BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging
Naar navigatie springen Naar zoeken springen
(taalfouten aangepast)
k (enter toegevoegd)
 
(43 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{#element:
{{#element:
|Elementtype=Hoofdstuk normenkader
|Elementtype=Hoofdstuk normenkader
|ID=TVZ_OBJ
|ID=TBV_INL BT
|Titel=BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging
|Titel=BIO Thema Toegangsbeveiliging - Beveiligingsobjecten toegangsbeveiliging
|Kent element met zelfde titel=Nee
|Kent element met zelfde titel=Nee
|Versieaanduiding=2.1
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=5-12-2019
|Redactionele wijzigingsdatum=2021/11/30
|Publicatiedatum=5-12-2019
|Publicatiedatum=2021/10/29
|Beschrijving===Beveiligingsobjecten Toegangsbeveiliging==
|Beschrijving=Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein.
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
* welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
* welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
* welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Afbeelding 'Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een 3-lagenstructuur' geeft de positionering weer van toegangsbeveiliging elementen binnen het subdomein Toegangsbeveiliging van het Uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatie onderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.


==Globale relaties tussen toegangsbeveiliging objecten==
 
De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij het ontwikkelen van een thema, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit BIO te selecteren.
De vragen die hierbij een rol hebben gespeeld zijn:
<br><br>
# Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Afbeelding 'Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een 3-lagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT omgeving waar een organisatie over het algemeen te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.
# Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
<br><br>
# Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging wordt in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht op basis van de domeinen (Beleid, Uitvoering en Control) waarin deze voorkomen.
 
 
Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.
 
 
[[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|600px|none|alt=” Schematische weergave componenten  toegangsbeveiliging in drielagenstructuur”|Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur]]
 
==Globale relaties tussen geïdentificeerde beveiligingsobjecten==
De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] is ingedeeld met de hoofdstukindeling van de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren.
 
 
Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.
 
 
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen.


===Beleidsdomein===
===Beleidsdomein===
Dit domein bevat algemene conditionele elementen met betrekking tot inrichting van de toegangsbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het Uitvoeringsdomein en het Control domein. Het bevat over het algemeen o.a. de objecten: informatiebeveiliging beleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuur.
Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur.


===Uitvoeringsdomein===
===Uitvoeringsdomein===
Dit domein omvat verschillende organisatie onderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten ten aanzien van toegangsbeveiliging. De betrokken organisatie onderdelen zijn, onder andere:
Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere:
<br><br>
 
'''Personeelsafdeling'''
 
<br>De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: Gegevens/Proceseigenaar, Gebruiker, Rol, Profiel en Taak. De relatie tussen deze elementen kan gelezen worden als:
*Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als:
* een gebruiker heeft een rol;
** Een gebruiker heeft een rol.
* op basis van deze rol wordt zijn/haar profiel bepaald;
** Met deze rol wordt zijn profiel bepaald.
* op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren.
** Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren.
<br>
 
'''ICT afdeling'''
 
<br>De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen.
* ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden.
De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analyse doeleinden.
 
<br><br>
'''Facilitair Bedrijf'''
<BR>Het Facilitair Bedrijf zorgt voor een fysieke toegang tot gebouwen en ruimten op basis van een toe-gangsmiddel. Hierbij ontvangen de medewerkers een toegangspas (= identificatiemiddel).


===Controldomein===
*Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel).
Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een controlfunctie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In figuur 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.
De domeinindeling is verder uitgewerkt in [[:ISOR:BIO Thema Toegangsbeveiliging Beleid]], [[:ISOR:BIO Thema Toegangsbeveiliging Uitvoering]] en [[:ISOR:BIO Thema Toegangsbeveiliging Control]]. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.


[[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|750px|none|alt=”Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur”|Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur]]
===Control-domein===
Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.


==Presentatie van de vastgestelde toegangbeveiligingsobjecten in BUC-domeinen==
Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor toegangsbeveiliging, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstukindeling en controlteksten.
Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging webrichtlijnen.
{{:ISOR:Toegangsbeveiliging - Overzicht van toegangsbeveiliging objecten ingedeeld naar BUC}}


==Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen==
De domeinindeling is verder uitgewerkt in de pagina [[ISOR:BIO Thema Toegangsbeveiliging Control|Control-domein]]. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.
[[Afbeelding:Thema Toegangbeveiliging - Overzicht van de generieke objecten in relatie tot SIVA basiselementen.png|thumb|750px|none|alt=”Objecten binnen BUC-domeinen en gerelateerd aan basiselementen”|Objecten binnen BUC-domeinen en gerelateerd aan basiselementen]]
|Heeft bron=BIO Thema Toegangsbeveiliging
|Heeft bron=BIO Thema Toegangsbeveiliging
}}
}}

Huidige versie van 30 nov 2021 om 13:02

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: TBV_INL BT
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 30-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:

Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein.


De vragen die hierbij een rol hebben gespeeld zijn:

  1. Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  2. Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  3. Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?


Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.


” Schematische weergave componenten toegangsbeveiliging in drielagenstructuur”
Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur

Globale relaties tussen geïdentificeerde beveiligingsobjecten

De Baseline Informatiebeveiliging Overheid (BIO) is ingedeeld met de hoofdstukindeling van de ISO 27002. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren.


Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.


Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen.

Beleidsdomein

Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur.

Uitvoeringsdomein

Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere:


  • Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als:
    • Een gebruiker heeft een rol.
    • Met deze rol wordt zijn profiel bepaald.
    • Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren.


  • ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden.


  • Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel).

Control-domein

Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.


De domeinindeling is verder uitgewerkt in de pagina Control-domein. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Toegangsbeveiliging/Objecten_voor_toegangbeveiliging&oldid=59474"