Architectuur en Security

juni 2009 nummer 4
INFORMATIEBEVEILIGING
Special: Architectuur en Security
Open Security Architecture:

een open source architectuur
Beveiligingsarchitectuur
in Jericho-stijl
Beveiliging en
architectuurraamwerken:
de rol van audits
Architectuurprincipes versus
projectmatig opportunisme
Het SABSA® Model
http://creativecommons.org/licenses/bysa/3.0/nl/
Informatiebeveiliging is het huisorgaan van
Voorwoord/colofon
het Platform voor InformatieBeveiliging (PvIB)
en bevat ontwikkelingen en achtergronden
Beste lezer, En architectuur is natuurlijk een
over onderwerpen op het gebied van
vakgebied waarin professionals op een
informatiebeveiliging.
Ik ben de laatste tijd volop bezig met gestructureerde manier mooie dingen
architectuur. Enterprise architectuur, maken. Ik ben veel, maar niemand heeft Redactie
informatiearchitectuur, referentie mij ooit gestructureerd genoemd. André Koot (hoofdredactie, werkzaam bij
architectuur, securityarchitectuur. Univé-VGZ-IZA-Trias),
Dat varieert van het nadenken over de Inmiddels loop ook ik al enkele jaren e-mail: A.Koot@Unive.nl
begrippen en het ontwerpen ervan, tot rond in de wereld van architecten en Peter Westerling/Monique van Diessen
het beoordelen van implementatie ik denk dat ik ook kan meepraten, ik (eindredactie, TOPpers Media bv, Berlicum)
voorstellen. We zijn echt wel goed bezig. durf dingen te roepen en te beoordelen
En ik vind het dan ook leuk; dat denken en zoals gezegd, ik vind whiteboards Redactieraad
‘onder architectuur’. Het leuke ervan is gewoon heel handig. Dat impliceert dan Tom Bakker (Delta Lloyd)
dat je af en toe gewoon een whiteboard misschien dat ik toch ook een architect Mario de Boer (Logica)
kunt voltekenen. Zo’n tekenbord is ben. Maar daar wringt dan meteen de Lex Borger (Domus technica)
volgens mij het belangrijkste instrument schoen, ik kan niet methodisch werken. Lex Dunn (Capgemini)
voor een architect. En als je maar ver Dat kost toch te veel tijd? Rob Greuter (Secode Nederland)
genoeg van de harde praktijk af blijft, Aart Jochem (GOVCERT.NL)
vindt iedereen de platen mooi. Mooi Klopt, en daarom is hergebruik van Renato Kuiper (HP)
generiek werk vindt overal wel een bouwblokken een wet uit de architectuur. Henk Meeuwisse (Sogeti)
plaatsje. En heeft deze special dan een functie: Gerrit Post (G & I Beheer BV)
we leveren enige kennis over architectuur
Advertentieacquisitie
Wat minder leuk is? Methodes. Wat blijkt? als bouwblokken aan. In dit nummer
e-mail: adverteren@pvib.nl
Ik ben eigenlijk al jaren architect. Nooit publiceren we een introductie op het
geweten, maar ja, dat is dan het noodlot. onderwerp architectuur en belichten we Vormgeving
Ik heb me al jaren beziggehouden met het onderwerp vanuit diverse gezichts Van Velzen Grafisch Ontwerp, ‘s-Hertogenbosch
het ontwikkelen van architecturen voor punten. Methoden (daar zijn ze), cases,
beveiliging, maar ik noemde het nooit een paar interviews. We raken lang niet Uitgever
zo. Het waren visies, ideeën, concepten, alles, beschouw dit gewoon als een set Platform voor InformatieBeveiliging (PvIB)
ontwerpen... Het was van alles behalve bouwblokken om zelf met architectuur Postbus 1058
architectuur. Waarom? Geen idee. aan de slag te gaan. Ik vermoed dat 3860 BB NIJKERK
Misschien omdat ik me uit het verleden we binnenkort nog meer artikelen over T (033) 247 34 92
enkele heftige discussies herinner in architectuur zullen plaatsen. F (033) 246 04 70
diverse vakbladen over de functie E-mail: secretariaat@pvib.nl
benaming Architect. Dat was immers Veel leesplezier, Website: www.pvib.nl
een beroep voor mensen die gebouwen
en bruggen bedachten. Nog een oorzaak André Koot Abonnementen
voor mijn aarzeling mezelf architect te Hoofdredacteur De abonnementsprijs bedraagt 115 euro per jaar
noemen, was dat het een bijzonder (exclusief BTW), prijswijzigingen voorbehouden.
vakgebied is, waarvoor je over specifieke
PvIB abonnementenadministratie
kennis en vaardigheden moet beschikken,
Platform voor InformatieBeveiliging (PvIB)
die ik mezelf nooit had toegedicht.
Postbus 1058
3860 BB NIJKERK
PS: op 12 juni jl heeft Saïd el Aoufi
e-mail: secretariaat@pvib.nl
(de auteur van onder meer het eerste
artikel in deze special) zijn proefschrift Mits niet anders vermeld valt de inhoud van dit
over ‘Economic Evaluation of tijdschrift onder een Creative Commons licentie.
Information Security’ met succes
verdedigd. Dat gebeurt nog niet zo ISSN 1569-1063
vaak een promotie binnen ons vakgebied.
Saïd: proficiat!
2 • • • • • • Informatiebeveiliging juni 2009

Inhoud
Beveiliging en architectuurraamwerken: de rol van audits 4
Saïd El Aoufi
InZicht 9
Rob Greuter
Interview met Alexander Baas, CIO SNS Bank 10

Lex Borger
Open Security Architecture: een open source architectuur 12

André Koot
Beveiligingsarchitectuur in Jericho-stijl 15
Aaldert Hofman
Interview met een (B)ISA 20

Tom Bakker
Architectuurprincipes versus projectmatig opportunisme 22

Lex Borger
Toegang tot patiëntgegevens 25

Leon van der Kragt
Het SABSA® Model 32

Lex Borger
Column: Compromis 35
Berry
Informatiebeveiliging juni 2009 • • • • • • 3

Beveiliging en architectuurraamwerken
De rol van audits

Auteurs: Saïd El Aoufi > Saïd El Aoufi is werkzaam als senior consultant bij MetaPoint BV en is bereikbaar via said.el.aoufi@metapoint.nl.
Met dank aan Norien Kuiper en Louis van Hemmen voor de review van dit artikel.
Architectuur is een instrument dat bijdraagt aan een optimale afstemming

tussen processen en de informatievoorziening. In de architectuur worden de Volgens de definitie beschrijft een
afspraken vastgelegd waar iedereen (business en IT) zich aan heeft te houden architectuur niet alleen componenten en
ter waarborging van de afstemming tussen business en IT. Architectuur, ofwel hun samenhang, maar ook de relatie met
duidelijk vastgelegde ontwerpprincipes en afspraken, is onmisbaar om de de omgeving is van essentieel belang.
inrichting en het beheer & beveiliging van processen en informatiesystemen Naast een modelmatige benadering van
beheerst te laten plaatsvinden. Dit artikel geeft een overzicht van de architectuur geeft de definitie aan dat
verschillende architectuurraamwerken en de rol van audits. architectuur ook procesmatige aspecten
bevat. In het bijzonder geeft het principes
Theoretisch kader al., 2005), namelijk: voor het werken (ontwerpen) onder
Architectuur wordt algemeen beschouwd • het is een drijfveer voor gedrag in architectuur en zou een architectuur
als een middel om de complexe relatie een organisatie, expliciet aandacht moeten besteden aan
tussen business en IT te beheersen. • het is een achterliggend uitgangspunt, evolutie-aspecten.
Zoals er geen uniforme terminologie en • het is goed te communiceren,
definitie bestaat binnen de architectuur, • het is robuust, en Bij het kiezen van een definitie voor
bestaat er ook geen uniforme theorie • het wordt herkend en gedragen door de eigen organisatie is het van belang
vorming en begripsbepaling betreffende het management. een definitie te kiezen die zo concreet
architectuur. Zo is er theorievorming over mogelijk aangeeft wat aard en scope zijn
architectuur te vinden onder termen als Een ander definitie is die van IEEE 1471 van architectuur. Als architectuur zich
IT-architectuur, informatiearchitectuur, (2000). Architectuur is gedefiniëerd in vooralsnog beperkt tot IT is het raadzaam
business architectuur, digitale architectuur IEEE 1471-2000 als ‘the fundamental om dat in de definitie ook aan te geven.
en enterprise architectuur. Enterprise organization of a system embodied in its Als de architectuur zich louter beperkt tot
architectuur is een centraal referentiepunt components, their relationships to each het opstellen van principes en standaarden
voor business en IT-kwesties en de relatie other, and to the environment, and the die richting geven aan het ontwerp, is het
daar tussen, en daardoor geschikt als (a) principles guiding its design and evolution’. aan te bevelen deze te noemen.
een abstractiemiddel, (b) een communi
catiemiddel en (c) managementinstrument Beveiliging als vast onderdeel van architectuur
(Van der Raadt et al., 2004). De termen Volgens Rijsenbrij (2005) is beveiliging een vast onderdeel van een geïntegreerde
business, informatie en IT architectuur architectuurbenadering en beslaat alle vier werelden in samenhang. Deze vier werelden
refereren naar verschillende ontwerp zijn het organisatiegebeuren, informatieverkeer, applicatielandschap en de technische
domeinen binnen de organisatie. Digitale infrastructuur.
architectuur, een term onder andere De beveiligingsarchitectuur beschrijft de manier waarop beveiliging wordt vormgegeven
gebruikt door Rijsenbrij, Gartner en en beschouwt de beveiligingsmaatregelen van gebruiker tot dienst, een end-to-end
Forrester, verwijst impliciet naar het beschouwing.
digitale of IT aspect binnen de onder Elke wereld heeft zijn eigen beveiligingsprincipes, die soms ook nog op gespannen voet
neming, terwijl dit ook een ontwerpdomein staan met de principes uit die wereld zelf (Rijsenbrij, 2005).
is binnen het systeemtype enterprise
(Buitenhuis, 2007). Het bovengenoemde houdt dus in dat een beveiligingsarchitectuur geen ander
document hoeft te zijn dan de andere architecturen. Beveiligingsaspecten kunnen dus
Wat is architectuur? ook in elk van de onderliggende architecturen zijn beschreven. Het is wel belangrijk dat
Rijsenbrij (2005) definieert architectuur als het geheel is aangesloten, waardoor de traceerbaarheid van uitgangspunten en eisen
een verzameling van architectuurprincipes, naar maatregelen gewaarborgd wordt.
verbijzonderd naar regels, richtlijnen
en standaarden. Hierbij zijn principes Volgens de GvIB Expert Brief (Bel et. Al., 2006) zijn kritieke succesfactoren voor het
richtinggevende uitspraken ten behoeve ontwikkelen van een beveiligingsarchitectuur:
van essentiële beslissingen, een fundamen • het hebben van beleid en een classificatiesysteem voor beveiliging,
teel idee, bedoeld om een algemene eis te • bruikbaarheid voor de doelgroepen en de beleving dat met een
vervullen. Een goed en relevant principe beveiligingsarchitectuur de complexiteit wordt gereduceerd, en
heeft verschillende kenmerken (Jochem et • een betere beveiliging kan worden gerealiseerd.

Wat zijn de drijfveren voor architectuur?
Burke (2002)2 noemt drie belangrijke
drijfveren voor het inzetten van
(enterprise) architectuur in organisaties,
namelijk:
1. Business - IT alignment
2. De wendbaarheid van de business ook
wel ‘business agility’ genoemd
3. Kostenbesparing op de IT middelen
Business - IT alignment is historisch gezien

het belangrijkste argument geweest om
enterprise architectuur op de agenda te
zetten en blijft nog steeds een belangrijke
drijfveer (Burke, 2002; Van der Raadt Figuur 1 - Architectuurstandaard IEEE
et al., 2004). De laatste tijd wordt ook
wendbaarheid als drijfveer steeds vaker is dat er meerdere gezichtspunten op Voorbeelden van bekende raamwerken
genoemd. Niet alleen in de IT-landschap architectuur zijn, die in een standaard zijn
maar ook in de business neemt de ‘views’ en ‘viewpoints’ worden genoemd. • Het Zachman raamwerk (Zachman,
complexiteit toe. Van organisaties wordt Een viewpoint is een voorschrift voor 1987)
verwacht dat zij de maatschappij efficiënter een view op een specifiek systeem. • Het TOGAF raamwerk (TOGAF, 2004)
gaan bedienen en zich sneller aan kunnen Elk viewpoint geeft een unieke manier • IAF (Goedvolk et al., 1999)
passen aan gewijzigde omstandigheden, aan om naar een systeem te kijken. Het • Tapscott (Tapscott & Caston, 1993)
kortom dat zij wendbaar worden (Hendriks viewpoint bevat tevens aanwijzingen voor • DYA (Wagter et al., 2001)
& Oosterhaven, 2006). hoe deze manier van kijken moet worden • 2+2-model (Lassing et al., 2001)
Een andere drijfveer die de laatste jaren opgeschreven. Viewpoints worden altijd • Dragon1 (Paauwe, 2006)
wordt genoemd voor het inzetten van gedefinieerd voor belangen (concerns) van
enterprise architectuur is het verminderen bepaalde belanghebbenden (stakeholders). Specifiek voor beveiliging zijn er in de
van de IT kosten. Veel organisaties worden loop van de jaren een aantal raamwerken
namelijk geconfronteerd met de kosten in Architectuurraamwerken ontwikkeld. Dit zijn onder andere:
relatie tot de toegevoegde waarde van hun Volgens Greefhorst et al. (2003) komen • Open Security Architecture (OSA, zie
IT activiteiten (Maes, 2007). architectuurraamwerken voor in twee ook het artikel van André Koot op
smaken: enterprise-raamwerken en pagina 12, 13 en 14)
Conceptueel Model applicatieraamwerken. Hierbij hebben • Sherwood Applied Business Security
De architectuur van een systeem enterprise-raamwerken de hele organisatie Architecture (SABSA) framework
kan beschreven worden vanuit op het oog en ze bevatten vaak meerdere • Enterprise Information Security
vele gezichtspunten, afhankelijk dimensies. Greefthorst et al. (2003) Architecture (EISA)
van de belangen die spelen in het analyseerden de architectuurraamwerken
veranderingsproces. Een belangrijke hetgeen heeft geleid tot negen
bijdrage van de IEEE/ANSI standaard basisdimensies: informatie, bereik, Volgens Greefhorst et al. (2003), vallen
P1471 is een conceptueel model waarin detailniveau, belanghebbenden, een aantal dingen op bij de verschillende
de samenhang tussen de verschillende transformatie, kwaliteitseigenschappen, architectuurraamwerken, namelijk:
architectuurbegrippen is beschreven. metaniveau, aard en representatie. Uit • Er worden verschillende termen voor
Figuur 1 geeft een abstract niveau interviews bleek dat het niet veel uitmaakt vergelijkbare aspecten gebruikt, en vice
overzicht van dit conceptueel model. welk architectuurraamwerk wordt gebruikt, versa.
IEEE maakt het onderscheid tussen als er maar een raamwerk wordt gebruikt. • Veel termen zijn niet duidelijk
een architectuur hebben en een Het algemene doel van een raamwerk gedefiniëerd, waardoor de exacte
architectuur opstellen. Ieder systeem blijft toch het ondersteunen van de betekenis niet duidelijk is.
heeft een inherente architectuur: de architect bij het creëren van samenhang, • Sommige raamwerken lijken sterk op
architectuurbeschrijving (architectural overeenstemming en begrip tussen de elkaar, maar zijn toch net weer ‘even
description) moet deze architectuur verschillende componenten van een anders’.
beschrijven. Een ander belangrijk inzicht organisatie. • De relatie tussen de waarden binnen een

dimensie is soms moeilijk te ontdekken,
waardoor de dimensie moeilijk te
begrijpen valt.
Een verklaring voor de verschillen in de

