BIO Thema Toegangsbeveiliging - Doelstelling en risico per object
BIO Thema-uitwerking ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Doelstelling en risico per object / <
Naar navigatie springen
Naar zoeken springen
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:
|
Overzichten van de beveiligingsprincipes en daaraan gerelateerde doelstellingen, risico's en controls
uitleg doelstelling en risico[bewerken]
..
Alle Beveiligingsprincipes binnen het thema[bewerken]
Hieronder staan alle Beveiligingsprincipes binnen het BIO Thema-uitwerking Toegangsbeveiliging in een tabel, met daarbij de doelstelling en het risico. Je kunt deze tabel ook downloaden als csv. De tabel is gesorteerd op het ID van de principes, je kunt dit wijzigen met de kleine driehoekjes boven de kolommen.
ID | Doelstelling | Risico | |
---|---|---|---|
TBV_B.01 | Toegangsbeveiligingsbeleid | Het beheersen van de toegang tot informatie. | Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangsbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven. |
TBV_B.02 | Eigenaarschap toegangsbeveiliging | Het bewerkstelligen dat er een verantwoordelijke is voor het toegangsbeveiligingssysteem en voor een betrouwbare inrichting ervan, dan wel ervoor zorgen dat noodzakelijke acties worden ondernomen. | Noodzakelijke beveiligingsacties blijven achterwege. |
TBV_B.03 | Beveiligingsfunctie | Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht. | Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten over toegangsbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd of dat afwijkingen niet leiden tot corrigerende acties. |
TBV_B.04 | Cryptografie toegangsbeveiliging | Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheid, authenticiteit en/of integriteit van authenticatie-informatie te beschermen. | Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kan worden, dan is de vertrouwelijkheid en integriteit van data niet te garanderen. |
TBV_B.05 | Beveiligingsorganisatie toegangsbeveiliging | Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie. | Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering. |
TBV_B.06 | Toegangsbeveiligingsarchitectuur | Het verkrijgen van inzicht in de samenhang van en de relatie tussen de technische componenten die een rol spelen bij de inrichting en beheer van het toegangsvoorzieningsdomein. | Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatie ‘inrichtings- en beheer-’domein. |
TBV_C.01 | Beoordelingsprocedure | Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten. | Onvoldoende mogelijkheden om vast te stellen of de controle-activiteiten gestructureerd plaatsvinden. |
TBV_C.02 | Beoordeling toegangsrechten | Het vaststellen of:
| Door het ontbreken van controle op toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren. |
TBV_C.03 | Logging en monitoring toegangsbeveiliging | Het maakt mogelijk:
| Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd. |
TBV_C.04 | Beheersorganisatie toegangsbeveiliging | Het invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem. | De beheersorganisatie is niet effectief ingericht waardoor het toegangsbeveiligingssysteem niet optimaal functioneert. |
TBV_U.01 | Registratieprocedure | Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen. | Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden. |
TBV_U.02 | Toegangsverleningsprocedure | Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden. | Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten. |
TBV_U.03 | Inlogprocedure | Onbevoegde toegang tot systemen en toepassingen voorkomen. | Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van informatiesystemen. |
TBV_U.04 | Autorisatieproces | Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. | De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties. |
TBV_U.05 | Wachtwoordenbeheer | Het bewerkstelligen dat alleen de beoogde geauthentiseerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen. | Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken. |
TBV_U.06 | Speciale toegangsrechtenbeheer | Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten. | Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken. |
TBV_U.07 | Functiescheiding | Het bewerkstelligen dat:
| Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. |
TBV_U.08 | Geheime authenticatie-informatie | Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem. | Er kan misbruik van gegevens door onbevoegden worden gemaakt. |
TBV_U.09 | Autorisatie | Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen. | Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteem worden aangebracht. |
TBV_U.10 | Autorisatievoorziening | Het inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten. | Er treedt vervuiling op bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevens. |
TBV_U.11 | Fysieke toegangsbeveiliging | Het bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt. | Onbevoegden brengen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweeg. |