BIO Thema Toegangbeveiliging - Inleiding
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:
| ||||||||||
In dit document wordt het thema toegangbeveiliging uitgewerkt. Hierbij heeft de werkgroep BZK het document ‘Logische toegangbeveiliging’ dat door ADR en UWV/CIP in een samenwerkingsverband was opgesteld als uitgangspunt gehanteerd. Het betrof een pilot om het theoretisch SIVA-raamwerk in praktijk te brengen alsmede het opleveren van een vaktechnisch verantwoord normenkader voor het BIR-thema ‘Logische toegangbeveiliging’. De resultaten van de pilot zijn destijds bij de opdrachtgevers van ADR, de vaktechnische commissie van ADR, het BIR coördinatoren overleg van BZK en op een PiVB/Norea seminar gepresenteerd.
Toegangbeveiliging
Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organistatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data misbruikt wordt, wat kan leiden tot boetes, imago schade en klantenverlies. toegangbeveiliging omvat logsiche- en fysieke toegangbeveiliging.
Logische toegangbeveiliging is het geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen van een organisatie. De uitwerking van dit thema is gericht op identificatie authenticatie en autorisatie van personen voor systemen die op een bepaalde locatie staan met vaste medewerkers.
Fysieke toegangbeveiliging is het geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten van het rekencentrum.
Dit document geeft inzicht in een thematische opzet van een referentiekader van het thema Logische toegangbeveiliging. De uitwerking vindt plaats vanuit het BIO en ISO 27000 (2013). We hanteren in het vervolg een algemener term ‘toegangbeveiliging’.
Scope en Begrenzing
In het algemeen is toegangbeveiliging gerelateerd aan toegang tot: terreinen, gebouwen en ruimtes, gebruikers, informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken. In dit document ligt de focus op toegangsbeveiling met betrekking tot terreinen, gebouwen en ruimtes (fysieke toegang), eindgebruikers en informatiesystemen (logische toegang). De overige toegangbeveiligingsonderdelen (toegang tot besturingssytemen, -netwerken, -mobiele computers, en telewerken) zullen separaat worden behandeld.
Opzet thema toegangbeveiliging
Het thema toegangbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Objecten en Structuur. De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld (Zie hoofdstuk 7, 8 en 9). De vaststelling en omschrijvingen van de objecten worden behandeld in hoofdstuk 2. De objecten worden vervolgens gestructureerd door middel van een lagenstructuur. Deze structuur wordt behandeld in hoofdstuk 3. Figuur 1 geeft een globale schets van de gehanteerde structuur. Details over afleiding van objecten en de gehanteerde structuur wordt geschetst in het Toelichtingsdocument; een standaard methodiek waarmee BIO-thema’s worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.