raamwerken is dat de auteurs hebben
gepoogd om, gegeven een bepaalde
context en een bepaald doel, alle relevante
aspecten te combineren. Verder zien de
auteurs dat raamwerken vaak uit twee
dimensies bestaan. De eerste dimensie
beschrijft vaak de typen informatie
(onderwerpen) die kunnen voorkomen in
een architectuurbeschrijving. Een grove
onderverdeling in typen informatie is Figuur 2 - Architectuurraamwerk voor de NORA
het onderscheid tussen IT en business. De architectuurprincipes zijn geordend op basis van een ‘architectuurraamwerk’
De tweede dimensie in raamwerken is vaak (zie onderstaande figuur). Het architectuurraamwerk bestaat uit een matrix met drie
sequentieel van aard; er is een bepaalde architectuurlagen (bedrijfsarchitectuur, informatiearchitectuur, technische architectuur)
volgorde waarin de modellen binnen deze en drie dimensies (wie, wat, hoe). Deze dimensies representeren verschillende
dimensie opgesteld worden. componenten binnen een laag. Daarnaast zijn er twee algemene dimensies die op alle
lagen en componenten betrekking hebben: beheer en beveiliging & privacy. Op de
Een korte beschrijving van NORA bedrijfslaag gaat het bijvoorbeeld om de veiligheid van medewerkers, producten en
Burgers en bedrijven verwachten bedrijfsprocessen. Op de middelste laag ligt de nadruk op de informatiebeveiliging:
een goed functionerende overheid. van applicaties (beschikbaarheid), van gegevens (integriteit) en van de communicatie
Interoperabiliteit 1 is hiervoor een (vertrouwelijkheid). Op de onderste laag (techniek) spreken we over authenticatie
belangrijke voorwaarde. NORA, de (PKI, etc.) en encryptie, naast de fysieke aspecten (firewalls, etc.).
Nederlandse Overheid Referentie
Architectuur 2, is een raamwerk dat Beveiliging & privacy
overheidsorganisaties helpt om deze Een goed functionerende informatievoorziening is een belangrijk onderdeel van de
interoperabiliteit te realiseren. bedrijfsvoering van de overheid geworden en het wordt, met onder meer de komst
De NORA hanteert de definitie van het van de e-overheid, steeds belangrijker. Samenwerking van de overheidsorganisaties
IEEE voor architectuur, namelijk: brengt een aantal zaken met zich mee. Een organisatie moet een bepaald niveau van
Architectuur is de beschrijving van de beheersing hebben bereikt om op een verantwoorde wijze te kunnen samenwerken en
fundamentele opbouw van een systeem, aan de e-overheid te kunnen bijdragen. Dit kan worden gezien als de baseline voor
bestaande uit: security. Een mate van beheersing waarover zij ook verantwoording aflegt. Het betreft
• zijn componenten; de volgende aspecten:
• hun onderlinge relaties en die tot hun • De organisatie beheerst haar informatiebeveiliging.
omgeving; • De organisatie beheerst haar bescherming van persoonsgegevens ter bescherming
• de principes voor hun ontwerp en van de persoonlijke levenssfeer van de betrokkenen. Hierbij speelt de WBP
evolutie. (Wet Bescherming Persoonsgegevens) een grote rol.
• De organisatie beheerst de continuïteit van haar belangrijkste bedrijfsprocessen.
In de NORA versie 2.0 worden
‘fundamentele principes’ en Samenwerking van organisaties leidt tot het maken van gezamenlijke afspraken over
De rol van audits
‘architectuurprincipes’ voor de inrichting het op elkaar afstemmen en afgestemd houden van de informatiebeveiliging- en
van de e-overheid gepresenteerd. privacystelsels, van beleid tot en met controle. Hierbij kunnen ook afspraken over
De fundamentele principes hebben gemeenschappelijke voorzieningen een rol spelen. De NORA geeft richtlijnen
betrekking op: betreffende deze afspraken:
• hogere kwaliteit van de • De samenwerkende partijen richten gezamenlijk de governance in voor hun
dienstverlening; informatiebeveiliging, privacy en continuïteit van de bedrijfsvoering.
• administratieve lastenverlichting; • Alle organisaties in de e-overheid dragen bij en maken gebruik van een te
• transparantie; ontwikkelen gemeenschappelijk normenkader ten behoeve van bijvoorbeeld audits.
• proactieve dienstverlening; • E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee
• een integrale en betrouwbare burgers en bedrijven zaken met haar kunnen doen.
overheid; • Informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen vormen een
• verbeteren van de doelmatigheid. integraal onderdeel van een service of dienst.
[1] Het delen van informatie door overheidsorganisaties.

[2] Een referentiearchitectuur is een instantie van een architectuur welke in vergelijkbare situaties hergebruikt kan worden.

Architectuur en audit Daan Rijsenbrij (2009) onderkent vijf onderzoek in hoeverre de vastgestelde
De auditfunctie staat onafhankelijk van onderzoeksterreinen voor een architectuur architectuur daadwerkelijk is geïmplemen
de primaire processen van de organisatie auditor: de architectuurgovernance, de teerd in de infrastructuur, het applicatie
en kan worden ingezet om te bepalen of architectenpopulatie, de architectuur, landschap, het informatieverkeer en de
en hoe een instrument als architectuur het architectuurgebruik en de architectuur gedigitaliseerde businessproducten en
bijdraagt aan de beheersing (Campbell & implementatie. Een audit over de diensten. Afhankelijk van de afgesproken
De Vries, 2009). Volgens David Campbell en architectuurgovernance betreft het scope is dit een zeer tijdrovend onderzoek.
Arjan de Vries (2009) kan de auditfunctie functioneren van de verschillende
worden ingezet om de kwaliteit van architectuurprocessen, de organisatorische Campbell en De Vries (2009) zijn van
architectuur te beoordelen. Hierdoor inbedding in de businessbeslissingen en mening dat een audit van een architectuur
krijgen de belanghebbenden een indruk de relatie met de IT-governance. Een audit slechts een middel is om de kwaliteit
van de effectiviteit van architectuur over de architectenpopulatie betreft het van de architectuur en het werken onder
als beheersmaatregel. In hoofdlijn zien functioneren van die architectenpopulatie, architectuur te waarborgen.
de auteurs drie soorten audits die van haar opbouw, de competenties van de De toegevoegde waarde van een
toegevoegde waarde kunnen zijn bij het aanwezige architecten en de relaties met architectuuraudit is er wanneer de
bepalen van de beheersbaarheid en de de overige deskundigen die assisteren bij organisatie dit proces zodanig heeft
controleerbaarheid van architectuur als het formuleren van een architectuur. ingericht dat de auditor de kwaliteit
beheersmaatregel. De omvang van deze beide auditsoorten daadwerkelijk kan vaststellen. Dit houdt
1. Een audit naar het proces van is sterk afhankelijk van de volwassenheid in dat de organisatie zelf een controleer
totstandkoming en onderhoud van de van de architectuurfunctie. Een audit van bare en beheersbare architectuur
architectuur (architectuur governance). de architectuurimplementatie betreft een governance moeten opzetten.
2. Een audit naar het werken onder
architectuur (architectuur compliance).
3. Een audit naar de kwaliteit van de
architectuur. Deze audit is over het Wat is een volwassen enterprise architectuur?
algemeen gericht op de verschaffing van Uit de methode Dragon1 komen de volgende kenmerken die passen bij een volwassen
aanvullende zekerheid of de beoogde enterprise architectuur (Vos, 2009):
rol van het instrument architectuur
in een beheersbare en controleerbare 1. De architectuur wordt gedragen en 6. De architectuur is een soort
ontwikkeling c.q. toekomstige erkend door de business en IT directie conceptueel ontwerp van een
exploitatie feitelijk wordt bereikt. van de organisatie en de belangrijkste domein, systeem of solution, waarbij
klanten, ketenpartners van de de architectuur is te relateren aan
Waarom architectuur audits in de organisatie. de strategische uitgangspunten,
praktijk worden overgeslagen 2. Het bestuur, directie en management functionele eisen en bedrijfsdoelen
Volgens Daan Rijsenbrij3 kunnen drie maakt gebruik van de architectuur van een organisatie.
hoofdredenen worden genoemd waarom (met name de concepten, principes, 7. De architectuur beschikt over een
de architectuuraudit in de praktijk modellen en visualisaties) van een gebruikt begrippenkader.
wordt overgeslagen. Als eerste merkt bepaald domein, systeem of oplossing 8. De architectuur zorgt ervoor dat
hij op dat de noodzaak van een goede voor het nemen van strategische logische en fysieke ontwerpen die
architectuur onvoldoende duidelijk is. beslissingen. gemaakt worden onder de architectuur
Met andere woorden; de grote potentiële 3. Projecten, leveranciers en ontwikke hoger van kwaliteit zijn.
schade van een verkeerde architectuur laars maken gebruik van de architec 9. De architectuur is gekoppeld
is niet helder. Als tweede zijn de tuur als richtinggevend kader, om aan het transformatieproces, het
architecten zo zelfverzekerd dat ze zich vooruit te kijken en voor het oplossen innovatieproces en de planningen-
niet kunnen voorstellen dat het nodig van problemen. control-cyclus van de organisatie.
is om een onafhankelijke, onpartijdige 4. Klanten, ketenpartners en leveranciers 10. De architectuur en onderdelen eruit
architectuurauditor een blik te laten maken gebruik van de architectuur om wordt vaak hergebruikt en niet
werpen op hun architectuur. Architecten er op aan te sluiten. steeds opnieuw gemaakt en weer
zijn trots op hun eigen werk en kunnen 5. De architectuur is een up-to-date teruggekoppeld naar de architectuur.
niet meer objectief kijken naar de consistent gedocumenteerd en goed De architectuur is daarmee proactief
gemaakte keuzes. De derde reden heeft toegankelijk geheel van uitgangs voorschrijvend en niet reactief
te maken met geld. Het opstellen van punten, concepten, principes, regels, beschrijvend.
de architectuur kost veel inspanning en artifacten/elementen, modellen,
geld, waardoor een architectuuraudit oplossingen, visualisaties en views.
wordt overgeslagen.
[3] Gepubliceerd in de Automatisering Gids, 30 januari 2009, nummer 5, pagina 16.

Tot slot Als architectuur is opgesteld, dient het als van de onderliggende architecturen zijn
Architectuur wordt gebruikt als managementinstrument waar de strategie beschreven. Een architectuuraudit biedt
communicatiemiddel. Heldere communicatie uitgewerkt kan worden om grip te krijgen aanvullende zekerheid aan organisaties
tussen technici, business experts en op de dynamische veranderingen in de over het werken onder architectuur.
stakeholders wordt mogelijk door gebruik business, de IT en de relatie daartussen. Echter, de verantwoordelijkheid voor een
te maken van de architectuurmodellen en Hierdoor kunnen er geen ontwikkelingen in beheersbare en controleerbare architectuur
de beschrijvingen om te komen tot de isolement plaatsvinden die niet in lijn zijn governance en architectuur ligt in eerste
juiste eisen en om ideeën uit te wisselen met de bedrijfsstrategie. instantie bij de organisatie zelf.
voor verschillende ontwerpdomeinen. Beveiligingsaspecten kunnen dus ook in elk
Referenties
(Bel et al., 2006) (IEEE, 2000) (Van der Raadt, 2004)
GvIB Expert Brief, (2006), Security The Institute of Electrical and Electronics Raadt, B. van der, Soetendal, J., Perdeck,
architectuur: Nieuwe hype voor specialisten Engineers, (2000), IEEE Standard 1471- M. & Vliet, H. van ,(2004), Polyphony
of nuttig communicatiemiddel?, 2000: IEEE recommended practice for in Architecture, Proceedings 26th
Genootschap van Informatie Beveiligers. architecture description of software-intensive International Conference on Software
systems, ISBN: 0 7381 2518 0. Engineering (ICSE 2004), Edinburg, May
(Buitenhuis, 2007) 2004.
Pieter Buitenhuis, (2007), Fundamenten (Jochem et al., 2005)
van het principe Op weg naar een GvIB Expert Brief, (2005), Security (Vos, 2009)
prescriptieve architectuurmodelleertaal, Principes: Informatiebeveiliging op de Fijtse Vos, (2009), Architectuur voor de
Master thesis, Radboud Universiteit managementagenda, Genootschap van auditor: een zege of een nachtmerrie?, XR
Nijmegen. Informatie Beveiligers. editie 3.
(Burke, 2002) (Maes, 2007) (Wagter, 2001)

Burke, B. ,(2002), Enterprise Architecture Maes, R. , (2007), An Integrative Wagter, R., et al. ,(2001), DYA: snelheid en
Maturity, META Group Recorded Interview. Perspective on Information Management, samenhang in business en ICT-Architecture.
PrimaVera Working Paper, Universiteit van Tutein Nolthenius.
(Campbell & de Vries, 2009) Amsterdam.
Architectuuraudit: de toegevoegde waarde (Zachman, 1987)
David Campbell en Arjan de Vries, namens (Paauwe, 2006) Zachman, J.A., (1987), A Framework for
de werkgroep architectuuraudit van de Paauwe, M., (2006), Dragon 1, Information Systems Architecture. IBM
Rijksauditdienst, 2009, www.rad.nl. voorpublicatie. Systems Journal 26, No. 3.
(Greefhorst et al., 2003) (Rijsenbrij, 2005) Bronnen

Danny Greefhorst, Henk Koning en Daan Rijsenbrij. (2005), Architectuur in de - De GvIB Expert Brief (zie Jochem et al.,
De rol van audits
Hans van Vliet, (2003), De dimensies in digitale wereld. Syllabus: Inleiding in de 2005), zie www.pvib.nl/bibliotheek
architectuurbeschrijvingen, Informatie. Digitale Architectuur. - Waarom architectuur?
Burke, op www.enterprisearchitectuur.net
(Hendriks & Oosterhaven, 2006) (Tapscott & Caston, 1993) - www.opensecurityarchitecture.org
Hendriks, C. M. & Oosterhaven, J. A., Tapscott, D., & D. Caston, (1993), Paradigm (zie ook artikel André Koot)
(2006), ICT Bibliotheek: Wendbaarheid door Shift – The New Promise of Information - www.sabsa-institute.org
Architectuur, Landelijk Architectuur Congres Technology. McGraw-Hill. - www.gartner.com
2006, Sdu Uitgevers, Den Haag.
(The Open Group, 2002)
The Open Group ,(2002), The Open Group
Architectural Framework. Version 8.

InZicht
Over deze rubriek > InZicht geeft een overzicht van recent verschenen en te verschijnen boeken en whitepapers in binnen- en buitenland,
geselecteerd door de redactie. Onze bronnen voor de toelichting bestaan uit persberichten en internet, niet gegaran-
deerd onafhankelijke informatie. Actualiteit staat bij de inhoud van deze rubriek voorop.
ISBN: 9780072133851 effectiveness of a policy is dependent on

Uitgever: McGraw-Hill/Osborne cooperation and compliance, the author
Druk: 1e druk, juli 2001 also demonstrates how to communicate
Vorm: paperback, 481 blz that policy and provides advice on how to
gain support. Samples of effective policy
New from the official RSA Press, this expert architecture are included.
resource explains how to design and deploy
security successfully across your enterprise
and keep unauthorized users out of your
network. You’ll get full coverage of VPN’s
and intrusion detection systems, plus real-
world case studies.
Information Security Architecture:

An Integrated Approach to Security
in the Organization, Second Edition
Auteur: Jan Killmeyer
ISBN: 9780849315497
Uitgever: Auerbach Publications
Druk: 1e druk, september 2000
Vorm: paperback, 424 blz
By providing clear and organized methods,

this text incorporates the knowledge SABSA – Enterprise Security Architecture,
developed during the past decade that John Sherwood e.a.
has pushed the information security Auteur: John Sherwood, Andrew Clark,
lifecycle from infancy to a more mature, David Lynas
understandable, and manageable state. ISBN: 1-57820-318-x
Uitgever: CMP Books
Building an Effective Information Druk: 1e druk, november 2005
Security Policy Architecture Vorm: paperback, 608 blz
Auteur: Sandy Bacik
ISBN: 9781420059052 Destined to be a classic work on the topic,
Uitgever: Auerbach Publications Enterprise Security Architecture fills a
Druk: 1e druk, mei 2008 real void in the knowledge base of our
Vorm: paperback, 368 blz industry. In a comprehensive, detailed
treatment, Sherwood, Clark and Lynas
Through the use of questionnaires, rightly emphasize the business approach
interviews, and assessments, Building and show how Security is too important to
an Effective Security Policy Architecture be left in the hands of just one department
demonstrates how to evaluate an or employee - it’s a concern of an entire
organization’s culture and its ability enterprise. Enterprise Security Architecture
to meet various security standards shows that having a comprehensive plan
and requirements. The author provides requires more than the purchase of security
Security Architecture: Design practical guidance for building, writing, software - it requires a framework for
Deployment and Operations and implementing policy architecture developing and maintaining a system that
Auteur: C hristopher M. King, Curtis E. that is designed to specifically fit within is proactive.
Dalton, T. Ertem Osmanoglu that culture. Recognizing that the

