Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Welke cryptografische maatregelen moeten en juridisch genomen bij het ontwikkelen van EPD systeem?
29-03-2021, 12:44 door Anoniem, 16 reacties
Welke cryptografische maatregelen moeten er juridisch genomen bij het ontwikkelen van een EPD systeem?
Reacties (16)
Wat heb je zelf al opgezocht? De eerste hit als ik via Google ga zoeken op “cryptografische eisen inrichting epd”:
https://2019.rejo.zenger.nl/files/70113.pdf
Het document bevat zo te zien ook generieke eisen die je zelf kunt vertalen naar cryptografische building blocks. Welke vragen blijven precies over na je eigen zoektocht?
https://2019.rejo.zenger.nl/files/70113.pdf
Het document bevat zo te zien ook generieke eisen die je zelf kunt vertalen naar cryptografische building blocks. Welke vragen blijven precies over na je eigen zoektocht?
Door Anoniem: NEN7510
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Door Anoniem: Wat heb je zelf al opgezocht? De eerste hit als ik via Google ga zoeken op “cryptografische eisen inrichting epd”:
https://2019.rejo.zenger.nl/files/70113.pdf
Het document bevat zo te zien ook generieke eisen die je zelf kunt vertalen naar cryptografische building blocks. Welke vragen blijven precies over na je eigen zoektocht?
https://2019.rejo.zenger.nl/files/70113.pdf
Het document bevat zo te zien ook generieke eisen die je zelf kunt vertalen naar cryptografische building blocks. Welke vragen blijven precies over na je eigen zoektocht?
Ik kan mij voorstellen dat wanneer dingen over het web gaan bijvoorbeeld dat je heel specifiek verschillende keuzes kunt maken. Mag ik zelf kiezen welke dat zijn? Of zijn er vanuit de overheid ook specificaties dat ik bijvoorbeeld expliciet TLS 1.3 moet gebruiken bijvoorneeld en geen 1.0 etc.
En op welke levels/domeinen raden jullie mij aan om cryptografische maatregelen te nemen.
Door Anoniem:
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Door Anoniem: NEN7510
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Het staat in de richtlijn!
Door Anoniem:
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Door Anoniem: NEN7510
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Zie ISO 27001/27002.
Door Anoniem:
Ik kan mij voorstellen dat wanneer dingen over het web gaan bijvoorbeeld dat je heel specifiek verschillende keuzes kunt maken. Mag ik zelf kiezen welke dat zijn? Of zijn er vanuit de overheid ook specificaties dat ik bijvoorbeeld expliciet TLS 1.3 moet gebruiken bijvoorneeld en geen 1.0 etc.
En op welke levels/domeinen raden jullie mij aan om cryptografische maatregelen te nemen.
Door Anoniem: Wat heb je zelf al opgezocht? De eerste hit als ik via Google ga zoeken op “cryptografische eisen inrichting epd”:
https://2019.rejo.zenger.nl/files/70113.pdf
Het document bevat zo te zien ook generieke eisen die je zelf kunt vertalen naar cryptografische building blocks. Welke vragen blijven precies over na je eigen zoektocht?
https://2019.rejo.zenger.nl/files/70113.pdf
Het document bevat zo te zien ook generieke eisen die je zelf kunt vertalen naar cryptografische building blocks. Welke vragen blijven precies over na je eigen zoektocht?
Ik kan mij voorstellen dat wanneer dingen over het web gaan bijvoorbeeld dat je heel specifiek verschillende keuzes kunt maken. Mag ik zelf kiezen welke dat zijn? Of zijn er vanuit de overheid ook specificaties dat ik bijvoorbeeld expliciet TLS 1.3 moet gebruiken bijvoorneeld en geen 1.0 etc.
En op welke levels/domeinen raden jullie mij aan om cryptografische maatregelen te nemen.
Houd je hier maar aan, dan zit je m.i. safe: https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1. De initiële vraag vermeldt trouwens “juridisch”. Wat die wettelijke eisen zijn wordt hiermee niet beantwoord, maar daar ben je zo te zien ook niet naar op zoek? Wat bedoel je trouwens met “levels”?
Door Anoniem:
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Tjonge, zie je dit forum aan voor een zoekmachine waar automatisch de juiste zoekresultaten uitgespuugd worden? Dit is een plek waar mensen antwoord geven die dan ook moeite in die antwoorden moeten steken. Die raken echt niet gemotiveerd om die moeite te doen als je zelf overduidelijk geen enkele moeite ervoor doet.Door Anoniem: NEN7510
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Het is ongetwijfeld de bedoeling dat je zelf dingen uitzoekt bij je studie. En als je later als werknemer of zzp'er niet vreselijk door de mand wilt vallen dan zal je op je werk ook in staat moeten zijn om zelf dingen uit te zoeken. Stop dus met vragen naar voorgekauwde antwoorden van anderen en ga je eens afvragen hoe je zelf informatie kan vinden.
Door Anoniem: Lees je studieboek , en vraag advies aan je studiebegeleider.
Generatie kloofje, ik vind het knap van je als je ze kan bereiken op school.Door Anoniem:
Zie ISO 27001/27002.
