een deze aanpak wordt een verbinding gelegd tussen architectuurmodellen en een standaard model voor IB-functies met het daarbij behorende normenkader.
De hier beschreven aanpak is gebaseerd op de NORA, de Nederlandse Overheid Referentie Architectuur. In de NORA zijn de architectuurprincipes voor informatiebeveiliging in een apart katern uitgewerkt, zie [1]. Voor meer informatie over de NORA in het algemeen wordt verwezen naar [2]. Architectuurmodellen voor informatiebeveiliging richten zich meestal op de ICT-oplossingen, die in een organisatie worden gekozen voor beveiligingsfuncties. In het NORA katern informatiebeveiliging wordt uitgegaan van informatiebeveiliging als kwaliteitsaspect.
Het normenkader voor IB-functies wordt als document onderhouden vanuit de NORA en is daar bekend onder de titel Best Practice: Normen Informatiebeveiliging ICT-voorzieningen, zie [3]. In dat document is een kruisverwijzing opgenomen met de Code voor Informatiebeveiliging (NEN-ISO/IEC 27002:2007 nl, hierna de Code genoemd), voor zover die van toepassing is. Dit NORA normenkader kent drie abstractieniveaus doelstelling, maatregel en implementatierichtlijn conform de Code.
Deze architectuuraanpak wordt verder uitgebouwd en geconcretiseerd met IB-patronen, die als architectuurmodules kunnen worden gezien. In het volgende artikel gaan we daar verder op in. De patronen volgen in principe de abstractieniveaus van de normenset.
Modelleringaanpak
Voordat de verschillende stappen in de modelleringaanpak worden uitgelegd, geeft Figuur 1 een overzicht van deze stappen.
Figuur 1 NORA aanpak architectuur IB
De NORA IB-principes voor ICT-voorzieningen zijn per IB-functie geformuleerd en nader geconcretiseerd in een Model IB-functies. Voor de IB-functies zijn normen uitgewerkt [3].
Modellering
Omdat beveiliging een aspect is van de bedrijfsvoering, hebben we een objectmodel nodig om te laten zien waar de IB-functies werkzaam moeten zijn. Architectuurplaten zoals objectmodellen zijn echter niet zonder uitleg geschikt om IB-functies op te projecteren. De reden daarvan is dat beveiliging als aspect integraal deel uitmaakt van het ICT-ontwerp. "Het zit overal in". Beveiliging komt in het ICT-ontwerp voor als afzonderlijke objecten (zowel hardware als software), maar ook als configuratie-item van een ander object. Om die verwevenheid met de ICT zinvol af te kunnen beelden, maken we vanuit de bedrijfsobjecten een beschouwingsmodel, waarin een belangrijke ordening voor ICT-beveiliging is verwerkt: de netwerkzonering (als IB-functie).
Tussen dit beschouwingsmodel en de IB-functies worden vervolgens relaties gelegd, waaruit een architectuur voor Informatiebeveiliging kan ontstaan. Voor een globaal overzicht worden IB-functies op de gehele architectuur geprojecteerd. Voor meer details worden IB-patronen gebruikt.
Een IB-patroon is een abstractie van een probleem en oplossing binnen een bepaalde context, waardoor de oplossing algemener inzetbaar wordt. Patronen zijn te beschouwen als bouwstenen op architectuurniveau. De hier geschetste architectuuraanpak wordt momenteel verder uitgebouwd door het modelleren van veel voorkomende beveiligingssituaties in IB-patronen. De focus van de IB-patronen is gericht op ICT. De doelgroep van patronen is de architect, ontwerper, specialist en IT-auditor, die deze beknopte beschrijvingen gebruiken als gereedschap voor het maken van ICT ontwerpen of het toetsen daarvan.
Een IB-architectuur is een ontwerp, dat voor het aspect Informatiebeveiliging de samenhang duidelijk maakt tussen producten, processen, organisatie, informatievoorziening en infrastructuur. De focus van de hier beschreven aanpak ligt op ICT voorzieningen. Met de verschillende views van die samenhang heeft de IB-architectuur een belangrijke communicatierol richting andere architecturen van organisaties. De IB-functies en de IB-normen spelen daarbij een centrale rol.