Een interview met Alexander Baas, CIO SNS Bank
‘Weten wat het is

om met je voeten in
de klei te staan’
Auteur: Lex Borger > L ex Borger is Principal Consultant Information Security bij
Domus Technica en redacteur van dit blad. Hij is bereikbaar
via lex.borger@domustechnica.com.
Lex: “Het is al weer ruim een jaar verantwoordelijk dat er goede richtlijnen Beschouw je security architectuur apart?
geleden dat je CIO van het jaar werd. en technologiekeuzes zijn, de andere Of is het geïntegreerd in andere
Hoe kijk je daar nu op terug? Hoe heeft bedrijfsdelen zijn verantwoordelijk dat architecturen? Waar verwacht je dat een
het jou en SNS Bank veranderd?” ze deze juist implementeren.” (security) architectuur voor SNS Bank
een antwoord op gaat geven?”
Alexander: “Het is mooi als je zoveel “Architectuur gaat over kennis en kunde.
support krijgt voor je werk. Die support De architecten besteden veel tijd aan Alexander: “Informatiebeveiliging hebben
komt van je eigen collega’s en je wordt het landen hiervan binnen de bedrijfs we geplaatst als staforganisatie, archi
gezien als partij die goed omgaat met onderdelen. Hierbij worden mechanismen tectuur is een lijnafdeling. Architectuur
automatisering. Het maakt je als werkgever gebruikt zoals train-de-trainer. Ook worden moet op haar beurt dus werken conform
aantrekkelijk. Wij willen IT in eigen hand architecten vooraf ingeschakeld om te de richtlijnen van informatiebeveiliging,
hebben en dat is dus een mooie spin-off adviseren en te helpen. Uiteindelijk zijn procesmatig is dit ingebed in hun manier
naar de markt. De jury gaf aan dat we een alle partijen tevreden over de samen van werken volgens DYA (Dynamische
goede visie en skills hebben en dat onze werking. Architectuur en informatie Architectuur, http://www.dya.info - red.).
architectuur een goede combinatie van de beveiliging hebben op papier veel macht, Ze worden hier net zoals andere
theorie en de praktijk is.” maar dat reikt niet tot aan de implementatie. bedrijfsdelen op gecontroleerd door IB.
Het is dus belangrijk dat ze backing Architectuur maakt jaarlijks het MAIS plan:
Lex: “Als we kijken naar drie krijgen van mij, en dat krijgen ze het Meerjarenplan Architectuur
activiteitsdomeinen binnen IT: onvoorwaardelijk.” Infrastructuur en Systeemontwikkeling.
uitvoering (het bestaande goed Dit is een praktische vertaling van de
uitvoeren) - verandering (nieuwe “Spanningen los ik op door het architectuur blauwdrukken en bevat
elementen introduceren) - architectuur managementteam in evenwicht te houden. verschillende hoofdstukken die de
(een weg uitstippelen waarlangs dat Dit is niet vanzelfsprekend en het vergt verschillende invalshoeken belichten.
loopt), dan zijn er natuurlijke wederzijds respect van alle partijen. Een hiervan is informatiebeveiliging.
spanningen tussen die domeinen. Respect verdien je door ook inhoudelijk te De resultaten zijn in de hele architectuur
Kijk je als CIO ook zo tegen IT aan? kunnen sparren. Je moet dus weten wat weerspiegeld. De top-down analyse van de
En zo niet, hoe dan wel? Hoe ga je het is om met je voeten in de klei te staan. noodzaak voor informatiebeveiliging is
om met die spanningen tussen de Praktijkervaring uit het verleden is hierbij belangrijk, daarna wordt het simpelweg een
activiteitsdomeinen? Is er een optimale onontbeerlijk. Aan een ivoren toren heb je uitvoeringscyclus (plan-do-check-act).”
verdeling?” niets. We doen veel aan job rotation om
deze praktijkervaring invulling te geven. Lex: “Zijn de spanningen (zie boven)
Alexander: “Wij maken verschil tussen Om te kunnen groeien is het nodig dat vergelijkbaar of anders als je specifiek
exploitatie, ontwikkeling en architectuur, medewerkers niet alleen met hun eigen vak naar security kijkt? Zijn er voor wat
en daarnaast onderkennen we ook bezig zijn geweest. Ik zie veel bedrijven betreft security ook spanningen omdat
relatiebeheer. Al deze diensten staan op hiermee worstelen.” security als non-functionals in verander
gelijk niveau en worden afgespiegeld in trajecten gezien wordt.
het management team. Er is een duidelijke Lex: “Hoe kijk je tegen informatie In hoeverre zijn de aspecten risico
taakverdeling. Architectuur is beveiliging en architectuur aan? management, time-to-market en

gebruikersvriendelijkheid bij SNS Bank wereld van een bankier danig veranderd Alexander: “Ik ben in de gelegenheid
nu in samenhang en in de overwegingen hebben, zoals outsourcing, phishing, geweest om de IT- afdeling vorm te geven,
samen gebracht?” georganiseerde cybercrime, de opkomst dus greenfield of niet, ik zou het nog
van social networking...” steeds zo doen zoals ik het nu doe.
Alexander: “Binnen SNS bepaalt de De sleutel van het succes binnen IT is
business wat er gebeurd en IT bepaalt Alexander: “Alle architectuurdocumenten, het hebben van kundige mensen, die
hoe het gebeurt. Onder het hoe valt ook ook op het gebied van informatie dicht op de uitvoering zitten en die
een veilige implementatie waarbij met beveiliging, hebben een eeuwigdurende verantwoordelijkheid nemen voor wat
alle aspecten van BIV rekening wordt planning voor revisie. Ieder document ze doen. Binnen IT is zowel informatie
gehouden. Als de business hier in de komt minimaal een keer in de drie jaar aan beveiliging als architectuur een logische
specificaties onvoldoende rekening mee de beurt. Bij de behandeling van revisies activiteit geworden, dicht tegen de
heeft gehouden, zal IT hierop wijzen. komen ook de nieuwe bedreigingen naar businessactiviteiten aan. Wat binnen IT
Business blijft altijd verantwoordelijk, boven. Een van de architectuurdocumenten gerealiseerd is willen we ook bedrijfsbreed
maar kan natuurlijk wel steunen op IT beschrijft expliciet de bedreigingen waar neerzetten. We hebben vorig jaar een
dat ze voor grote risico’s wordt behoed. we onze infrastructuur tegen willen Regie organisatie neergezet die de business
Wij geven dit vorm middels een PSA beveiligen. Als het nodig is, wordt dit en enterprise architectuur activiteiten
(Project Start Architectuur).” document voortijdig bijgewerkt.” uitvoeren, voor een belangrijk deel bezet
“Binnen SNS is er een grote transitie door ex-IT architecten die dus breder zijn
gaande van een kantorennetwerk naar Lex: “Hoe kijk je tegen security en gaan opereren. IT architectuur sluit hierop
dienstverlening over het internet. Dat kan architectuurmodellen aan? Nieuwe aan als een linking pin. Dit zal echter
alleen als de directie zich verantwoordelijk modellen als TOGAF 9 en SABSA zijn in niet betekenen dat IT niet zijn eigen
voelt voor de informatiebeveiliging. opkomst. ISO/IEC introduceert een heel architectuurclub zou houden. Deze blijft
Vervolgens zijn er proceseigenaren en scala aan informatiebeveiligingsnormen nodig om onze eigen afhankelijkheden
systeemeigenaren aangesteld, die de - de 27000 serie. CobiT wordt steeds goed te kunnen invullen.”
primaire verantwoordelijkheid hebben vaker gerefereerd. Houd je je daar als “Met informatiebeveiliging en business
vanuit de business. Wat hierbij helpt is CIO mee bezig? Zo ja, hoe?” continuity is het nog niet zo ver. Dat komt
dat groep-audit dit duidelijk zo neerlegt. nog wel, de werking vanuit IT voor het hele
Audit-issues worden duidelijk bij de Alexander: “Uitgangspunt is dat we binnen bedrijf is prima. Om hier ook de business
systeemeigenaar neergelegd, met een IT voordat we iets nieuws doen goed in in the lead te brengen moeten er nog wat
afschrift naar mij. Het is cruciaal dat de markt kijken wat er beschikbaar is. stappen gezet worden.”
het op die manier werkt.” We maken volop gebruik van best practices
die beschikbaar zijn, intern en extern. Lex: “Waarvan lig je wakker als het gaat
Lex: “Hoe werkt security architectuur We hebben CMM ingevoerd, we zijn nu om informatiebeveiliging en
in de praktijk samen met de andere op level 3. We hebben ITIL ingevoerd, we architectuur? Wat wordt door security
bedrijfsonderdelen (business, beleids gebruiken ISO 20.000 als normenkader voor architectuur (modellen, raamwerken...)
afdeling, informatievoorzienings de controle op opzet, bestaan en werking. nog helemaal niet aangepakt?”
behoefte) binnen de SNS Bank en Heel IT is gecertificeerd volgens BS7799
SNS Reaal? Wat zijn hierbij de succes wat nu ISO27.001/2 heet. Ik zie TOGAF Alexander: “Het bankieren heeft vorig jaar
factoren?” als een praktisch referentiemodel. Ik kijk een deuk in het vertrouwen opgelopen, dat
primair niet naar referentiemodellen, maar is duidelijk. Het is belangrijk dat we hier
Alexander: “Zoals gezegd werken we met naar de best practices. Deze blik levert goede lering uit trekken. We willen steeds
PSA’s. Hier staan duidelijke eisen in. keuzes voor referentiemodellen op. meer zaken via het internet laten lopen om
Als hier uiteindelijk van afgeweken moet We gebruiken DYA omdat we dit als best het centraal meer in de hand te hebben.
worden, wordt er een management letter practice gekozen hebben. Groep-audit We hebben hier nu een voorsprong in.
naar de opdrachtgever geschreven met een gebruikt CobiT om deze reden.” Hoe houden we die? Iedereen begrijpt
uitleg van de afwijking en het tijdvak van dat je ‘netjes’ met geld moet omgaan -
het herstel hiervan. Daarnaast helpt het Lex: “Stel dat je vanuit een greenfield dat bewaar je niet in de openheid, maar je
MAIS-plan alles in lijn te houden met de situatie als CIO een nieuwe SNS Bank stopt het juist in een veilige kluis.
ontwikkelingen die gaande zijn. Hierdoor zou mogen opzetten. Welke plaats zou De ‘sense of urgency’ met betrekking tot
blijf je bij met alle ontwikkelingen.” je security en architectuur geven?” cybercrime wordt in de maatschappij nog
Wat zou je uit de huidige organisatie niet op dezelfde manier gevoeld. Ik wil er
Lex: “Hoe blijft de security architectuur in dat geval absoluut niet willen graag aan bijdragen dat dit wel goed
actueel? Er zijn recentelijk toch enkele kwijtraken? ingevuld wordt.”
omgevingsfactoren geweest die de

Open Security Architecture:
een open source architectuur
Auteur: André Koot > André Koot is informatiemanager bij Univé-VGZ-IZA-Trias. Hij is ook hoofdredacteur van dit blad.
Hij is bereikbaar via a.koot@unive.nl.
Als je op zoek bent naar iets over Security Architectuur kom je al snel terecht op de site van Open Security Architecture
(OSA). En dat is dan ook meteen een site waar je even kunt rondhangen.
OSA is een initiatief van enkele idealisten gebruik gemaakt van de Creative Commons Threats (bedreigingen), Icons (picto
op het gebied van het delen van kennis licentie, maar worden alle afbeeldingen grammen) en Pattern Templates
rond beveiligingsarchitecturen. En wat gepubliceerd in SVG-bestandsformaat, de (patroonsjablonen) zijn opgenomen.
ons betreft is dat helemaal niet verkeerd. open standaard voor vectorafbeeldingen. Daarnaast identificeert OSA Actors,
Vooral omdat deze mensen het ons mogelijk ofwel de functionarissen die een specifieke
maken de kennis hieromtrent gewoon in dit Ook maakt OSA zo veel mogelijk gebruik rol spelen in het beveiligingsproces.
blad te plaatsen: we gebruiken dezelfde van andere standaarden zoals de NIST
vrije licentievorm, de Creative Commons 800-53 set, die als basis geldt voor de Patronen
licentie. Dat betekent dat we in ieder geval beheersmaatregelen die binnen OSA binnen Een patroon wordt binnen OSA gedefinieerd
vrijelijk mogen putten uit de bron. de architectuur worden gepositioneerd. als een architecturele oplossing voor een
Daarnaast wordt ook gerefereerd aan probleem. Het is de bedoeling dat op
OSA project standaarden als CobiT en de ISO 17799. termijn de patronen voor Industry Verticals
Open Security Architecture is een OSA heeft binnen de architectuur geclusterd worden aangeboden, denk aan
doorlopend project dat gericht is op het kruisverwijzingen naar deze standaarden uitgewerkte security architecturen voor
faciliteren van bedrijven in het opstellen opgenomen. een branches als banken of logistieke
van een eigen security architectuur. De organisaties.
missie van het project luidt: ‘OSA distills OSA componenten
the know-how of the security architecture OSA bevat een bibliotheek waarin patterns De patronen zijn geclusterd in het Pattern
community and provides readily usable (patronen), Controls (beheersmaatregelen), Landscape.
patterns for your application. OSA shall be
a free framework that is developed and
owned by the community’.
OSA is een bijzonder project, want met

enige goede wil zou je het als een
gemeenschappelijk open source-achtig
project kunnen beschouwen. De organisatie
achter OSA is niet strak geregeld, iedereen
die mee wil doen, staat het vrij om een
bijdrage te leveren in de vorm van een
patroon of een model. De afzonderlijke
bijdragen worden in een peer review
werkwijze gepubliceerd. Iedereen die een
bijdrage levert, plaatst die ter review op
het forum, waarna medegebruikers daar
aanvullingen of verbeteringen op kunnen
voorstellen. Zoals bij elk gemeenschaps
project zijn er een paar grote leveranciers
en is er een onbekend aantal afnemers.
OSA hanteert een strak Open Standaarden

model. Om elke vorm van discussie rond
licenties te vermijden, wordt niet alleen
Afbeelding 1: OSA Pattern Landscape

De patronen bevatten oplossingen voor
beveiligingsproblemen. Op dit moment zijn
de volgende patronen beschikbaar:
Cloud Computing
Generic
Identity Management
Privacy Mobile Device
Public Web Server
SOA Internal Service Usage
SOA Publication and Location
Wireless- Using a public hotspot
to access a private network
Wireless: Using a managed access
point to access private network
Als een voorbeeld van een pattern pakken

we gewoon de eerste, namelijk het pattern
voor Cloud Computing: zie Afbeelding 2.
Dit patroon is al meteen een flinke. Het

bestaat uit een groot aantal componenten,
actoren en controls. Linksboven in de plaat
staat bijvoorbeeld control SC-18, Mobile
Code. Die ziet er als volgt uit: Afbeelding 2: OSA pattern for Cloud Comp
SC-18 Mobile Code In deze control beschrijving staat de

beheerdoelstelling zelf, een uitvoerige
Control: The organization: (i) establishes usage restrictions and implementation beschrijving van de risico’s, aanvullende
guidance for mobile code technologies based on the potential to cause damage to the maatregelen ((0) None), de vast te stellen
information system if used maliciously; and (ii) authorizes, monitors, and controls the Baseline (geldig of niet), de categorie
use of mobile code within the information system. (Family) en klasse (technisch) en de
mapping op ISO 1799 en CobiT 4.1.
Supplemental Guidance: Mobile code technologies include, for example, Java,
JavaScript, ActiveX, PDF, Postscript, Shockwave movies, Flash animations, and VBScript. Naast de specifieke patronen zijn er ook
Usage restrictions and implementation guidance apply to both the selection and use twee modules beschreven, namelijk de
of mobile code installed on organizational servers and mobile code downloaded and module Client en de module Server. Deze
executed on individual workstations. Control procedures prevent the development, beschrijvingen zijn als generieke patronen
acquisition, or introduction of unacceptable mobile code within the information te beschouwen en bevatten een opsomming
system. NIST Special Publication 800-28 provides guidance on active content and van beheersmaatregelen die voor client en
mobile code. server van toepassing zijn.
Control Enhancements: (0) None. De controls

Baseline: LOW Not Selected MOD SC-18 HIGH SC-18 Zoals gezegd refereert OSA aan de
Family: System And Communications Protection beheersmaatregelen zoals die in NIST 800-
Class: Technical 53 worden gedefinieerd. Die maatregelen
ISO 17799 mapping: 10.4.1, 10.4.2 zijn onderverdeeld in maatregelen op het
COBIT 4.1 mapping: DS5.9 managed access point to access private network gebied van techniek, beheer en exploitatie.
De naamgeving van de beheersmaatregelen
is dan ook afkomstig van NIST.