Door Anoniem:
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Door Anoniem: NEN7510
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Zie ISO 27001/27002.
Vergat ik te melden:
Het doet me denken aan de oude grap van de blauwe dns records die op zijn. Het hulpje wordt er op uitgestuurd. :P
Door Anoniem:
Door Anoniem: Lees je studieboek , en vraag advies aan je studiebegeleider.
Generatie kloofje, ik vind het knap van je als je ze kan bereiken op school.Dat studieboek - of studie-pdf op de ipad is echt wel bereikbaar.
Begin anders maar met google (of duckduckgo) - maar laat maar zien dat je eerst zelf gewerkt hebt .
(dat deden docenten en studiebegeleiders trouwens ook , vragen hoeveer je zelf gekomen was).
Gokje :
10-11 : college
11-12 : proberen 'studiemaatje' te vinden die "samen" het werk wil doen, maar die kennen 'm inmiddels.
12-12:40 : lunch
12:44 : gooit het huiswerk op het forum.
Door Anoniem:
Vergat ik te melden:
Het doet me denken aan de oude grap van de blauwe dns records die op zijn. Het hulpje wordt er op uitgestuurd. :P
Door Anoniem:
Zie ISO 27001/27002.
Door Anoniem:
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Door Anoniem: NEN7510
Welke cryptografische maatregelen moet je volgens de NEN7510 nemen?
Zie ISO 27001/27002.
Vergat ik te melden:
Het doet me denken aan de oude grap van de blauwe dns records die op zijn. Het hulpje wordt er op uitgestuurd. :P
Net zoals Jack Spijkerman - droogknoeper
https://www.youtube.com/watch?v=lqWSFpnMb-c
Houd je hier maar aan, dan zit je m.i. safe: https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1. De initiële vraag vermeldt trouwens “juridisch”. Wat die wettelijke eisen zijn wordt hiermee niet beantwoord, maar daar ben je zo te zien ook niet naar op zoek? Wat bedoel je trouwens met “levels”?
Met levels bedoel ik:
Je kan alles cryptografisch versleuten:
Je netwerk, data, applicatie en daar bestaan.
De NEN7510 etc geven aan dat je cryptografische maatregelen dient te nemen en de wet ook volgens mij.
Dan heb je nog richtlijnen maar je hebt geen eenduidig procedure/inrichting volgens mij van als je dat volgt dan ben je er.
Klopt dat?
Door Anoniem:Dan heb je nog richtlijnen maar je hebt geen eenduidig procedure/inrichting volgens mij van als je dat volgt dan ben je er.
Klopt dat?
Klopt dat?
Ja, dat klopt. Het heeft voornamelijk te maken met het idee dat een "one size fits all" niet bestaat in informatiebeveiliging, doordat het threat model per situatie verschillend is, en ook nog eens permanent aan verandering onderhevig is. Dat is ook de reden dat je v.w.b. informatiebeveiliging permanent in een PDCA cyclus zit. Zie b.v. het NIST cyber framework dat hier een mogelijke invulling aan geeft: https://www.nist.gov/cyberframework.
De vraag is: waar beveilig je je tegen? Script kiddies? State-sponsored hackers? Netwerkaanvallen? Fysieke aanvallen? Integriteitsproblemen? Onbetrouwbare tussenpersonen? Je zult je threat model duidelijk moeten krijgen, met in het achterhoofd dat cryptografische maatregelen één klasse is van vele klassen met mitigerende maatregelen die getroffen kunnen worden. Toegegeven: het is voor veel requirements die je opstelt min of meer een vereiste om goede crypto te hebben, maar zeker niet voor alle maatregelen. Ik weet te weinig van wetgeving af om te zeggen dat specifieke cryptografische maatregelen vanuit een juridisch oogpunt genomen moeten worden. Wat ik wel weet is dat de wetgever snel vervalt in termen als "beheerste uitvoering van bedrijfsprocessen". Daar kan crypto zeker invulling aan geven. De recommended practices (zie de NCSC URL die ik eerder gaf) kunnen vervolgens sterk sturend zijn.
Let erop dat technische maatregelen zoals cryptografische algoritmen, sleutellengten en protocollen slechts het topje van de ijsberg zijn. Denk aan het PPT model: People, Processes, Technology. Je kunt je blindstaren op de techniek, maar dat is vaak maar 10% - 20% van de uiteindelijke oplossing. Alles kan om zeep worden geholpen door onkundige gebruikers, slechte awareness, dubbelzinnige of onwerkbare processen, afwezige documentatie, legacy ellende etc. Prima, die aandacht voor de juiste crypto, maar meer dan een puzzelstuk in het grote geheel is het niet.
Laatste opmerking: stel een threat model van het EDP op, en bekijk welke threats gemitigeerd kunnen worden door welke cryptografische oplossingen. De eerste Google hit geeft me https://www.researchgate.net/publication/234822392_Security_in_the_dutch_electronic_patient_record_system, dat een begin kan zijn. En daar zul je het mee moeten doen :-).