De hier geschetste modelleringaanpak wordt momenteel verder uitgebouwd door het modelleren van veel voorkomende beveiligingssituaties in Deel II van dit document.
Model IB-functies
Het referentiekader voor de modelleringaanpak wordt gevormd door het model IB-functies van Figuur 2, dat is bedoeld als voertuig om te ordenen en te verbinden. Het model is een NORA- doorontwikkeling van ISO-NEN 7498-2 OSI-Basisreferentiemodel - Beveiligingsarchitectuur 1991.
Een IB-functie is een logische groepering van geautomatiseerde activiteiten, die op een bepaald beveiligingsdoel is gericht. In samenhang worden de acht afgebeelde beveiligingsfuncties dekkend geacht voor de informatiebeveiliging van ICT voorzieningen (zwarte functieblokken).
In het architectuurmodel zijn deze IB-functies geprojecteerd op de criteria voor informatiebeveiliging: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid. In samenhang vormen ze de WAT-laag van het model.
Figuur 2 Model IB-functies
De IB-functies met bijbehorende mechanismen en fysieke objecten zijn voor de eenvoud van afbeelding op de criteria geprojecteerd, die ze primair ondersteunen, maar de functies voor integriteit en vertrouwelijkheid dragen bijvoorbeeld ook bij aan beschikbaarheid. Per IB-functie bestaat een principe, definitie, toelichting en motivering. Voor de NORA zijn deze geformuleerd in best practice [3].
De IB-mechanismen vormen de HOE-laag en zijn technische concepten (technieken) die het WAT van de IB-functies invullen. Omdat techniek zich steeds verder ontwikkelt, illustreert de figuur slechts een aantal bekende voorbeelden. De IB-mechanismen zijn de maatregelen waarmee IB-functies worden ingevuld. In het NORA-katern [1] worden maatregelen Implicaties genoemd. Elke maatregel kent één of meerdere implementatierichtlijnen; zie [3].
De fysieke IB-objecten vormen de WAARMEE-laag. Dit zijn ICT-onderdelen, die de IB-mechanismen daadwerkelijk uitvoeren. Ze kunnen onderdeel zijn van een besturingsprogramma of applicatie, maar worden ook als afzonderlijke fysieke modules uitgevoerd. Ook hier zijn slechts enkele bekende voorbeelden getekend. Hoewel referentiearchitecturen de HOE en WAARMEE laag meestal niet beschrijven, is dat hier wel gedaan om duidelijk te maken hoe en waarmee beveiligingsfuncties uiteindelijk werkzaam zijn in de ICT.
In de beschrijving die nu volgt is aangegeven welke modellen we gebruiken om informatiebeveiliging van infrastructuren inzichtelijk te maken, zodat we daarmee IB-patronen kunnen samenstellen
Beschouwingsmodel NORA keten
Het beschouwingsmodel is een basisplaat, waarmee in grote lijnen aangegeven wordt hoe IB- functies samenhangen met ICT-voorzieningen. Een beschouwingsmodel ontstaat vanuit een objectmodel van bedrijfsfuncties. Figuur 3 geeft aan hoe een beschouwingsmodel van bijvoorbeeld een NORA keten, ontstaat vanuit het objectmodel "Basisarchitectuur overheidsorganisatie", zie [2]. Op de objecten van deze basisarchitectuur worden de te beveiligen zones geprojecteerd met koppelvlakken daartussen. De koppelvlakken zijn voor de herkenbaarheid genummerd. De bouwstenen van dit beschouwingsmodel zijn de centrale Overheidsdiensten t.b.v. overheidsdienstverleners. OSB staat voor Overheid Service Bus.
Figuur 3 Beschouwingsmodel van een NORA keten
Samengevat zet een beschouwingsmodel de verschillende bedrijfsobjecten op een zodanige manier neer, dat het aangrijpingspunt van IB-functies in de view kunnen worden aangegeven. In het overzichtsmodel laten we vervolgens de IB-functies zien.