In deze figuur is te zien dat de require Conclusie
ments feitelijk allemaal uit de business OSA is niet klaar. OSA bevat geen uit
optiek ontstaan. gewerkte toolkit, geen uitgewerkte
processen, onvoldoende patronen en
Architectuur maatregelen. OSA hanteert ook niet alle
Voldoet OSA aan de definities van een standaard architectuurbegrippen zoals
architectuur? Ja. Maar dat is niet zonder Principe en Rationale. De naamgeving
Afbeelding 3: NIST Controls meer een goed antwoord. Zoals al elders wijkt af (al is de inhoud wellicht wel te
vermeld is het begrip architectuur niet echt herkennen). Dat maakt het op dit moment
Scope van OSA eenduidig te beschrijven. Als je het begrip misschien lastig om OSA te integreren in
Inmiddels zijn verschillende begrippen de Samenhang als een kernbegrip hanteert, andere frameworks zoals SABSA, TOGAF,
revue gepasseerd. dan is het antwoord in ieder geval ‘ja’. IAF, noem maar op. Misschien is OSA eerder
• Patroon OSA maakt het mogelijk om beveiligings te zien als een operationeel, dan als een
• Control risico’s en maatregelen in samenhang te tactisch framework. Misschien moet het
• Actor. Dit begrip is nog niet voldoende beschouwen en daarmee kan het als nog verder groeien, zowel in concept als
ingevuld. Hiervoor wordt momenteel uitgangspunt en als toetsingskader worden in implementatie.
nagedacht over het aansluiten bij het gehanteerd. Maar het OSA is nog niet klaar,
rolbegrip uit Owasp of uit ITIL v3. het is vermoedelijk nog niet helemaal Er is op dit moment nog geen bedreigingen
OSA voegt aan de bekende begrippen in evenwichtig. catalogus. De belangrijkste reden voor het
ieder geval een grafische interface toe, ontbreken hiervan is misschien ook wel de
zodat de samenhang ook visueel vorm Mogelijkheden licentievorm. Bekende overzichten (denk
gegeven wordt. OSA heeft nogal wat informatie en je mag aan BITS) zijn niet vrij toegankelijk en
er (binnen de CC licentie) vrijelijk uit mogen daarom niet worden gebruikt. Om
OSA richt zich met name op IT Security. putten. Als je het op de keper beschouwt, die reden is OSA niet meteen als input te
Handig is in dit verband de mapping van heb je in no-time een hele security archi gebruiken voor CRAMM-achtige analyses.
NIST op CobiT en ISO17799 die op de site tectuur bij elkaar gesprokkeld. Kies je OSA gebruik je vooral voor de top down,
te vinden is. patronen en controls, een paar teksten ‘principle’ gebaseerde benadering.
Dat betekent niet dat de functionele kant vertalen en klaar is kees. Maar er zit meer
van informatievoorziening buiten in. Het biedt natuurlijk de mogelijkheid Vanuit het PvIB zouden we het OSA
beschouwing blijft. Zo worden diverse om binnen de gemeenschap te komen tot initiatief misschien moeten ondersteunen.
controls beschreven die invloed moeten een standaard architectuur die ook als Niet alleen omdat we dezelfde licentievorm
hebben op de bedrijfsvoering zelf. OSA toetsingskader bruikbaar is. Hoe groter hanteren (lekker makkelijk), maar ook
hanteert het volgende model om te komen de gemeenschap, hoe groter de kans ook omdat we binnen de vereniging met het
tot de functionele eisen die leiden tot de dat het framework breed gedragen als expert brief initiatief feitelijk een soort
security architectuur: een standaard toegepast kan worden. gelijk proces doormaken: het door experts
van verschillende pluimage samenwerken
aan het laten ontstaan van kennis en het
ontsluiten van die kennis, alles om bij
te dragen aan een hoger niveau van
beveiliging. Ook Ibpedia.nl lijkt heel veel
op OSA. Me dunkt dat beide sites elkaar
zouden moeten kennen.
Bronnen
OSA Website:
http://www.opensecurityarchitecture.org
NIST 800-53:
http://csrc.nist.gov/publications/
nistpubs/800-53-Rev2/
sp800-53-rev2-final.pdf
Afbeelding 4: OSA Functional requirements

Beveiligingsarchitectuur
in Jericho-stijl
Auteur: Aaldert Hofman > Aaldert Hofman CISA werkt bij Capgemini onder andere in de rol van security architect en werkt voornamelijk
binnen Financial Services. In de afgelopen jaren heeft hij zich verdiept in nieuwe technologieën als mashups en
de impact daarvan op security. Hij is bereikbaar via Aaldert.Hofman@capgemini.com.
Het wordt hoog tijd dat we eens wat verder komen dan de obligate introductie
tot Jericho en de Jericho Principes. Wat betekent Jericho in de praktijk van
een bedrijf? Dit artikel gaat in op hoe je van een perimeter model (P-model)
naar een deperimeterized model (DP-model1) komt en welke van de Jericho
principes daar direct invloed op hebben. Hoe ziet zo’n DP-model er uit en
hoe definieer je dat? De rol van classificatie wordt toegelicht. Welke principes
liggen hieraan ten grondslag en welke principes zijn het gevolg van het nieuwe
model? Kennis van Jericho, van architectuur en natuurlijk van informatie
beveiliging verwachten we als voorkennis.
Jericho-principes voor een DP-model Jericho Principe 1 – P en DP model Daarbij moeten we bedenken dat een
Het Jericho Forum (www.JerichoForum.org) De letterlijke tekst van Jericho Principe 1 asset beter is te beschermen naarmate
is een internationale kennisgroep is op het luidt: ‘The scope and level of protection de bescherming dichter op het asset wordt
gebied van IT-beveiliging , opgericht om should be specific and appropriate to the geboden.
nieuwe oplossingen te ontwikkelen die asset at risk’. Om nog maar weer eens het grootste
nodig zijn voor de beveiliging van IT- Deze eerste aanbeveling omvat de misverstand rondom Jericho uit de wereld
systemen in de open wereld. Het Forum basisbeginselen van een visie op een te helpen: Jericho schrijft beslist niet voor
stelt dat de traditionele benadering waarbij bestaan zonder grenzen. De bedrijfsvoering dat de traditionele firewall moet
het afdoende is dat een firewall de grenzen vereist dat informatiebeveiliging een verdwijnen! Duidelijk wordt aangegeven dat
van het netwerk bewaakt niet langer op flexibele bedrijfsvoering mogelijk maakt de traditionele firewall aan de buitengrens
gaat. Het traditionele onderscheid tussen
‘jouw’ en ‘ons’ netwerk verdwijnt.
Het Jericho Forum noemt deze ontwikkeling

en tegelijkertijd kosteneffectief is. Terwijl
aan de ene kant de firewall op de grens van
het bedrijfsnetwerk een basisniveau aan
van een organisatie kan blijven, maar niet
langer toereikend is als enige maatregel.
Individuele systemen, diensten en zelfs
‘de-perimeterization’ (ontgrenzing). beveiliging blijft bieden, moeten de gegevens dienen aanvullende maatregelen
individuele systemen en data (assets) te treffen en zo mogelijk zichzelf te
Het Jericho Forum definieerde de 11 in staat zijn om zichzelf te beschermen. beschermen.
Jericho Commandments (Jericho-principes).
Deze kunnen worden gezien als de
ontwerpprincipes die de meest essentiële
requirements omvatten voor IT-beveiliging  
in een wereld zonder grenzen. De aan  
bevelingen dienen als referentiekader
waaraan concepten, oplossingen,
standaarden en systemen kunnen worden  
getoetst.  
In het kader van dit artikel zijn vooral drie
van de 11 Jericho principes van belang.
Zijn de overige Jericho principes dan niet  
meer nodig of zijn ze minder belangrijk?  
Nee, dat is de verkeerde conclusie. Puur
voor de scope van dit artikel ligt de focus 
op de principes 1 en 6. Voor een volledig 
overzicht verwijs ik naar de site van het
Jericho Forum. Figuur 1 - Traditioneel P-model
[1] In navolging van het Jericho Forum zelf in het Jericho Position Paper over Cloud Cube Model, hanteer ik de afkorting P-model, respectievelijk DP-model voor een
Perimeter Model cq een Deperimeterized Model.


naar locatie, transactie, rol en het risico in
de transactie.
 
  Jericho Principe 6 heeft als doel om
modellen en technologieën inter-operabel
te maken om heldere en transparante
  niveaus van vertrouwen te realiseren.
  Dat is mooi, maar dat kan ook een enorme
hoeveelheid werk met zich meebrengen om
alle mensen, processen en technologie te
voorzien van een bekend en transparant
  niveau van vertrouwen. Het is veel
  handiger om aan te sluiten bij een
vertrouwd mechanisme, namelijk
classificatie. Ik neem aan dat er al een
  classificatieschema in de organisatie wordt
  toepast. Voor de eenvoud laat ik de
discussie of je nu processen, informatie
systemen of servers moet classificeren
even voor wat het is.
Evenmin ga ik in op het opstellen van een
  goed classificatieschema.
 
Voor dit artikel is mijn aanname dat er een
goed gedefinieerd classificatieschema is
 
Beveiligingsarchitectuur in Jericho-stijl
met een oplopende classificatie van 1

  tot en met 5 voor elk van de aspecten
Beschikbaarheid, Integriteit en
Figuur 2 - Volledig DP-model Vertrouwelijkheid. Dit schema is bekend
en transparant zowel binnen als buiten
In het traditionele P-model met een bekruipt u hetzelfde intuïtieve gevoel de organisatie. Bovendien is voor elk
generieke grensbewaking, meestal als bij mij: kan dat nou niet handiger? informatiesysteem de BIV-classificatie
bestaande uit (een systeem van) firewalls, Ja, maar daarvoor hebben we een ander bepaald en bekend, zoals in figuur 3
worden alle informatiesystemen op dezelfde Jericho principe nodig. aangegeven. Daarmee zijn we al een heel
manier beschermd. Besef daarbij wel dat eind op de goede weg om Jericho Principe
de afzonderlijke informatiesystemen Jericho Principe 6 - Een geclassificeerd 6 toe te passen in de praktijk.
normaal gesproken ook nog beschermd zijn DP-model
door bijvoorbeeld specifieke autorisaties De letterlijke tekst van Jericho Principe 2 De volgende stap ligt voor de hand: het
of functiescheiding. luidt: ‘All people, processes, technology definiëren van domeinen waarin
must have declared and transparent levels 
In de praktijk manifesteert een traditioneel of trust for any transaction to take place’.
P-model zich meestal als een rekencentrum, Dit Jericho-principe geeft aan dat in deze  
   
waarbij een intern en een extern netwerk context ‘trust’ uitgelegd moet worden als  
wordt onderscheiden. De grens tussen het tot stand brengen van wederzijds  
 
intern en extern netwerk wordt zwaar begrip bij de betrokken contractuele
bewaakt, maar eenmaal op het interne partijen in een transactie, inclusief de
 
netwerk wordt er geen of weinig onder verplichtingen die dit voor deze partijen  
scheid gemaakt tussen de informatie met zich meebrengt. Dit lijkt een wollige
 
systemen. zin, maar dat blijkt mee te vallen zoals  
ik later in dit artikel zal laten zien.

Nemen we nu Jericho Principe 1 ter harte,
 
dan moet de scope en het niveau van Verder geeft dit principe aan dat een  
beveiliging specifiek en toepasbaar zijn vertrouwensmodel zowel de mensen en  
voor het specifieke informatiesysteem dat organisaties, als ook de apparatuur  
we moeten beveiligen. Dat zou leiden tot en infrastructuur moet omvatten.

het DP-model uit figuur 2. Waarschijnlijk Het vertrouwensniveau kan verschillen Figuur 3 - Volledig DP-model met classificatie

informatiesystemen met dezelfde In stap 1 wordt vastgesteld welke niveaus toestandsdiagram met mogelijke transities
classificatie ondergebracht worden. van betrouwbaarheid voor personen worden gedefinieerd te worden.
Vervolgens laten we de afzonderlijke onderkend, inclusief naam en definitie. Bij het maken van het toestandsdiagram
grensbewaking voor die informatiesystemen In stap 2 wordt vervolgens vastgesteld spelen interessante vragen. Wanneer
vervangen door de grensbewaking van het welke transities tussen de niveaus mogelijk verliest de medewerker de status

domein (figuur 4). zijn. In stap 3 ten slotte worden de
transitiecriteria bepaald, inclusief de
‘betrouwbaar’ en naar welke status gaat
die dan? Naar ‘neutraal’ of direct door naar
meetbare criteria die per transitie aangeven ‘zwarte lijst’ of ‘onbetrouwbaar’? Leggen we
 
   
onder welke condities een transitie wordt bij een medewerker die een keer een foutje
 
uitgevoerd. De volgende alinea’s maakt gelijk een zware straf op door de
 
  behandelen deze stappen in meer detail. status te veranderen? Door dergelijke
vragen te beantwoorden en in kaart te
 
In stap 1 dienen twee belangrijke vragen brengen ontstaat het toestandsdiagram met
 




zich aan: hoeveel niveaus onderkennen we mogelijke overgangen.
  en welke zijn dat dan? Als we kijken naar
 
de normale gang van zaken binnen een Na het vaststellen van het toestands
organisatie met medewerkers, ligt het diagram is het model bijna compleet.




eerste niveau voor de hand. Een De niveaus zijn onderkend en de
 
  organisatie weet immers niets over een toegestane transities eveneens. Maar
 
 
nieuwe medewerker en elke medewerker onder welke voorwaarden welke overgang
krijgt het voordeel van de twijfel. Een wordt uitgevoerd, is nog niet vastgesteld.
Figuur 4 - Geclassificeerd DP-model nieuwe medewerker krijgt een neutrale, Dat is stap 3.
blanco status, namelijk die van ‘nieuw’. De criteria die definiëren welke transities
Merk op dat een geclassificeerd DP-model Zodra de eerste werkdag een feit is, krijgt mogelijk zijn, moeten specifiek en
waarin alle informatiesystemen dezelfde de medewerker kleur. Hij of zij begint met meetbaar zijn, want anders is het niet
classificatie hebben in feite overeenkomt een geloofwaardigheid van nul en brengt mogelijk om het betrouwbaarheidsniveau
met het P-model. In die situatie adviseer ik daar verandering in door betrouwbaar te automatisch vast te stellen.
om het toegepaste classificatieschema of handelen. Het werk wordt uitgevoerd. Voor een voorbeelduitwerking van een
de uitgevoerde classificatie nog eens goed Dat is conform de verwachting en de Multi Level Trust Model verwijs ik u graag
te evalueren. medewerker krijgt het niveau ‘betrouwbaar’. naar de eerder genoemde publicatie en naar
Merk bovendien op dat een belangrijke het Trust Framework zoals dat binnen de
reductie in complexiteit ontstaat omdat Het kiezen van de naam van het niveau is Open Group ontwikkeld wordt. Voor dit
ik in dit voorbeeld de classificatie per belangrijk. De status ‘nieuw’ impliceert artikel is het voldoende om als resultaat
informatiesysteem heb genomen. Strikt dat men daar nooit meer naar terug kan. van het gedefinieerde model aan te nemen
volgens Jericho Principe 6 is dit te grof en Want wat er ook gebeurt, het is positief of dat we voor medewerkers vier niveaus van
dient de classificatie per proces of per negatief en de medewerker wordt nooit vertrouwen onderkennen: nieuw, neutraal,
transactie (of per service) uitgevoerd te meer een nieuweling. Ter aanvulling betrouwbaar en zeer betrouwbaar (figuur
worden. In dat geval neemt de complexiteit definiëren we het niveau ‘neutraal’ voor 5).
enorm toe. de reguliere medewerkers die zich niet
Wellicht is het u opgevallen dat het bijzonder positief of negatief onder

vertrouwensniveau van personen tot nu scheiden.
toe buiten beschouwing is gebleven.
Daarover in de volgende paragraaf meer. Op basis van een normale gang van zaken  
ontstaat zo al snel een model met drie
Een Multi Level Trust Model niveaus van vertrouwen: nieuw, neutraal,
Jericho Principe 6 vraagt ook voor betrouwbaar. Dit basismodel is breed
personen een Trust Model met meerdere toepasbaar en organisaties kunnen het
niveaus. Ik verwijs graag naar mijn naar wens aanpassen. Het belonen van 
publicatie over dat Multi Level Trust Model loyale medewerkers kan een reden zijn
in Informatie2 of naar de presentaties van om een extra niveau te definiëren: zeer
de auteurs bij de RSA Conference of de betrouwbaar.
Open Group conference. Enkele aspecten

uit die publicatie zijn ook nu van belang. Het definiëren en benoemen van de niveaus 
alleen is niet voldoende. Welke overgangen

In het kort: bij het definiëren van zo’n tussen deze niveaus zijn mogelijk? 
model worden drie stappen doorlopen. Daarvoor dient in stap 2 het Figuur 5 - Multi Level Trust Model voor medewerkers
[2] ‘Waar baseert u dat vertrouwen op?’, door John Sluiter en Aaldert Hofman, Informatie, mei 2008

 
 
 
Let wel, hiermee wordt niet gesteld dat
daarmee ook autorisatie wordt gegeven tot
 
gebruik van alle functionaliteit van al die
informatiesystemen! Zoals eerder al aan
 
gegeven, de autorisaties per informatie
systeem zijn aanvullend ten opzichte van
de DP-domeinen.
  Trust Level Mag DP-domeinen gebruiken met
  Nieuw Classificatie 222 of lager
Neutraal Classificatie 222 of lager
Betrouwbaar Classificatie 333 of lager

    Zeer betrouwbaar Classificatie 555 of lager
   
Figuur 6 - DP-domeinen voor werkplek per Trust Level Ook in de Jericho-stijl architectuur geldt
nog steeds dat beveiliging over de hele
keten verzorgd moet worden, dus dat is
De status ‘niet te vertrouwen’ komt niet invulling te geven, is het combineren van tot en met de werkplek van de medewerker.
voor in het model, omdat die medewerkers het DP-model en de Trust Levels. Dat doen Onafhankelijk van de soort werkplek, de
Beveiligingsarchitectuur in Jericho-stijl
niet meer bij de organisatie werken. we door een tabel te definiëren waarin voor locatie of de randapparatuur die gebruikt
elk Trust Level aangegeven staat welke wordt. Dat impliceert dat we in het DP-
DP-model en Trust Levels gecombineerd geclassificeerde DP-domeinen (en daarmee model ook enkele domeinen op moeten
Het laatste stapje dat we moeten zetten de informatiesystemen in dat DP-domein) nemen voor de werkplekken van de
om Jericho Principe 6 zo volledig mogelijk

zij mogen gebruiken. medewerkers (figuur 6).
   