Door Overcome:
Ja, dat klopt. Het heeft voornamelijk te maken met het idee dat een "one size fits all" niet bestaat in informatiebeveiliging, doordat het threat model per situatie verschillend is, en ook nog eens permanent aan verandering onderhevig is. Dat is ook de reden dat je v.w.b. informatiebeveiliging permanent in een PDCA cyclus zit. Zie b.v. het NIST cyber framework dat hier een mogelijke invulling aan geeft: https://www.nist.gov/cyberframework.
De vraag is: waar beveilig je je tegen? Script kiddies? State-sponsored hackers? Netwerkaanvallen? Fysieke aanvallen? Integriteitsproblemen? Onbetrouwbare tussenpersonen? Je zult je threat model duidelijk moeten krijgen, met in het achterhoofd dat cryptografische maatregelen één klasse is van vele klassen met mitigerende maatregelen die getroffen kunnen worden. Toegegeven: het is voor veel requirements die je opstelt min of meer een vereiste om goede crypto te hebben, maar zeker niet voor alle maatregelen. Ik weet te weinig van wetgeving af om te zeggen dat specifieke cryptografische maatregelen vanuit een juridisch oogpunt genomen moeten worden. Wat ik wel weet is dat de wetgever snel vervalt in termen als "beheerste uitvoering van bedrijfsprocessen". Daar kan crypto zeker invulling aan geven. De recommended practices (zie de NCSC URL die ik eerder gaf) kunnen vervolgens sterk sturend zijn.
Let erop dat technische maatregelen zoals cryptografische algoritmen, sleutellengten en protocollen slechts het topje van de ijsberg zijn. Denk aan het PPT model: People, Processes, Technology. Je kunt je blindstaren op de techniek, maar dat is vaak maar 10% - 20% van de uiteindelijke oplossing. Alles kan om zeep worden geholpen door onkundige gebruikers, slechte awareness, dubbelzinnige of onwerkbare processen, afwezige documentatie, legacy ellende etc. Prima, die aandacht voor de juiste crypto, maar meer dan een puzzelstuk in het grote geheel is het niet.
Laatste opmerking: stel een threat model van het EDP op, en bekijk welke threats gemitigeerd kunnen worden door welke cryptografische oplossingen. De eerste Google hit geeft me https://www.researchgate.net/publication/234822392_Security_in_the_dutch_electronic_patient_record_system, dat een begin kan zijn. En daar zul je het mee moeten doen :-).
Door Anoniem:Dan heb je nog richtlijnen maar je hebt geen eenduidig procedure/inrichting volgens mij van als je dat volgt dan ben je er.
Klopt dat?
Klopt dat?
Ja, dat klopt. Het heeft voornamelijk te maken met het idee dat een "one size fits all" niet bestaat in informatiebeveiliging, doordat het threat model per situatie verschillend is, en ook nog eens permanent aan verandering onderhevig is. Dat is ook de reden dat je v.w.b. informatiebeveiliging permanent in een PDCA cyclus zit. Zie b.v. het NIST cyber framework dat hier een mogelijke invulling aan geeft: https://www.nist.gov/cyberframework.
De vraag is: waar beveilig je je tegen? Script kiddies? State-sponsored hackers? Netwerkaanvallen? Fysieke aanvallen? Integriteitsproblemen? Onbetrouwbare tussenpersonen? Je zult je threat model duidelijk moeten krijgen, met in het achterhoofd dat cryptografische maatregelen één klasse is van vele klassen met mitigerende maatregelen die getroffen kunnen worden. Toegegeven: het is voor veel requirements die je opstelt min of meer een vereiste om goede crypto te hebben, maar zeker niet voor alle maatregelen. Ik weet te weinig van wetgeving af om te zeggen dat specifieke cryptografische maatregelen vanuit een juridisch oogpunt genomen moeten worden. Wat ik wel weet is dat de wetgever snel vervalt in termen als "beheerste uitvoering van bedrijfsprocessen". Daar kan crypto zeker invulling aan geven. De recommended practices (zie de NCSC URL die ik eerder gaf) kunnen vervolgens sterk sturend zijn.
Let erop dat technische maatregelen zoals cryptografische algoritmen, sleutellengten en protocollen slechts het topje van de ijsberg zijn. Denk aan het PPT model: People, Processes, Technology. Je kunt je blindstaren op de techniek, maar dat is vaak maar 10% - 20% van de uiteindelijke oplossing. Alles kan om zeep worden geholpen door onkundige gebruikers, slechte awareness, dubbelzinnige of onwerkbare processen, afwezige documentatie, legacy ellende etc. Prima, die aandacht voor de juiste crypto, maar meer dan een puzzelstuk in het grote geheel is het niet.
Laatste opmerking: stel een threat model van het EDP op, en bekijk welke threats gemitigeerd kunnen worden door welke cryptografische oplossingen. De eerste Google hit geeft me https://www.researchgate.net/publication/234822392_Security_in_the_dutch_electronic_patient_record_system, dat een begin kan zijn. En daar zul je het mee moeten doen :-).
Bedankt voor je uitleg!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.