Overzichtsmodel-IB
Het overzichtsmodel ontstaat door op het beschouwingsmodel de relevante IB-functies af te beelden met de bijbehorende IB-mechanismen. De daarmee verkregen schets van functies en uitvoerende mechanismen is niet uitputtend, maar dient voor het verkrijgen van overzicht en inzicht in de plek waar IB werkzaam is in bedijfsketens en infrastructuren. Voor de eenvoud beperken we de scope van het overzichtsmodel bijvoorbeeld tot het afbeelden van Integriteit en Vertrouwelijkheid voor een bepaalde infrastructuur, of alleen voor het criterium Controleerbaarheid. Op dit globale niveau worden de fysieke IB-objecten weggelaten. De IB-functie continuïteitsvoorzieningen blijkt in de praktijk maar ten dele te kunnen worden afgebeeld in overzichtsmodellen. Daarvoor is een gedetailleerder en meer fysiek georiënteerd model nodig, zoals een configuratieschema.
Figuur 4 Overzichtsmodel voor Integriteit en vertrouwelijkheid van een NORA keten
Als voorbeeld van een overzichtsmodel geeft Figuur 4 een view op de IB-functies voor de criteria Integriteit en Vertrouwelijkheid in een NORA-keten. Voor betrouwbare communicatie tussen burger en overheid is een vertrouwd toegangspad gewenst tot het portaal van de overheid. Daarvoor is encryptie gebruikt. Vanaf het portaal tot aan het interne domein van de ketenpartner is er sprake van een besloten netwerk. Ook dit kan als een vertrouwd toegangspad worden beschouwd, mede door de werking van de andere in dit pad gepositioneerde IB-functies. Merk op dat de functies Zonering en Filtering op verschillende plaatsen in de keten door IB-mechanismen op een andere manier wordt ingevuld. De positionering van geprogrammeerde controles kan in de keten maar beperkt zichtbaar worden gemaakt als gevolg van de verwevenheid daarvan met applicaties (hier Dienst genoemd). Dit geldt in zekere zin ook voor alle andere mechanismen.
Samengevat zit kracht van deze architectuurmodellen niet in de volledigheid van de views, maar ze pretenderen juist een globaal inzicht te geven, maar wel met voldoende diepgang om de posities waar de beveiligingsfuncties werkzaam zijn duidelijk te maken. De volledigheid en de nodige details moeten worden aangebracht in de onderliggende ontwerpen van applicaties en infrastructuur.
Figuur 5 Overzichtsmodel voor controleerbaarheid van een NORA-keten
Figuur 5 laat zien welke IB-functies voor Controleerbaarheid werkzaam zijn in een NORA-keten. IB-mechanismen voor integriteit en vertrouwelijkheid worden ingesteld en beheerd door afzonderlijke tools of met tooling die in de ICT-voorzieningen zelf is geïntegreerd.
Beveiligingsgebeurtenissen die in de ICT-keten hebben plaatsgevonden, worden vastgelegd voor controledoeleinden. Dit vastleggen (loggen) vereist aparte infrastructurele voorzieningen. Wanneer drempelwaarden van bijvoorbeeld een firewall, IDS of virusscanner worden overschreden, moet een mechanisme zorgdragen voor alarmering naar een systeembeheerder of een CERT<ref>CERT = Computer Emergency Response Team</ref>. Evenals geldt voor de criteria Integriteit en Vertrouwelijkheid, worden voor Controleerbaarheid door de keten heen steeds dezelfde functies toegepast, maar de toegepaste mechanismen en objecten kunnen verschillen.
IB-patronen
Definitie:
Een patroon is een abstractie van een probleem en oplossing binnen een bepaalde context waardoor de oplossing algemener inzetbaar wordt.
IB-patronen helpen de ICT-architect en ontwerper, maar ook de auditor om te doorgronden op welke wijze beveiligingsproblemen in de ICT opgelost kunnen worden of opgelost zijn.