     
 
   

   
   

   
     

     
 
 
 
 
 
Figuur 7 - Het totale DP-model


   
     
 
   

   
   

   
   

   
Figuur 8 - Interactiemodel vanuit Trust Level Nieuw of Neutraal
Daarmee komt het totale DP-model er als domeinen nu wel of niet toegestaan is. wederzijds vast te stellen betrouwbaarheid
volgt uit te zien (figuur 7), waarbij we in De bron daarvoor is de eerder gedefinieerde niveaus. Dat is nodig zowel bij communi
totaal zeven verschillende domeinen tabel. In een DP-model met deze catie tussen gebruikers en services als
onderkennen. Drie domeinen voor de werkomgevingen zijn de consequenties voor tussen services onderling.
werkplekomgevingen van de medewerkers wat betreft de informatiebeveiliging en de
en vier geclassificeerde domeinen voor de interacties tussen deze werkomgevingen: Op zich zal samenwerking met anderen
informatiesystemen. niet hoeven te leiden tot aanpassing van
In de werkelijkheid van veel organisaties • Interactie tussen logische het DP-model. Immers, het is juist een
zal dit model te simpel blijken, werkomgevingen die hetzelfde BIV-niveau DP-model omdat we in een wereldwijd met
bijvoorbeeld omdat: leveren vereist geen specifieke elkaar verbonden wereld leven. Juist door
• Naast de medewerkers zijn er additionele beveiligingsmaatregelen het afschaffen van de grenzen, of meer
meer actoren met werkplekken te anders dan de reguliere bescherming correct gezegd het opnieuw definiëren
onderkennen, zoals daar zijn: klanten van de interactie (en die reguliere of inrichten van de grenzen, wordt de
en potentiële klanten, business partners bescherming biedt beveiliging tot het samenwerking met andere partijen
als intermediairs, toeleveranciers of gespecificeerde niveau). eenvoudiger.
afnemers, dienstverleners waaraan • Interactie tussen logische
een deel van de IT of zelfs hele werkomgevingen die niet hetzelfde Waar in de samenwerking wel nadrukkelijk
bedrijfsprocessen zijn uitbesteed. BIV-niveau leveren, vereist wel degelijk aandacht aan moet worden besteed, is aan
De diversiteit en complexiteit in additionele beveiligingsmaatregelen om de gedefinieerde Trust Levels en aan de
werkplekomgevingen wordt enorm. de interactie veilig te doen zijn. inzichtelijkheid en transparantie van de
• In theorie kan er voor elke mogelijke classificatie. Want alleen in dat geval kan
BIV-combinatie een apart domein Als voorbeeld toont figuur 8 het wederzijds het niveau van vertrouwen goed
gedefinieerd worden. Bij vijf interactiemodel gezien vanuit de vastgesteld worden.
verschillende classificatieniveaus werkplekomgevingen met Trust Level
leidt dit tot maximaal 5 * 5 * 5 = 125 Nieuw of Neutraal. Concluderend
verschillende domeinen. Dat is in de Het definiëren van een Jericho-stijl security
praktijk niet werkbaar en in de praktijk Jericho Principe 7 - Samenwerking met architectuur is goed mogelijk. Het
zullen ook lang niet alle combinaties anderen Perimeter-model is met behulp van
voorkomen. Maar het aantal van vier Nog even een woord over Jericho Principe classificatie van de informatiesystemen
verschillende geclassificeerde domeinen 7, dat stelt dat betrouwbaarheidsniveaus en met behulp van Trust Levels voor de
uit dit artikel is wel aan de lage kant. nu veelal eenzijdig worden bepaald, medewerkers goed om te zetten naar een
omdat er meestal geen mogelijkheid is De-Perimeter-model. In deze worden
Tot nu toe is in dit model niet in kaart tot wederzijdse vaststelling van dit niveau. met name de Jericho Principes 1 en 6
gebracht welke communicatie tussen welke Het Jericho Forum zoekt naar juist wel naar toegepast.

Functionarissen in de
Informatiebeveiliging
Auteur: Tom Bakker > Tom is lid van de redactieraad van Informatiebeveiliging en te bereiken via tom_bakker@deltalloyd.nl
Voor de aftrap voor de reeks Functies in de Informatiebeveiliging in de praktijk zoveel mogelijk bij de ICT en business
heeft Tom Bakker Ronald van Erven, Information Risk Officer bij de Grafische architecten in te brengen. En tot op heden
Bedrijfs Fondsen (GBF) geïnterviewd. In dit themanummer over Architectuur zal lukt dat aardig.”
nader worden ingegaan op de functies Business Information Security Architect
(BISA) en Information Security Architect (ISA). Kennen jullie een BISA en/of een ISA bij
GBF?
“De BISA functie bestaat niet als zodanig,
Wat heb je zoal gedaan in de informatie Informatie Beveiliging of ICT Security maar de taken worden wel uitgevoerd door
beveiliging en wat doe je nu? als nutsvoorziening. Net als dat je de business architecten en proces architecten.
“Ik werk sinds 1994 in informatie kraan open doet en veilig drinkwater De ISA functie heet bij ons ICT Architect.
beveiliging. Ik ben begonnen als network/ krijgt, moet de organisatie (lees: de Maar ook dit is een verzamelnaam voor
system specialist en in de periode 2000- eindgebruiker) op veilige ICT en netwerk, software/database of systeem
2008 ben ik IT security officer en IT informatie kunnen vertrouwen zonder architect. De ISO heeft een faciliterende
security manager bij Versatel en Translink de exacte eisen en infrastructuur te werking en helpt het architectenteam. Het
geweest. Tegenwoordig heb ik een kennen. De eindgebruiker van het is een doel van de ISO om het kennisniveau
modernere naam voor information security drinkwater weet globaal wat regels en qua beveiliging in het architectenteam op
officer (ISO), namelijk information risk eisen over drinkwater zijn en kan erop peil te brengen en te houden. Maar in de
officer bij GBF op de afdeling Risk & vertrouwen dat ze het kunnen gebruiken, praktijk blijkt dat de businessarchitecten
Compliance Management. In de wandel tot men instructies krijgt over dat het een goed zicht hebben op de informatie in
gangen heet het nog steeds ISO, misschien niet veilig is en dat men bijvoorbeeld hun bedrijfsprocessen en de waarde van die
wel omdat IRO niet klinkt. het water moet koken. Ditzelfde geldt informatie in relatie tot de CIA begrippen
Maar what’s in a name? Belangrijkste is voor ICT en ICT-beveiliging. De vanuit informatiebeveiliging. Maar de
leuk en uitdagend werk in het vakgebied. organisatie moet globaal van de hoed business- en proces architecten kunnen ook
Iets dat ik eigenlijk niet als werk zie, en de rand weten en de ICT-fabriek zorgt goed inschatten waar men controle of
maar een uit de hand gegroeide hobby. Het ervoor dat de ICT veilig is. Dit houdt in beveiligingmaatregelen zou willen nemen
leukste is de hoeveelheid creatieve mensen dat informatiebeveiliging in de genen en als dit een ICT maatregel is dan komt
die je tegenkomt. Mensen die er alles aan van ICT-ers moet zitten en dat elke men bij de ICT architecten. En in
doen om richtlijnen, beleid, beheer en manager in die ICT-fabriek aan samenspraak maken zij een technische-,
architecturen proberen te omzeilen.” (information) risk management moet procedurele- of bewustmakingsmaatregel.”
doen. De security specialist (IRO/IRM/
Hoe kijk je aan tegen architectuur en ISO) heeft dan een faciliterende rol en Op welke plek binnen in organisatie
security in het bijzonder? moet mensen bijstaan met oplossingen hoort een security architect thuis?
“De trend die ik bij mijn werkgevers inzet en scherp zijn op risico’s die over het “Het in de PvIB studie (functies in de
is dat security en dus het ‘security hoofd worden gezien. Een soort tweede- informatiebeveiliging) geschetste
architectuur-denken’ een nutsvoorziening is of derdelijns-beveiligings schil. principeplaatje van een organisatie vind
en dat het security-denken onderdeel moet ik teveel schijven en hokjes en zeker niet
zijn bij de ICT en business architecten. slagvaardig. Wij hanteren onderstaand
Een dedicated ISA is in elk geval bij de schema.
bedrijven waar ik werk geen optie. Het is Welke rol heb jij met betrekking tot
meer een rol die iemand die zich architect security architectuur?
noemt automatisch moet nemen en hij “Wat opvalt is dat veel mensen zich
wordt getoetst door of de IAD of door de tegenwoordig security architect noemen,
ISO/IRO (information security officer/ maar zich slechts op de techniek richten.
information risk officer).” Een architect of iemand die het security
architect-denken in zich heeft doet meer.
Kortom; ik heb wat als ISA (want dat is een
deelrol van mij) maar ik probeer altijd die
informatiebeveiligingsarchitectuur kennis

Het werkt als volgt: je hebt drie de ICT architectuur in beheer kan worden gelijk architect noemen. Je mist de
omgevingen: Controleren en Richting genomen. Door steeds weer te meten en te ervaring. Degenen die de investering doen
geven, Bouwen en Operationaliseren en rapporteren door de service manager en en eerst in de operatie gaan werken,
Onderhoud en Beheer.” aan de hand van een jaarlijks good-control- hebben het beste gevoel voor de business
program (audit programma, incl. technische en het vakgebied. Degenen die dan na vijf
“Bij controleren en richting geven wordt audits) uit te voeren door de ISO, kan de jaar de sprong naar ‘bouwen en
aan risico management en compliance organisatie continu verbeteren.” operationaliseren’ maken, zijn vaak de
management gedaan en geeft men beste architecten, pragmatisch ingestelde
richtlijnen t.b.v. informatiebeveiliging. Wat vind je van de competenties en het bouwers met een goede helikopterview over
Rapporterend aan de manager Risk & opleidingsniveau? het hele speelveld van de architecten.
Compliance.” “Zowel de business architect, proces Globaal hanteer ik onderstaande tabel met
architect of ICT architect zitten op HBO een eigen invulling op de competenties.
“Bij Onderhoud en Beheer zorgt men ervoor niveau, dan wel Master, en zijn in elk geval
dat de huidige ICT omgeving probleemloos lid van het PvIB. Certificeringen zijn niet Interviewkandidaten
loopt. Indien er een nieuwe functionaliteit nodig, maar helpen wel en hebben puur tot Voelt u zich na het lezen van dit interview
bij komt, dan stellen zij aansluit- of doel dat vakgenoten dezelfde taal spreken geroepen om ook geïnterviewd te worden
acceptatiecriteria op. Rapporterend aan de en elkaar via een professioneel netwerk over uw mening over of ervaring met
ICT operations manager.” snel kunnen vinden.” Functies in de Informatiebeveiliging?
Meldt u zich dan aan als interviewkandidaat
“Bij Bouw en Operationalisering vertaalt “Belangrijkste is ervaring. Je kunt niet van bij Tom Bakker. Hij is bereikbaar via
men alle (acceptatie) eisen en richtlijnen de hogeschool of universiteit komen en je Tom_Bakker@deltalloyd.nl.
in business- en ondersteunende ICT
architecturen en bewaakt men deze WO –
Ervaring in Competenties (uit de PvIB
blauwdrukken, inclusief de gestelde eisen HBO – Certificaten
jaren functie in IB rapport)
MBO
vanuit het bedrijfbeleid, ICT beleid, risico
& compliance management en de Controleren HBO+; RE; CISA of CISSP 5> - Integriteit
acceptatiecriteria vanuit beheer. Het is - Omgevingsbewustzijn
in deze groep die, naast de innovatie en - Organisatiesensitiviteit
- Overtuigingskracht
bewaking van de architecturen, ook de
- Stressbestendigheid
beleidsdocumenten in beheer heeft en
- Visie
deze operationaliseert. Voordeel is dat de
- Analytisch vermogen
business en ICT architecten veelal
- Doorzettingsvermogen
betrokken zijn bij beleidsvorming. Maar - Voortgangsbewaking
het voordeel wordt nog groter als zij het
beleid en hun architecturen mogen Focus op ICT HBO+; CISSP; product 5> - Integriteit
Architecten certificaten - Omgevingsbewustzijn
operationaliseren. Zo blijven de architecten
- Organisatiesensitiviteit
een gevoel met de ‘werkelijke’ wereld en
- Overtuigingskracht
bedrijfsvoering houden.
- Visie
De architecten hebben als direct
leidinggevende een manager Innovatie
- Creativiteit
en Ontwikkeling met een functionele - Initiatief
sturing vanuit het business management. - Samenwerken
En innovatie houdt niet in continu nieuwe
technologieën naar binnen halen, maar ook Beheerders MBO/HBO; willen leren! starters - Doorzettingsvermogen
(voor certificaten - Leiderschap
continu verbeteren en ‘fine-tunen’ om zo de
+ CISSP) - Integriteit
beste efficiëntie en effectiviteit te krijgen
in de processen en ondersteunende ICT.”
- Kwaliteitsgerichtheid
- Leervermogen
“Vervolgens is het richtlijnen geven aan de - Resultaatgerichtheid
ICT architecten. Zij ontwerpen en bouwen. - Samenwerken
Daarna wordt er getest en worden de - Voortgangsbewaking
acceptatiecriteria gecontroleerd, waarna

Architectuurprincipes versus
projectmatig opportunisme
Auteur: Lex Borger > Lex Borger is Principal Consultant Information Security bij Domus Technica en redacteur van dit blad. Hij is bereikbaar
via lex.borger@domustechnica.com.
Een terugkerend thema in mijn werkzaamheden als beveiligingsexpert is dat ik elkaar, die nooit tot elkaar kunnen komen.
geconfronteerd word met het spanningsveld tussen de principiële aanpak van Of toch wel? Wat als we het niet meer als
architecten en de opportunistische insteek van projectmedewerkers. een strijd zien, maar als een spel? Door uit
Architecten kunnen zich aardig ingraven in hun principes die gevolgd moeten de overlevingsmodus te komen en het
worden en projecten hebben maar een beperkte tijd en middelen tot beschik- geheel als spel te zien, kunnen we ook het
king om een resultaat te bereiken. Het opvolgen van de architectuurprincipes speelveld en de spelregels tot ons laten
heeft soms tot gevolg dat een project meer kosten moet maken. Ik denk dat doordringen. Uiteindelijk zijn we met zijn
beveiligers vaker dan anderen hiermee te maken krijgen, doordat beveiliging allen bezig een succes te realiseren voor
vereist dat er met een andere insteek naar de materie gekeken wordt. één organisatie, die ons daarvoor beloont.
Hoe moeten we omgaan met dit spanningsveld? Ik heb daar wat gedachten Vergelijk dit eens met verschillende
over, die ik in dit artikel opgeschreven heb. voetbalclubs als Ajax en Feyenoord, die dit
jaar met goede spelers niet in staat zijn
Bijvoorbeeld: stel dat bij de realisatie van beloofd heeft dan waargemaakt kan worden, geweest een toppositie te realiseren en ze
een nieuwe applicatie ook een geheel nieuw of bij invulling blijkt dat het kostenplaatje lieten AZ met de roem en glorie wegkomen.
multi-factor authenticatiesysteem gebouwd niet meer past. Elke verstoring lijkt gelijk te Waar zit het verschil? In de voetbalwereld
moet worden. Strategisch gezien is dit een leiden tot de discussie ‘moet het project nu is het eenvoudig: de trainer heeft het
keuze die zinvol is, het project zal dit graag de last dragen van de implementatie van gedaan.
opnemen binnen de scope van het project, een dienst omdat het de eerste gebruiker
zolang ze er de ruimte voor krijgen. van de dienst is?’ Ook de politiek zit vol met principiële ego’s
Vervolgens komt er druk te staan op het en opportunisten. In deze wereld worden
project – het moet eerder klaar, of de Dit lijkt vaak een moeilijk te overbruggen de verschillen vaak levensgroot uitvergroot
selectie van het authenticatiesysteem duurt tegenstelling: de principiële aanpak en de en is de wil tot samenwerken ver te
wat langer doordat de leverancier wat meer opportunistische weg zijn tegenpolen van zoeken, vooral rond verkiezingstijd.
Cooperation, Wbs 70, via Flickr

Toch waren de meest succesvolle kabinet moeten luisteren, ze begrijpen en op hun
ten gestoeld op een goede, intrinsieke waarde schatten. Als gevolg kunnen beide
samenwerking. We kunnen uit de politiek in partijen hun argumenten beter formuleren.
ieder geval leren wat we niet willen: Het is eigenlijk heel menselijk: ga uit van
• Exclusief gelijk willen krijgen – terwijl het goede in ieders standpunt, weeg het
beide partijen beiden gelijk kunnen op waarde en behandel het met respect.
hebben.
• Vanuit een machtspositie iets opleggen Even terug naar het voorbeeld van het
– als het tij keert wordt er eerst veel authenticatiesysteem. Door opnieuw te Opposition, *Abhi*, via Flickr
energie gestoken in het ongedaan maken bekijken of en waarom het systeem nodig is,
van het ‘onterecht’ opgelegde. kunnen we de strategie en projectuitvoering Als een authenticatiesysteem bijvoorbeeld
• Alles helemaal uitpraten totdat er een zinnig bijstellen. De noodzaak kan al niet meer voor alle gebruikers geldt, maar
universele consensus is – polderen heeft opgeschreven zijn bij de architectuur alleen voor externe gebruikers, die op
zijn nut, maar tot op een bepaald niveau. documentatie, anders moet dat alsnog dat moment al een werkbaar alternatief
Er moet wat gebeuren. Er mag verschil achterhaald worden. hebben. Terugzoekend blijkt dat het
van inzicht overblijven, maar er mag authenticatiesysteem tot doel had juist
geen verlamming optreden. Het is helemaal niet taboe om af te wijken een universeel authenticatiesysteem
van je principes, als je weet dat het te leveren. Het compromis is geen win
Het wereldje van architecten en projecten principieel beoogde doel nog steeds bereikt voor architectuur en geen win voor
zit vol met politici. Er is in het wereldje wordt. Het dient wel een win-win situatie het project. Beter is het dus om het
echter geen eenvoudige equivalent van de voor beide partijen. Drie belangrijke project te ontslaan van de verplichting
voetbaltrainer. Het is niet de projectleider afwegingen die naar mijn mening bij iedere het authenticatiesysteem te realiseren
of de programmamanager, ook niet de bijstelling gemaakt moeten worden zijn: door het buiten scope te plaatsen.
architect of zijn management. Al deze
partijen zijn in feite spelers. Deze spelers • Kan het eenvoudiger? Architectuur is • Is er niet een geheel ander
zouden elkaar de ruimte voor andere gemaakt zonder specifieke situaties in alternatief? Architectuur geeft ons de
standpunten moeten gunnen en hun eigen ogenschouw te nemen. Het kan zijn dat weg naar een visie. Soms zijn bepaalde
rol (of dat nu die van principieel of van de vertaling van de architectuur in de wegen nog niet goed in kaart gebracht,
opportunist is) vanuit dat gevoel van context van een project nieuwe inzichten soms blijken wegen anders te lopen
ruimte kunnen spelen. De rol van het oplevert die in de architectuur verwerkt dan verwacht. De korte geschiedenis
middenmanagement lijkt het meest op kunnen worden als aanpassingen, van de automatisering heeft ons dit al
die van de trainer. Zij overzien zowel in plaats van onevenredig grote meermalen geleerd. Ik illustreer dit met
de ontwikkeling van projecten, als de inspanningen te eisen van een project. twee trends, die veelbelovend waren,
dagelijkse uitvoering. Zij zitten in Als een authenticatiesysteem gekoppeld maar die belofte niet waargemaakt
stuurgroepen van projecten en hebben moet worden met bronsystemen en hebben.
belang bij een beheersbare uitvoering. doelsystemen kan er een strakgeleide,
De vraag is: kunnen zij zich verheffen onbespreekbare koppeling opgelegd Fat-client computing
boven het opportunisme dat leidt tot een worden vanuit architectuur of er kan in De PC bracht de computer op het bureau
onbeheersbare uitvoering of de principiële het licht van architectuur gekeken worden in de tachtiger jaren en het werd de
blokkade tegen ongewenste veranderingen? naar de beoogde werking van het systeem vanzelfsprekende plaats waar verwerking
Oftewel; kunnen zij de nodige ruimte en vanuit het oogpunt van de leverancier. werd gedaan. In de integratie met de
het respect geven aan beide partijen zodat In mijn ervaring levert deze dialoog backoffice systemen werd dit ook
de discussies op de werkvloer gaan over vaak een stabielere infrastructuur op, doorgezet. De fat client was geboren.
het verbeteren van de bedrijfsvoering in dan blindelings de architectuurprincipes Zelfs de internet browser hebben we
plaats van over het gelijk van de een of te volgen alsof het dogma’s zijn. Door kunnen omtoveren tot een fat client.
de ander? af te wijken van de beoogde werking De laatste jaren krijgen we steeds meer
Uiteindelijk horen we allen dankbaar te van de leverancier verhoog je de door dat het beheren en beveiligen hiervan
zijn voor de inbreng van de ander – door implementatiekosten en het bijbehorende te moeilijk en tijdrovend is en gaan we
de dialoog aan te gaan met je tegenpool, risico. De transitie naar nieuwe versies terug naar thin client oplossingen. In
ben je bewuster van je eigen opstelling. kan ook problematischer verlopen. feite hebben we met zijn allen moeten
In plaats van de energie te steken in het constateren dat de mainframe terminal nog
expliciet maken van de tegenstelling • Zal het systeem echt gebruikt niet zo’n slecht concept is. Alle belangrijke
kunnen we ons dan ineens richten op worden? Vaak genoeg leveren de verwerking vindt plaats in de veilige om
een samenwerking. De dialoog maakt compromissen die bereikt worden bij geving van het mainframe in het data
uiteindelijk dat beide partijen in de een scopebijstelling van een project center. Nu stoppen we fat-client computing
discussie naar de argumenten van de ander helemaal geen werkbare situatie meer op. weg in gevirtualiseerde desktops.

CISO’s van gerenommeerde bedrijven zich
ook. De bestaande principes rondom de
firewall werkten niet meer. Als antwoord
schreven ze een aantal principiële
inzichten op ter de-perimetrisatie van het
netwerk en richtten ze het Jericho Forum
op (zie links). Ook hier zien we dus een
succesvolle breuk met het gevestigde
firewall dogma en het inzetten van een
principieel nieuwe richting.
Conclusie
Ik weet zeker dat er velen zullen zijn die
Architectuurprincipes versus projectmatig opportunisme
een andere kijk hebben op dit vlak. Geheel

in lijn met wat ik hierboven heb
opgeschreven, verwelkom ik die
alternatieve inzichten. Architectuur is een
discipline die niet meer weg te denken is
uit een gezonde bedrijfsvoering.
Architectuur is onlosmakelijk verbonden
aan informatiebeveiliging, het is niet
langer het exclusieve domein van de
security expert. Architecten vormen geen
kleine partij meer die vanuit de eeuwige
oppositierol en hun eigen overtuiging
dictaten roept. Het zijn professionals, die
volwaardig mee zouden moeten spelen.
Controversy, Aprilzosia, via Flickr
Wat ik met dit artikel aangeef, is dat
De firewall levert op: architecten – win, projecten – wanneer het spel goed en eerlijk gespeeld
Netwerkbeveiliging werd in de negentiger lose. Men is er weer succesvol in geslaagd de wordt, er geen architectuurbeslissingen
jaren synoniem met een firewall. Vervolgens inzet van een waardevol, nieuw mechanisme meer doorgedrukt hoeven te worden ten
zagen we ook dat de firewall geïntegreerd tegen te houden. koste van projecten. Of omgekeerd: dat een
werd in netwerkapparatuur; meer functio project zegeviert en architectuur het
naliteit kreeg. Aan deze ontwikkeling leek Maar dit houdt natuurlijk geen stand. De onderspit delft. Ik pleit ervoor om niet
geen eind in zicht te zijn. Elk beveiligings tweede reactie was dan ook: ‘SSL mag, maar dogmatisch achter architectuurprincipes
probleem kon principieel in de firewall dan wel met onderbreking in de firewall’. Dit aan te lopen, maar om ook pragmatisch
opgelost worden. Het gebruik van standpunt is naar mijn mening echt een met een project mee te denken, maar dan
encryptietunnel techniek gaat hier echter lose-lose scenario voor zowel de architectuur wel met de businesscase van het dogma in
dwars tegenin. Een encryptietunnel als de implementatie. De veiligheid van de het achterhoofd.
realiseert een verbinding waar een firewall SSL-tunnel wordt structureel onderbroken op
bij inspectie weinig over te weten kan een plaats die veel kwetsbaarder is dan de
komen. PC op mijn bureau, namelijk op een server in URLs
de DMZ zone. Verder is het voor mij als
Ik heb meegemaakt dat de eerste reactie eindgebruiker niet meer te controleren of de Thin client (& fat client) - Wikipedia
van de architecten was: ‘Encryptietunnels SSL-tunnel wel helemaal correct is http://en.wikipedia.org/wiki/Thin_client
mogen niet!’ Vervolgens bleek dat niet vol te opgebouwd. En helaas is deze controle nog
houden, vooral SSL-tunnels werden steeds hard nodig, een man-in-the-middle - New Tricks For Defeating SSL In Practice
gemeengoed en dienen ook duidelijk hun aanval op mijn SSL-tunnel is gestructureerd – Moxie Marlinspike
nut. Ineens hoeven er geen dure leased-lines en scriptmatig mogelijk, zonder de encryptie http://www.blackhat.com/presentations/
meer ingezet te worden om veilig met zelf te breken. Als illustratie hiervoor bh-dc-09/Marlinspike/BlackHat-DC-09-
derden te kunnen communiceren. kunnen sslsniff en sslstrip dienen (zie links). Marlinspike-Defeating-SSL.pdf
Communicatie kan veilig over het grote,
boze internet. Inmiddels heeft SSL zijn De weg van de firewall als primair - Jericho Forum - About: Vision-Mission
waarde als beveiligingsprotocol wel bewezen. mechanisme voor netwerkbeveiliging loopt http://www.opengroup.org/jericho/about.htm
Dus het standpunt ‘geen encryptietunnels’ dus dood. Dat realiseerde een groep van

Toegang tot patiëntgegevens
Auteur: L.T. van der Krogt > Leon is werkzaam bij het UMCG voor de afdeling ICT Beleid. Vanuit wetgeving, landelijke
ontwikkelingen en eisen vanuit de business werkt ICT Beleid aan een passende architectuur
voor een veilig elektronisch patiënten dossier.
Het Universitair Medisch Centrum Groningen

Elke dag zijn er 1000 bedden in gebruik door patiënten die behandeld
worden en er werken meer dan 9.000 mensen samen aan zorg, onderzoek,
opleiding en onderwijs. Jaarlijks zijn er ruim 31.000 opnames, er komen
er zo’n 32.000 patiënten op de Centrale Spoedopvang en er studeren
ongeveer 3.400 studenten.
In dit artikel neem ik u graag mee in de worden als het architectuurontwerp ten voldoen aan de Wet Bescherming
discussie ‘toegang tot patiëntgegevens’. uitvoer wordt gebracht. Dit ontwerp is Persoonsgegevens (WBP), Wet op de
Een actueel onderwerp dat tot verhitte niet een alledaags ICT ontwerp, want het Geneeskundige Behandel Overeenkomst
discussies leidt. Vanuit verschillende laat de techniek even voor wat het is. (WGBO), Wet medisch-wetenschappelijk
belangen wordt gekeken naar dit Het onderwerp is al ingewikkeld genoeg onderzoek met mensen (WMO), de Archief
probleem: de zorgverlener die gewoon het zonder ICT. Belangrijk is te constateren dat wet 1995, etc. En straks ook de Wet op
dossier wil inzien, de patiënt die inzage iedereen zijn eigen definities hanteert en het Elektronisch Patiënten Dossier (EPD).
wil beperken en de zorgverzekeraar die deze hebben we dan ook geslecht door het Vanuit deze laatste wet moet, voor het
graag wil weten waarvoor hij betaalt. eens te worden over de definities en vast aansluiten op het landelijke EPD, de
En in de universitaire setting zijn er ook te leggen als basis voor verdere discussie. toegang tot de informatie traceerbaar zijn.
nog wat wensen, zoals de onderzoeker En voor de rest wil de business er geen last
die allerlei dwarsdoorsneden wil kunnen Over het doel zijn we het snel eens: van hebben en is het vooral een niet leuk
maken van dossiers of de professor die optimale privacy met zo min mogelijk ICT feestje. Wat we nodig hebben is een
zijn studenten graag inzicht geeft in inspanning, die wel voldoet aan de wet. duidelijk richtlijnen document: hoe om
de interessante patiënten die op dat Concreet houdt dit in: de juiste toegang te gaan met toegang tot informatie. Dit
moment in behandeling zijn. Kortom; (identiteit) tot de juiste informatie (need moet voor zowel de business als de ICT
de ‘never ending story’ begint hier! to use) en het liefst nog op de juiste plaats begrijpelijk en bruikbaar zijn.
(locatie) en het juiste moment (tijd).
De echte ICT-er roept gelijk RBAC! Ooit wel Ondanks de ontwikkelingen naar WEB2.0,
eens gekeken naar RBAC? De literatuur die Het waarom is duidelijk: we willen graag waar de hiërarchie is losgelaten, zie je dat
hierover te vinden is, doet je de moed in de privacy van onze patiënten respecteren we toch graag vasthouden aan hiërarchie.
de schoenen zakken. Het starten van een en natuurlijk moeten we als zorginstelling Dat komt doordat organisatiestructuren,
discussie over role-based access control is
dan ook een lang slepende, die meestal
blijft hangen in de eerste letter: de rol.
In de praktijk lopen we gruwelijk vast
doordat traditioneel de autorisatie op
systeemniveau geregeld wordt, soms
op applicatieniveau, maar zelden op
informatieniveau. De diversiteit van
autorisatie is dan ook groot. Veelal zijn
toegangsregistraties vastgelegd op de
niveau’s systeem of applicatie en niet
op toegang tot informatie.
Na een aantal brainstormsessies met

mensen uit de zorgbusiness zijn er toch
genoeg punten op tafel gekomen om te
starten met een architectuurontwerp.
Ook zijn er een aantal belangrijke punten
naar voren gekomen die opgelost moeten Figuur 1 - Van toegang tot systeem naar toegang tot informatie

maar ook ICT systemen uitgaan van Hierdoor zijn we in staat standaard Het zorgtraject is opgebouwd uit diverse
hiërarchie. Zo hebben we dus gekozen profielen te maken en te koppelen aan zorgpaden en een zorgpad bestaat weer
voor de persoon als hoogste object en het rollen. Zo ontstaat dus een basis van uit verschillende processtappen. Binnen
informatieattribuut als laagste. Dat de wettelijke profielen. deze processtappen wordt weer medische
infrastructuur hiërarchisch is, houdt niet en niet medische informatie vastgelegd
in dat je geen invulling kunt geven aan Een abstract medisch dossier en gebruikt.
WEB2.0. Doordat de infrastructuur logisch Alleen al over de indeling van het medisch
wordt opgebouwd, kan er beter geauto dossier kan een boek geschreven worden! Domeinen en doelgroepen
matiseerd worden. Hierdoor kunnen Om de toegang specifiek te maken, moet Dat de zorg niet eenvoudig is, wisten we al
autorisaties door de juiste business de informatie worden gecategoriseerd. maar in een universitair ziekenhuis heb je
verantwoordelijke via een zelfservice Ook hiervoor hanteren we een model om te maken met meerdere domeinen waar
worden geregeld. De informatie wordt op de complexiteit te verminderen. Voor de per domein verschillende regels gelden.
basis van standaard profielen conform de architectuur is de inhoud niet echt van Zo onderkennen we de domeinen: zorg,
wet aangeboden aan de business. Zo hoeft belang, maar is het belangrijk om te onderzoek, onderwijs & opleiding en
er alleen nagedacht te worden over de onderkennen dat informatiecategorieën ondersteunend. Het lastige is dat binnen
afwijkingen op de standaard en het risico nodig zijn om de toegang op categorie deze domeinen meerdere doelgroepen
dat de business hiermee loopt. niveau te kunnen bepalen. actief kunnen zijn, zoals de zorgverlener,
De meeste categorieën zijn logisch en de patiënt, de zorgconsument en de
Met de organisatie en infrastructuur rechtlijnig te gebruiken. Anders is het medewerker. En allemaal gebruiken ze een
hiërarchie zijn we gaan invullen en kwamen met episodegebonden informatie. Kijken deel van het dossier. De facilitaire dienst
we tot het volgende model: een persoon we naar de WGBO dan zien we dat een die de maaltijd bereidt en bij de patiënt
heeft een beroep, heeft een specialisme, zorgverlener alleen toegang tot een dossier bezorgt, moet weten wat de patiënt eet en
heeft een functie, heeft een rol(werkveld) mag hebben als deze een behandelrelatie waar deze verblijft. De facilitaire dienst
en wil toegang tot informatie. heeft met de patiënt voor het ziektebeeld heeft niets te maken met de medische
waarvoor de behandeling is aangevraagd: gegevens. De onderzoeker die graag
Als je kijkt naar de techniek zie je een de episode. Breekt een psychiatrisch dwarsdoorsneden van dossiers wil maken,
zelfde hiërarchie: de organisatie gebruikt patiënt zijn been, dan mag de arts die mag niet bij de persoonsgegevens.
een systeem, gebruikt een applicatie het been herstelt, geen toegang hebben En professor die ‘s middags zijn zaalrondes
scherm, gebruikt een functionaliteit, tot het psychiatrisch dossier. In het doet, mag ’s avonds in de collegezaal niet
gebruikt een profiel dat toegang geeft traditionele papieren dossier is dat niet de persoonsgegevens van de patiënt tonen.
tot informatie. ingewikkeld, dit papieren dossier bevind Zeker deze laatste doelgroep maakt het
zich op de afdeling psychiatrie en is lastig om een goed werkbaar architectuur
Hier zie je aan de linkerkant het beleid, alleen toegankelijk voor zorgverleners op ontwerp te maken.
de keus die we gemaakt hebben in de die afdeling.
hiërarchie en aan de rechterkant de uit
voering zoals die in de infrastructuur
herkend wordt. Opeens wordt het duidelijk
waarom de huidige registraties van toegang
tot systemen niet meer bruikbaar zijn.
Het Excel werkblad waarop nu de persoon
en de toegang tot een systeem wordt
geregistreerd, zegt niets over de informatie
die de persoon kan benaderen. Met de
huidige toegangsregistraties is het
achterhalen wie nu toegang heeft tot
informatie voor een auditor een lastig
en tijdrovend karwei.
In dit model gaan we uit van toegang tot
informatie behorend bij de rol. Kijkend
naar de WBP en WGBO weten we welke
informatieattributen wel of niet toe
gankelijk mogen zijn voor bepaalde rollen. Figuur 2 - Abstracte indeling patiëntdossier

Figuur 3 - Controleregels voor toegang
Rol gebaseerde toepassingen het UZI-register, DigiD als vertrouwde Dezelfde regel geldt ook intern.
Een ontwerp maak je niet alleen voor identiteitleverancier worden onderkend. Nog een belangrijke regel die te maken
toegangsbeveiliging, je kunt er veel meer heeft met de vernietigingsplicht: de
mee. Zo kan bij het aanmelden worden Aandachtspunten houdbaarheidsdatum van de opgevraagde
vastgesteld welke rol er aan hangt en kan 1 Zorg dat de instantie die de identiteit informatie. Ook hier wordt vaak opgemerkt
een voor die rol standaard schermopbouw levert als vertrouwd wordt onderkend. dat dit overbodig is, als de informatie
worden getoond. Ook kan een voorselectie 2 Zorg voor een koppeling tussen vernietigd is, kun je het niet meer
van informatie worden gedefinieerd op infrastructuur en het personeelssysteem. opvragen. In theorie klopt dit, maar
bijvoorbeeld het specialisme. Zo krijgt een 3 Zorg dat niet-medewerkers ook in het praktisch gezien kun je dossiers niet
internist meer generieke informatie te zien, personeelssysteem geregistreerd kunnen volledig vernietigen omdat deze vele malen
terwijl in hetzelfde hoofdscherm een worden. op back-upmedia staan. Het kan dus
chirurg meer detailinformatie krijgt van voorkomen dat een patiënt een opdracht
dezelfde patiënt. Voorwaardelijk toegang tot vernietiging geeft. Als patiënt wil je
De functie kan gebruikt worden om een Natuurlijk krijg je niet zomaar toegang tot hier niet een jaar op wachten tot het
mandaat vast te leggen. Zo kan een arts patiëntinformatie. Er zijn nog een aantal dossier ook uit de back-ups verdwenen is.
een arts in opleiding bepaalde patiënten barrières waar je doorheen moet. Neem Ook hebben we te maken met de archiefwet
toewijzen, zodat de arts in opleiding onder bijvoorbeeld de behandelrelatie die vanuit die vereist dat medische dossiers
supervisie van de arts dossiers kan inzien de WGBO verplicht is. Heb je geen onveranderbaar opgeslagen worden (zie
om een consult voor te bereiden. behandelrelatie met de patiënt, dan krijg link 2). De digitale archiefmedia die we
je geen toegang anders dan via de nood inzetten als archief zijn natuurlijk zo
Aandachtspunten procedure. Ook de toegang via de gebouwd dat er niets meer vernietigd
Het gebruik van rollen, functie, specialisme noodprocedure is vastgelegd in de WGBO. kan worden.
en beroepen kan voor meerdere doelen De WBP voegt nog wat regels toe voor de
gebruikt worden: bescherming van de patiënt (link 1). En als Aandachtspunten
• Vaststellen authenticiteit (vertrouwen) je als patiënt je eigen gegevens wilt inzien, 1 Zorg dat identificatie van zowel de
• Autorisatie (toegang) moeten we de leeftijd controleren. Ben je zorgverlener als de patiënt altijd
• Schermen (lay-out) jonger dan 12 jaar, dan mag inzage alleen eenduidig zijn (UZI & BSN).
• Informatie (inhoud) met toestemming van je wettelijke 2 Er moet een mandaatregeling zijn om de
• Mandaat (in opdracht van) vertegenwoordiger. Op je 12de mag je zelf wettelijke vertegenwoordigers toegang te
• Single Sign-on (gebruikers gemak) wel aanvullen maar niet corrigeren, dat verlenen tot de informatie van de (pleeg)
• Decentraal Rolbeheer (manager bepaald mag de wettelijke vertegenwoordiger dan kinderen.
wat een rol kan) weer wel. Ben je tussen de 12 en 16 jaar, 3 Een koppeling met het Landelijk EPD
dan heb je zelf toegang en mag de is nodig voor het invoegen van de
Vaststellen van de authenticiteit wettelijke vertegenwoordiger niet zonder eventuele bezwaren.
Binnen de zorg mag de identiteit van een meer informatie aanvullen. Ben je ouder 4 Het vernietigen van een dossier in ieder
persoon niet meer vastgesteld worden aan dan 16 jaar, dan mag je zelf het dossier geval regelen door deze niet te tonen
de hand van een gebruikersnaam en inzien, aanvullen en corrigeren. De aan de aanvrager.
wachtwoord. Dit is immers niet herleidbaar wettelijke vertegenwoordiger is dan de
tot de natuurlijke persoon. Zelfs het kijken toegang ontzegd.
in een medisch dossier moet tot op de Het landelijke EPD doet de laatste duit in
persoon herleidbaar zijn. Hiervoor zijn het zakje. Een patiënt kan bezwaar maken
sterke identificatiemiddelen en een tegen inzage in het dossier op zorg
identificatieproces noodzakelijk. En moet verlenerniveau of dossierniveau bij het
bijvoorbeeld het eigen personeelssysteem, opvragen vanuit andere zorginstellingen.

Informatiecategorieën verzameling wettelijk verplichte velden
De informatie moet gecategoriseerd worden uit andere categorieën moeten regelen.
om de toegang tot die informatie goed te
kunnen regelen. Dit kan door profielen te De praktijk van beroepen, functies en
definiëren waarmee de toegang tot deze specialismen
specifieke informatie geregeld wordt of In de brainstormsessie kwam naar voren
beter, vooraf de informatie classificeren dat beroep, functie en specialisme door
zodat bij het benaderen van de informatie elkaar gebruikt worden in diverse, niet
het juiste profiel gekozen wordt. gekoppelde systemen. Medewerkers worden
Informatie moet geclassificeerd worden aangenomen in een bepaalde functie,
volgens WBP en WGBO. Niet iedere gekoppeld aan een salarisschaal. In de loop
zorgverlener hoeft het huisadres van van de carrière wordt de functie anders
de patiënt te zien. Ook de keuken die de ingevuld of krijgen ze een andere functie
maaltijd bereidt voor de patiënt hoeft met behoud van de vorige door een
alleen maar het dieet, de afleverlocatie en vangnetconstructie. Ook worden
de aflevertijd tijd te weten. specialismen als functie geregistreerd. Er is
Vanuit de WBP is het niet toegestaan om dus veel vervuiling van de functietabel van
bijzondere persoonsgegevens vast te leggen het HR systeem. Ook in de elektronische
(zie link 3). Er ontstaan een aantal hoofd telefoongids worden de drie niveaus door
categorieën zoals: persoonsgegevens, elkaar gebruikt. En dat terwijl er voor de
niet-medische gegevens, bijzondere zorg wettelijke beroepen geregistreerd
persoonsgegevens, medische gegevens, zijn (zie link 5) en de UMC’s een de
episodegebonden gegevens en facto standaard voor functies heeft.
specialismegebonden gegevens. Steeds De Functiewaardering voor Academische
weer hebben we de discussie waarom we Ziekenhuizen (FUWAVAZ) bevat de basis
een categorie bijzondere persoonsgegevens voor de functies in de academische zorg.
hebben als we deze gegevens toch niet Helaas heeft deze niet een relatie met de
mogen vastleggen. Bij het categoriseren beroepen in de zorg die vanuit de wet zijn
van nieuwe gegevens is het van belang dat geregeld. Deze moet dus zelf aangebracht
deze attributen niet per ongeluk onder een worden.
andere categorie gezet kunnen worden.
Er zijn medische onderzoeken waarbij de Aandachtspunten
afkomst van een bepaald ras van belang is. 1 Gebruik WBP, WGBO en andere
Dit mag alleen geregistreerd worden met brancheafhankelijke wetten als basis
ontheffing van College Bescherming voor de classificatie.
Persoonsgegevens (CBP). 2 Zorg dat er één bron van beroepen,
Wat het lastig maakt, is dat er weer functies en specialismen benoemd is.
uitzonderingen komen op de categorieën. 3 Zorg dat diverse registraties zoals
Zo zal vanuit de Wet op het EPD zal straks telefoongids, personeelssysteem
bepaald worden dat allergie ook zichtbaar en gebruikersregistraties dezelfde
moet zijn in de professionele samenvatting naamgeving en niveaus hebben.
(zie link 4) zodat er in de keuken of bij 4 Zorg voor een aliastabel voor functies
voorbereiding van de operatiekamer ook om vangnetconstructies in tact te laten.
rekening gehouden kan worden met 5 Een persoon kan meerdere beroepen
bepaalde allergieën. uitoefenen, meerdere specialismen
Dit pleit niet voor het aanpassen van de en rollen hebben.
basiscategorieën maar om uitbreiding 6 UZI-pas bevat niet alleen de
daarvan naar bijvoorbeeld views op persoonsidentificatie, maar ook
bepaalde informatiesets. Zo zal een het beroep en het specialisme.
categorie ‘professionele samenvatting’ een

Figuur 4 - UZI-pas bevat ook het beroep en het specialisme
Architectuur vertaald naar infrastructuur

Er zijn heel veel standaarden gedefinieerd
en de overheid komt ook nog eens met
allerlei middelen die kosteloos beschikbaar
worden gesteld. Zo is er de PKI-Overheid
die regelt dat ambtenaren en zorgverleners
kunnen gebruikmaken van een Public Key
Infrastructure (PKI). Voor de zorg is dat in
de vorm van een Unieke Zorgverlener Pas
(UZI). DigiD kan zorgen voor een
identificatie van de burgers en later dus
ook van de patiënten. DigiD in combinatie
met SMS geeft al mogelijkheden om
patiëntgegevens aan de patiënt te tonen.
Met het BSN dat bij het aanmelden via
DigiD beschikbaar komt, kan via de BSN
service de identiteit vastgesteld worden.
Figuur 5 - Van architectuur naar infrastructuur
De UZI-pas levert een aantal attributen
die bruikbaar zijn in het ontwerp. Zo wordt In het architectuurplaatje zijn rollen en profielen elkaars evenknie, net als functies
voor zorgverleners niet alleen een uniek en functionaliteit en specialisme en applicatiescherm. Belangrijk bij de uitwerking
nummer op de pas vermeld, maar ook naar techniek is het gebruik van administrative groups (AG) en physical groups (PG).
het beroep en specialisme. Zorgverleners Elk platform heeft eigen benaming voor groepen, maar in dit artikel houden we het
met meerdere specialismen hebben dus op AG en PG.
meerdere passen. Hierdoor ontstaat een AG’s zijn groepen mensen, afdelingen, etc. PG’s vertegenwoordigen toegang tot de
Single Sign-on omgeving per pas. Deze daadwerkelijke informatie. Bijvoorbeeld een oogarts is dus lid van de AG-beroep arts,
passen zijn ook nog eens op te vragen in de AG-specialisme Oogheelkunde en de AG-functie Oogarts en een AG-rol algemeen.
een landelijk register voor beroepen in Een profiel waarin de toegang geregeld wordt, is een PG. Deze wordt gekoppeld aan
de zorg, zodat we van zorgverleners met het hoogst gemeenschappelijke toegang. Is de toegang tot de informatieset X voor
meerdere specialismen de andere alle artsen hetzelfde, dan kan de PG-X gekoppeld worden aan de AG-beroep arts.
specialismen en passen kunnen opvragen. Is een dataset alleen specifiek bedoeld voor de oogartsen, dan wordt de informatieset
Ook bezit de pas op naam een digitaal Y met een PG-Y gekoppeld aan AG-specialisme Oogheelkunde.
certificaat voor de digitale handtekening.
Deze handtekening staat gelijk aan de
wettelijke geavanceerde digitale Service Nummer (BSN) waarmee we via de achterhaald die nodig is voor het
handtekening die de gewone handtekening webservice BSN de bijbehorende naam, vaststellen van de leeftijd, zodat een
op papier kan vervangen. adres en woonplaats gegevens kunnen dertienjarige niet direct toegang krijgt tot
DigiD levert bij het inloggen het Burger toetsen. Ook kan de geboortedatum worden zijn dossier, maar pas als de wettelijk

vertegenwoordiger zich ook aanmeldt. Binnen het zorgdomein kun je naast zover dat attributen van metagegevens
De informatieclassificatie zorgt er voor dat zorgverlener ook nog eens onderzoeker en worden voorzien, maar het concept is er
alleen de gegevens opgevraagd worden die opleider zijn. Om deze rollen praktisch klaar voor.
passen bij het beveiligingsniveau van DigiD vorm te geven kan dit als volgt worden
met SMS. vormgegeven: de professor meldt zich aan
Door de toegang vooraf te bepalen aan met de UZI-pas en kan vervolgens in het
de hand van de WGBO en WBP kan een scherm zelf zijn rol kiezen. Standaard staat
standaard set compliancy profielen worden deze tijdens werktijd op ‘arts’ en buiten
gedefinieerd. Zodra iemand met goede werktijd op ‘onderzoek’ of ‘onderwijs’.
argumenten een afwijkende toegang wil
hebben, kan dit geregeld worden in een Aandachtspunten
nieuw herkenbare profiel. Hierdoor ontstaat 1 Naast de identiteit wordt via een pas ook
een rapporteerbaar model voor handhaving. de rol vastgesteld.
Periodiek kunnen de afwijkingen naar 2 Het wisselen van een rol in een systeem
de verantwoordelijke afdeling worden moet voor de gebruiker makkelijk zijn,
gerapporteerd. Zij zijn immers anders gaat deze met de verkeerde rol
verantwoordelijk voor de juiste toegang. aan het werk en kunnen onbevoegden
Ook vanuit de auditor ontstaat een privacygevoelige gegevens inzien.
wenselijke situatie. Naar wettelijk vast
gestelde profielen hoeft maar één keer Tijdafhankelijke rol
gekeken te worden. Deze moeten verder Als de architectuur volledig in de Links
onveranderd blijven. infrastructuur verankerd is, kan overwogen 1 Regels bescherming patiënt
worden om een losse koppeling te maken http://www.cbpweb.nl/downloads_
Een belangrijk stukje architectuur zijn de naar het roosterpakket zodat de rol ook overig/tabel_aanvullings_
toegangsregels. Het aanbrengen van deze tijdsafhankelijk wordt. Hierdoor kunnen correctieverzoek_VA.pdf
regels in bestaande applicaties is praktisch voorkeursinstellingen vanuit het rooster 2 Eisen opslag medische dossier
niet haalbaar. Zeker in de zorg zijn worden aangepast of zelfs worden http://knmg.artsennet.nl/web/
applicaties veelal gebaseerd op oude afgedwongen. Als een zorgverlener volgens file?uuid=22307fcb-51ab-4d95-bd45-
technologie. Hiervoor kan het beste een het rooster werkt, hoeft deze buiten 8e9a35cfce16&owner=5a314179-999d-
toegangsportaal gebouwd worden op basis roostertijden geen toegang meer tot 489a-ab9f-645780c60bf9
van services. De controle van BSN wordt patiëntendossiers te hebben. 3 Regels vastleggen bijzondere gegevens
ook al via een service aangeboden en zo http://www.justitie.nl/images/
kunnen de toegangsregels ook via een Plaatsafhankelijke rol Handleiding%20voor%20verwerkers%20
Patiënt Bezwaar Service geregeld worden. Steeds meer techniek komt beschikbaar persoonsgegevens_tcm34-3940.pdf
Het zou mooi zijn als het huidige waarmee ook de plaats van de identiteit 4 Richtlijn gegevensuitwisseling
bezwaarprocedure, nu nog een papieren bepaald kan worden. Is de rol architectuur http://www.nictiz.nl/uploaded/FILES/
tijger, ook als service wordt aangeboden eenmaal in gebruik, dan is ook een Spoedeisende%20hulp/Richtlijn%20
vanuit het Landelijke EPD. uitbreiding naar locatie afhankelijke gegevensuitwisseling%20HA-AMB-SEH%20
toegang niet ingewikkeld toe te voegen. definitief%20v2.pdf
Meerdere rollen 5 Wet BIG
In een zorgbedrijf kan een persoon in Content afhankelijke identificatie http://www.ribiz.nl/diplomaenwerk/
meerdere domeinen actief zijn. Dat houdt Uiteindelijk willen we naar een identificatie wetenregelgeving/wetbig/
in dat een persoon verschillende toegangen op het moment dat de informatie erom
moeten hebben. Dit is een praktisch vraagt. Zo hoeft een gebruiker zich niet
probleem waar we pragmatisch mee te identificeren zolang deze publieke URLs
moeten omgaan. Voorlopig hebben we informatie op vraagt. Zodra de gebruiker 1 http://tiny.cc/CbpAanvullingCorrectie
de verschillende domeinen op pasniveau informatie opvraagt waarvoor identificatie 2 http://tiny.cc/WGBO_deel3
gescheiden. Logt iemand in met DigiD dan noodzakelijk is, zal de gebruiker de 3 http://tiny.cc/WBP_handleiding
is het een burger of patiënt. Logt dezelfde keus worden gesteld in te loggen met 4 h
ttp://tiny.cc/NICTIZ_
persoon in met een UZI-pas, dan heeft een bijpassend identificatiemiddel. ProfessioneleSamenvatting
deze de rol zorgverlener. Inloggen met een De informatieattributen zijn immers 5 http://tiny.cc/RIBIZ_beroepenInDeZorg
medewerkerpas is een ondersteunende rol. geclassificeerd. Voorlopig is het nog niet

Figuur 6 - De praatplaat toegang tot patiëntgegevens

Risico Management in SABSA
Het SABSA® Model

Samenvatting door Lex Borger > Lex Borger is Principal Consultant Information Security bij Domus Technica en
redacteur van dit blad. Hij is bereikbaar via lex.borger@domustechnica.com.
SABSA is een sterk opkomend raamwerk om een security architectuur te bes-

chrijven. Er is één standaardwerk om kennis te nemen van SABSA en dat is het
boek dat door John Sherwood, Andrew Clark en David Lynas zelf geschreven is:
Enterprise Security Architecture: A Business-Driven Approach, uitgegeven bij
CMP Books in 2005. Alle referenties in deze samenvatting verwijzen dan ook
naar dit boek, tenzij anders vermeld.
Het is een omvangrijk boek, bijna 600 pagina’s. In deze samenvatting kijk
ik naar de plaats van risico management in het SABSA raamwerk, wat in mijn
ervaring een zwak punt is in security architectuur raamwerken die ik in het
verleden gezien heb.
Op de eigen website (www.sabsa-institute.

org) wordt SABSA omschreven als: ‘een
bewezen raamwerk en methodologie voor
Enterprise Security Architecture en
Enterprise Security Service Management.
SABSA verzekert dat de bedrijfsbehoeften
volledig gedekt worden en beveiligings
diensten worden ontworpen, opgeleverd
en beheerd als een integraal onderdeel
van de bedrijfsbeheer- en ICT-beheer
infrastructuur’. Figure 3-1: The SABSA® Model for Security Figure 7-2: The SABSA® Lifecycle
Architecture Development
Kernwoorden hierin zijn raamwerk, metho
dologie, waarborgen (Engels: assure),
volledig en integraal. SABSA omvat dan
ook ruim alle aspecten die je in een
Security Architectuur zou mogen
verwachten. SABSA is gebaseerd op
het Zachman-raamwerk, met kleine
aanpassingen. De zes basislagen van
Zachman worden in SABSA net even
anders weergeven, zoals in het SABSA-
model (Figure 3-1, pagina 34) en het
ontwikkelproces heeft als basis een plan-
do-check-act cyclus, waarbij de namen
van de stappen aangepast zijn (Figure 7-2,
pagina 113). De reden die voor de
Figure 6-3: Two-Way Traceability
Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When)
Contextual The Business Business Risk Business Process Model Business Organisation & Business Geography Business Time
Management Relationships Dependencies
Conceptual Business Attributes Control Objectives Security Strategies & Security Equity Model & Security Domain Model Security Related
Profile Architectural Layering Trust Framework Lifetimes & Deadlines
Figure 7-6: The Contextual and Conceptual Rows of the SABSA® Matrix

kanteling van de operationele laag wordt
gegeven, is dat de operationele laag
betekenis heeft in alle andere lagen.
Nogal een zwak argument, dit wordt
namelijk ook geïllustreerd door de
traceerbaarheid (Figure 6-3, pagina 88).
Risico management is een gebied dat

binnen SABSA op een plaats ingedeeld is
Begrippen en kaders
en op verschillende plaatsen aangehaald
wordt. Het is ingedeeld in de contextuele
laag onder motivatie (Figure 7-6, pagina
115).
Business Risk Model

SABSA bevat een gedetailleerd proces voor
de ontwikkeling van een security
architectuur, dat ook aangeeft welke
informatie waar wordt geproduceerd en
waar wordt gebruikt (Figure 7-4 en 7-5, Figure 7-4: Developing the Contextual Security Architecture
pagina 114). In dit proces worden de
bedrijfsrisico’s bepaald na een
bedrijfsmodel en verschillende eisen.
SABSA noemt dit deel van het proces de
SABSA Risk Assessment Method, bestaande
uit vijf stappen (pagina 205-208):
1. Bedrijfsmodel
Beschrijf de drijfveren (drivers) en
middelen (assets) van het bedrijf in het
bedrijfsmodel. Het bedrijfsmodel wordt
beschreven in bedrijfskenmerken (busi
ness attributes) (Figure 6-4, pagina 88).
2. Dreigingsanalyse
Vanuit een vaste database met
dreigingen (Table 9-1 t/m 9-7, pagina
191-205) en de impact die dat heeft op
het bedrijf wordt het bedrijfsrisicomodel
samengesteld. Er is een raamwerk om Figure 7-5: Developing the Conceptual Security Architecture
het draaiboek van het verloop van
dreigingen te modelleren (Figure 9-2,
pagina 202).
3. Impactanalyse
De impact komt weer vanuit het
bedrijfsmodel. Dit levert de
bedrijfsrisico analyse deel 1.

Figure 6-4: Taxonomy of Business Attributes
4. Kwetsbaarheidanalyse de beheersdoelen wordt meegenomen als

Deze analyse voegt aan het terugkoppeling.
bedrijfsrisicomodel de kwetsbaarheden
toe, wat de bedrijfsrisico analyse deel 2 Conclusie
levert. Risico management heeft een zeer
duidelijke plaats in het SABSA raamwerk.
5. Risico categorisatie De invulling van het raamwerk zelf is
Het SABSA® Model
Figure 9-2: Framework for a Threat Scenario De twee analyses worden gecombineerd duidelijk afhankelijk van de risico analyse.
en in een risico categorie ingedeeld Er wordt een gestructureerde methode
(Figure 9-3, pagina 208). beschreven die uitgaat van de drijfveren
en middelen van het bedrijf. Hiermee valt
SABSA niet in een valkuil zoals alleen de
Beheersdoelen ICT middelen in het bedrijf te beschouwen
Als volgende stap worden uit het of uit te gaan van een standaard checklist.
business risk model de beheersdoelen De risico analyse zelf bevat de stappen
(control objectives) afgeleid. Hiermee die je van zo’n analyse mag verwachten,
is de overgang van de contextuele laag waarbij de verschillende stappen goed en
naar de conceptuele laag gemaakt. duidelijk uit elkaar getrokken zijn. Hiermee
Dit heeft vervolgens niets meer met heeft het resultaat van de analyse een
Figure 9-3: Mapping Risk Categorie to Impact and risicomanagement te maken, behalve dat duidelijke traceerbaarheid terug naar de
Vulnerability in de kwetsbaarheidanalyse de effecten van uitgangspunten.

compromis
Column
Het voorjaar is goed begonnen en ik lig ik in één probleem en dat was met mijn werken mijn eigen huis eruit ging zien. U begrijpt,
mijn hangmat te luisteren naar de vogeltjes studeerkamer. Ik wilde namelijk niet alleen de investering van drie goede flessen wijn
die in mijn tuin zich te goed doen aan alles ramen in de schuine wanden, maar ook een had zijn rendement niet opgebracht en de
wat er gedurende de winter is komen te lig bescheiden raam in de gevel van de woning. onderhandelingen zaten muurvast.
gen. Met de ogen half dicht geknepen, kijk Zowel de voor- als de achtergevel moesten
ik naar mijn huis dat nodig weer eens een in de nok van de gevel een driehoekig raam Na veel verbaal vuurwerk is het uiteinde
schoonmaakbeurt nodig heeft, maar mijn hebben, waardoor het licht op de zolder per lijk toch goed gekomen en hebben we een
aandacht gaat nog meer naar het raampje in fect zou zijn. Op mijn verzoek ging de archi compromis bereikt. De voorgevel van mijn
de gevel. tect met versie twaalf aan de gang en toen huis bleef ongemoeid en de achtergevel
deze tekeningen op de deurmat ploften, is voorzien van mijn hartenwens. Toen de
Mijn huis is van het conventionele type, zo bleek wederom dat alles goed was, behalve woning eenmaal door ons bewoond werd, zat
als dat vaak door kinderen wordt getekend: dan dat de driehoekige raampjes ontbraken. ik tevreden op mijn zolder te werken toen ik
voordeur, puntdak, schoorsteen met rook Geërgerd belde ik de architect (laten we hem achter in de tuin een bekende verschijning
eruit en een paar bomen erbij. Vijftien jaar Jan noemen) die mij aangaf dat ik niet blij zag. Jan liep er rond. Ik zocht hem op en
geleden bedacht ik samen met mijn vrouw zou zijn met de kosten die de twee raampjes ik heb hem een rondleiding door het huis
dat als we een huis wilden (laten) bouwen met zich mee zouden brengen. Jan noemde gegeven. Tot slot bekeken we mijn werken
dat we er dan niet te lang mee moesten een bedrag en daar werd ik inderdaad niet studeerkamer. Bewonderend keek hij naar
wachten en al snel kocht ik bij ons in de ge blij van. mijn bureau en het inmiddels beruchte raam.
meente een stukje grond. Bij de overdracht Hij zei niets, maar ik kon het niet laten en
van de grond kreeg ik van de gemeente een Ik nodigde Jan bij ons thuis uit om tijdens ik vroeg aan hem of hij het mooi vond. Weer
dik pak papier waarop alle bouwvoorschrif een goed glas wijn de dreigende impasse zei hij zei niets en ik gaf hem aan dat ik als
ten stonden en ik kwam er al snel achter dat te bespreken. Na twee flessen wijn kon Jan eigenaar van de woning bijzonder tevreden
ik wel verstand heb van IT, maar minder van mij nog steeds niet uitleggen waarom de was met mijn raampje. Zwijgend liep hij de
bouwen van huizen. Dus ik ben maar eens prijs, van de in mijn ogen zeer kleine wens, zoldertrap af. Ik zweeg dit keer ook, maar
op zoek gegaan naar een architect die mij zo hoog moest zijn. Ik wil u graag de uitleg bedacht dat het helemaal terecht was dat ik
kon helpen mijn reine stukje grond te voor van Jan besparen, maar na nog een flesje nu genoot van mijn raam.
zien van ons droomhuis. Kaapse Pracht kwam het hoge woord er uit.
Meneer Jan vond het niet passen binnen Rillend word ik wakker. Ik rol uit mijn hang
De twee gevels waren al snel getekend en zijn concept. Na een paar wijntjes word ik mat, jammer dat het in april tegen de avond
de eisen van vier slaapkamers, een ruime altijd zeer gevat en ik riep tegen Jan dat al zo snel kouder wordt. Terwijl ik terugloop
leefomgeving en een zeer ruime zolder waar het ook niet in zijn concept moest passen, naar het huis kan ik de neiging niet onder
ik mijn werken studeerkamer wilde heb maar in mijn huis. Jan zette zijn glas neer drukken om nog even naar boven te kijken.
ben, stonden al snel op de bouwtekening. en zei dat het dan wel mijn huis was, maar Glimlachend loop ik de keuken in.
Avonden achter elkaar zaten mijn vrouw en ook zijn ontwerp en dat was leidend. Ik
ik gebogen over de tekeningen, inmiddels mompelde nog dat het eigenlijk te gek was Groeten,
versie elf. We waren er bijna uit, ik had nog voor woorden dat ik niet mocht bepalen hoe Berry

Sophos
Endpoint Security
Nu ook volledige disk encryptie,
removable storage encryptie en
Windows-based pre-boot authenticatie!
Kijk voor meer informatie op www.crypsys.nl of bel (0183) 62 44 44.
CRYPSYS Data Security B.V. - Benelux Distributeur van Sophos

Edisonweg 4 - 4207 HG Gorinchem - Postbus 542 4200 AM Gorinchem
T (0183) 62 44 44 - F (0183) 62 28 48 - E sales@crypsys.nl

Architectuur en Security

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Architectuur en Security

Diunggah oleh

Hak Cipta:

Format Tersedia

juni 2009 nummer 4

Open Security Architecture:

Het SABSA® Model

2 • • • • • • Informatiebeveiliging juni 2009

Interview met Alexander Baas, CIO SNS Bank 10

Open Security Architecture: een open source architectuur 12

Interview met een (B)ISA 20

Architectuurprincipes versus projectmatig opportunisme 22

Toegang tot patiëntgegevens 25

Het SABSA® Model 32

Informatiebeveiliging juni 2009 • • • • • • 3

De rol van audits

Architectuur is een instrument dat bijdraagt aan een optimale afstemming

4 • • • • • • Informatiebeveiliging juni 2009

Business - IT alignment is historisch gezien

Informatiebeveiliging juni 2009 • • • • • • 5

Een verklaring voor de verschillen in de

[1] Het delen van informatie door overheidsorganisaties.

6 • • • • • • Informatiebeveiliging juni 2009

[3] Gepubliceerd in de Automatisering Gids, 30 januari 2009, nummer 5, pagina 16.

Informatiebeveiliging juni 2009 • • • • • • 7

(Burke, 2002) (Maes, 2007) (Wagter, 2001)

(Greefhorst et al., 2003) (Rijsenbrij, 2005) Bronnen

8 • • • • • • Informatiebeveiliging juni 2009

ISBN: 9780072133851 effectiveness of a policy is dependent on

Information Security Architecture:

By providing clear and organized methods,

Informatiebeveiliging juni 2009 • • • • • • 9

‘Weten wat het is

10 • • • • • • Informatiebeveiliging juni 2009

Informatiebeveiliging juni 2009 • • • • • • 11

OSA is een bijzonder project, want met

OSA hanteert een strak Open Standaarden

12 • • • • • • Informatiebeveiliging juni 2009

Als een voorbeeld van een pattern pakken

Dit patroon is al meteen een flinke. Het

SC-18 Mobile Code In deze control beschrijving staat de

Control Enhancements: (0) None. De controls

Informatiebeveiliging juni 2009 • • • • • • 13

Afbeelding 4: OSA Functional requirements

14 • • • • • • Informatiebeveiliging juni 2009

Informatiebeveiliging juni 2009 • • • • • • 15

met een oplopende classificatie van 1

ik later in dit artikel zal laten zien.

beveiliging specifiek en toepasbaar zijn vertrouwensmodel zowel de mensen en  

we moeten beveiligen. Dat zou leiden tot en infrastructuur moet omvatten.

16 • • • • • • Informatiebeveiliging juni 2009

alleen is niet voldoende. Welke overgangen

Informatiebeveiliging juni 2009 • • • • • • 17

  Trust Level Mag DP-domeinen gebruiken met

  Nieuw Classificatie 222 of lager

Neutraal Classificatie 222 of lager

Betrouwbaar Classificatie 333 of lager

   

   

   

     

18 • • • • • • Informatiebeveiliging juni 2009

   

   

   

Figuur 8 - Interactiemodel vanuit Trust Level Nieuw of Neutraal

Informatiebeveiliging juni 2009 • • • • • • 19

20 • • • • • • Informatiebeveiliging juni 2009

4. Kwetsbaarheidanalyse de beheersdoelen wordt meegenomen als