BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging

Uit NORA Online
< BIO Thema-uitwerking ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Een scenario voor Toegangsbeveiliging /
Versie door Jbreeman (overleg | bijdragen) op 25 jan 2020 om 11:11 (aangepast naar nieuwe versie)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: TVZ_BIJL3
Hoofdstuk normenkader
Status:
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 29-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:

Voor de inrichting en evaluatie van voorzieningen voor toegangsbeveiliging, dient de fasering van de afbeelding 'De relaties tussen de drie fases' te worden gebruikt. Dit geldt zowel interne als externe medewerkers.

  • Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten regelen.
  • Tijdens dienstverband (Doorstroom): in deze fase worden werknemers, afhankelijk van hun functie, via trainingen en opleidingen bewust gemaakt van het omgaan met bedrijfsmiddelen (o.a. bedrijfsgegevens) en hoe zij moeten omgaan met aspecten aangaande informatiebeveiliging.

•*Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren.

Bestand:Thema Toegangbeveiliging - De relaties tussen de drie fases.png
De relaties tussen de drie fases

Indiensttreding nieuwe medewerkers

Met het verstrekken van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas (zoals een toegangspas) waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke toegangsbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot logische ruimtes; ofwel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringomgeving, zoals de KA- of de Front-Office omgeving, en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris; hierbij zijn verschillende afdelingen betrokken zoals:

  • de Personeelsafdeling;

de personeelsafdeling (Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand;

  • de Facilitaire Dienst of Facilitair Bedrijf;

de Facilitaire dienst zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een toegangspas (identificatiemiddel) aan;

  • de Gegevens/proceseigenaar;

de gegevens/proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties);

  • de ICT-afdeling;

de ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties evenals het authenticatiemiddel (zoals een toegangspas).

De processtappen

”Processtappen en acties bij de indiensttreding (instroom) van een medewerker”

Deze stappen staan niet los van elkaar; zij dienen namelijk één gemeenschappelijk doel: Het bieden van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere acties vanuit de organisatie voor nodig teneinde de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid. Afbeelding 'Processtappen en acties bij de indiensttreding (instroom) van een medewerker' geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker.

Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een toegangspas, en een logisch toegangsbewijs in de vorm van een account voor toegang tot IV-faciliteiten. Na het met behulp van de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt de gebruiker toegang tot applicaties.

”Het autorisatieproces”
Het autorisatieproces

Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens. De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem, zie afbeelding 'Processtappen en acties bij de indiensttreding (instroom) van een medewerker'.

Tijdens het dienstverband

Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen op basis van de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd, de toegangsrechten worden aangepast, geblokkeerd of verwijderd.

Uitdiensttreding

Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Toegangsbeveiliging/Een_scenario_voor_Toegangsbeveiliging&oldid=39986"