Het beschrijvingsmodel van een patroon bevat volgens de Open Group<ref>Open Group: Technical Guide for Security Design Patterns, April 2004, [4]</ref> de onderstaande rubrieken,
waaraan de rubrieken:(IB)- Criteria, Normen en Implicaties zijn toegevoegd, om vanuit de eisen de verbinding te kunnen leggen met functionaliteit en techniek. De patroonrubrieken zijn in totaal:
Naam, Criteria, Context, Probleem, Oplossing, Afwegingen, Voorbeelden, Implicaties, Gerelateerde patronen, Normen
Patronen voor Informatiebeveiliging kunnen in een aantal gevallen hiërarchisch worden gerubriceerd. We onderkennen daarbij patronen die een oplossing bieden voor één specifiek probleem (b.v. Digitale Handtekening), maar ook patronen die een bepaald thema beschrijven, zoals b.v. Identity & Access Management (IAM).
Elk thema kan daarbij bestaan uit verschillende specifieke patronen. We verwachten dat er op termijn meer soorten typen en groeperingen van patronen zullen ontstaan.
In de vakliteratuur; o.a. de Open Group, zijn een aantal patroonbeschrijvingen ("security patterns") beschikbaar, maar daarin ontbreekt de relatie met de normatiek. Doordat in deze patroonbeschrijvingen de verbinding wordt gemaakt met een normenset, wordt verwacht dat deze PvIB patronen praktisch toepasbaar zullen zijn.
Deel II Patronen Informatiebeveiliging
Inleiding
In Deel II worden Patronen Informatiebeveiliging uitgewerkt. Dit deel moet worden gezien als een groeidocument waarin de PvIB patronencommunity successievelijk steeds meer patronen hoopt uit te werken en waarbij op basis van commentaren van anderen en eigen inzichten bestaande patronen zullen worden verbeterd. Per patroon zal dan ook de status en het versienummer worden bijgehouden in een centrale tabel, die tevens als inhoudsopgave dienst doet.
Als deels vaste context voor de patronen is in hoofdstuk 3 het beschouwingsmodel zonering uitgewerkt. Met behulp van dit model worden de patronen in het ICT-landschap van een organisatie gepositioneerd.
Status en versie van de patronen
Onderstaande tabellen geven de status en de actuele versies weer van de patronen op dit document.
De onderstaande ontwikkelfasen zijn gehanteerd, waarbij alleen de review en definitieve versies in dit document zijn opgenomen.
- Idee; een suggestie voor een te ontwikkelen patroon vanuit de PvIB patronencommunity
- Aanzet; dit is een basisschets voor een verder te ontwikkelen patroon
- Review; patronen die zijn klaar voor review binnen de community.
Tabel 1 Status en versie Patronen
| § |
InhoudDe onderstaande patronen zijn ontwikkeld door de Nederlandse IB patronen gemeenschap, gebaseerd op het Template van een patroon. | Status | Versie |
| 3 | Beschouwingsmodel Zonering | Definitief | 1.0 |
| 4 | Logging patroon | Definitief | 1.0 |
| 5 | PKI patroon | Definitief | 1.0 |
| 6 | Elektronische Handtekening patroon | Definitief | 1.0 |
| 7 | Secure E-mail patroon | Concept | 0.9 |
| 8 | Symmetrische encryptie patroon | Concept | 0.5 |
| 9 | Koppelvlakken patroon | Concept | 0.1 |
Tabel 2 Kandidaat Patronen voor ontwikkeling
*) deze patronen worden ontwikkeld door netwerkspecialisten van een centraal overheidsproject.
Gerelateerde IBpedia artikelen
Nederlandstalig:
- Patronen voor informatiebeveiliging
- Artikel patronen voor informatiebeveiliging
- Community voor beveiligingspatronen (security patterns) op basis van NORA 3.0 model
- Boekbespreking over Security Patterns: Integrating Security and Systems Engineering
Engelstalig:
Externe links
Nederlandstalig:
- NORA katern Informatiebeveiliging
- NORA katern Strategie
- NORA best practice Normen Informatiebeveiliging ICT-voorzieningen
Engelstalig:
