BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging
Naar navigatie springen Naar zoeken springen
k (verwijzing naar tabel hersteld)
(aangepast naar nieuwe versie gedaan met Jan Breeman)
Regel 2: Regel 2:
{{#Element:
{{#Element:
|Elementtype=Hoofdstuk normenkader
|Elementtype=Hoofdstuk normenkader
|ID=LTV_OBJ
|ID=TVZ_OBJ
|Titel=BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging
|Titel=BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging
|Kent element met zelfde titel=Nee
|Kent element met zelfde titel=Nee
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=2018/01/29
|Versie=1.0
|Publicatiedatum=2018/01/29
|Redactionele wijzigingsdatum=27-3-2019
|Beschrijving=Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. We onderscheiden hierbij “Praktijkobjecten” en “Generieke objecten”. De initiële objecten zoals die voorkomen in de baselines, zoals ISO, * SoGP en NIST, noemen we daarbij ‘Praktijkobjecten’. De verkorte weergave en veralgemeniseerde objecten, die vervolgens ook in andere thema’s hergebruik kunnen worden, noemen we “Generieke objecten”.
|Publicatiedatum=21-10-2019
De objecten zijn afgeleid van de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
|Beschrijving=
* welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
* welke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
* welke elementen spelen een rol bij de beheersing van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
==Vaststellen van generieke object==
Tabel 1 geeft een overzicht van de initieel vastgestelde Praktijkobjecten en de Generieke objecten.


{{:ISOR:BIO Thema Toegangsbeveiliging/tabel praktijk-objecten}}
==Beveiligingsobjecten Toegangsbeveiliging==
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
* welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
* welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
* welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Afbeelding 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' geeft de positionering weer van toegangsbeveiliging elementen binnen het sub domein toegangsbeveiligingvan het Uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatie onderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.


==Definiëring/omschrijving van generieke objecten==
==Globale relaties tussen toegangsbeveiliging objecten==
In tabel 2 worden de geïdentificeerde generieke objecten beschreven.
De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij het ontwikkelen van een thema, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit BIO te selecteren.
{{:ISOR:BIO Thema Toegangsbeveiliging/tabel definities praktijk-objecten}}
Afbeelding 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT omgeving waar een organisatie in het algemeen te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangbeveiligingsomgeving.
==Globale schematische weergave toegangsbeveiliging==
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging wordt in afbeelding 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' weergegeven. De onderdelen zijn hieronder toegelicht op basis van de domeinen (Beleid, Uitvoering en Control) waarin deze voorkomen.
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van Toegangsbeveiliging wordt in onderstaande afbeelding weergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in [[ISOR:Toegangbeveiliging_Beleidsdomein]].
Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.
 
==Globale schematische weergave toegangbeveiliging==
Toegangbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van toegangbeveiliging wordt in onderstaande afbeeldingweergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in [[ISOR:Toegangbeveiliging_Beleidsdomein ]]. Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.
[[Afbeelding:Thema Toegangbeveiliging - Eenvoudige weergave van de belangrijkste elementen.png|thumb|500px|none|alt=”Eenvoudige weergave van de belangrijkste elementen”]]


===Beleidsdomein===
===Beleidsdomein===
* Randvoorwaarden: Het bewerken en gebruik van gegevens moet voldoen aan inrichting en beveiligingsvoorwaarden van de organisatie in de vorm van toegangsbeleid. Er moeten eisen ten aanzien van ‘geboden’ en verboden’ zijn opgenomen, bijvoorbeeld: need to know (Least Privilege), permission based, detectie, detectie en protectie en functiescheiding. Het dient de lagere echelons duidelijk te maken waarom dit beleid uitgevoerd wordt of uitgevoerd gaat worden.
Dit domein bevat algemene conditionele elementen met betrekking tot inrichting van de toegangsbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het Uitvoeringsdomein en het Controldomein. Het bevat in het algemeen o.a. de objecten: informatiebeveiliging beleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuur.


===Uitvoeringsdomein===
===Uitvoeringsdomein===
* Actoren: Er zijn verschillende typen actoren: beschikkende, uitvoerende en beherende/controlerende actoren.
Dit domein omvat verschillende organisatie onderdelen die betrokken zijn bij de inrichting van het toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten ten aanzien van toegangsbeveiliging.. De betrokken organisatie onderdelen zijn, onder andere:
** Beschikkende actoren zijn directies, (security) managers, architecten die beleid en of architectuur voorschriften ten aanzien van logische toegangsvoorziening uitvaardigen en er op toezien dat deze, conform dit beleid en deze voorschriften, worden geïmplementeerd en worden nageleefd.
* Personeelsafdeling;
** Uitvoerende actoren zijn personen of systemen. Personen zijn medewerkers van een organisatie van wie gegevens op basis van de toedeling aan een kostenplaats en de door hen te vervullen rollen in een registratiesysteem voor de toegangsvoorziening vastgelegd worden. Systemen raadplegen gegevens of voeren geautoriseerde handelingen uit via systeemautorisaties.
de personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: Gegevens/Proceseigenaar, Gebruiker, Rol, Profiel en Taak. De relatie tussen deze elementen kan gelezen worden als:
** Beherende/Controlerende actoren zijn actoren die voor het beheer van IT systemen zorgen. Hiermee zorgen zij mede voor de instandhouding van een bepaald niveau van beveiliging aangaande logische toegangsvoorziening.
** een gebruiker heeft een rol;
* Richtlijnen : concrete voorschriften en/of aanwijzingen voor de organisatorische, technische inrichting van het registratiesysteem. Richtlijnen kunnen concretiseringen van een beleid zijn voor de totale vormgeving van het toegangbeveiligingssysteem.
** op basis van deze rol wordt zijn/haar profiel bepaald;
* Procedures : vast omschreven stappen op basis waarvan handelingen moeten worden uitgevoerd.
** op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren.
* Processen : het uitvoeren van activiteiten op basis van vooraf vastgestelde stappen of fasen die logisch met elkaar samenhangen, om een bepaald toegangbeheersingsdoel te bereiken.
* ICT afdeling;
* Registratiesystemen : een applicatie om toegangsprofielen van medewerkers of systemen, inclusief hun identificatie/authenticatie en autorisatiegegevens vast te leggen.
de ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties alsmede het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen.
* Identificatie-mechanisme : het bepalen van de identiteit van een medewerker of systeem.
De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analyse doeleinden.
* Authenticatie-mechanisme : het verifiëren van de identiteit waarvoor een medewerker of systeem zich uitgeeft.
* Facilitair Bedrijf;
* Autorisatie: het toekennen van rechten aan medewerkers of systemen en aan processen die ten behoeve van deze actoren geïnitieerd worden. Hiermee krijgen actoren (via processen) toegang tot bepaalde gegevens en functies. Autorisatie baseert zich op autorisatieprofielen, waarin gedefinieerd is welke actor toegang heeft tot bepaalde gegevens en functies.
het Facilitair Bedrijf zorgt voor een fysieke toegang tot gebouwen en ruimten op basis van een toegangsmiddel. Hierbij ontvangen de medewerkers een toegangspas (Rijkspas = identificatiemiddel).
* Informatiesystemen : Doelsystemen zoals een applicatie, ten behoeve van de ondersteuning van primaire processen, waartoe actoren toegang krijgen.
 
===Controldomein===
Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van Toegang zelf. In afbeelding 'Thema Logische toegangsbeveiliging' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.
De domeinindeling is verder uitgewerkt in hoofdstuk 3. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.
[[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|350px|none|alt=”Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur”|Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur]]
 
==Toegangsbeveiliging objecten geprojecteerd op BUC en gesorteerd naar IFGS==
Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor toegangsbeveiliging, afkomstig uit BIO en gebaseerd op de ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten.
Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging webrichtlijnen.
 
{{:ISOR:Toegangsbeveiliging - Overzicht van toegangsbeveiliging objecten ingedeeld naar BUC}}
 
==Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen==


===Control domein===
[[Afbeelding:Thema Toegangsbeveiliging - Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen.png|thumb|350px|none|alt=”Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen”|Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen]]
* Beoordelingsrichtlijnen en procedures: Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van vastgestelde randvoorwaarden en de uitvoeringscomponenten.
Toegangbeveiliging behelst het geheel van fysieke, organisatorische en technische maatregelen die er voor zorgen dat actoren activiteiten kunnen uitvoeren conform hun functieprofielen. Hiermee wordt een beveiligd en een beheerst toegangsomgeving gecreëerd.
<references/>
<references/>
|Heeft bron=BIO Thema Toegangsbeveiliging
|Heeft bron=BIO Thema Toegangsbeveiliging
|Heeft ouder=BIO Thema Toegangsbeveiliging
|Heeft ouder=BIO Thema Toegangsbeveiliging
}}
}}

Versie van 21 okt 2019 14:59

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: TVZ_OBJ
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 30-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:

Beveiligingsobjecten Toegangsbeveiliging

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:

  • welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  • welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  • welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?

Afbeelding 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' geeft de positionering weer van toegangsbeveiliging elementen binnen het sub domein toegangsbeveiligingvan het Uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatie onderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.

Globale relaties tussen toegangsbeveiliging objecten

De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij het ontwikkelen van een thema, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit BIO te selecteren. Afbeelding 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT omgeving waar een organisatie in het algemeen te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangbeveiligingsomgeving. Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging wordt in afbeelding 'Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur' weergegeven. De onderdelen zijn hieronder toegelicht op basis van de domeinen (Beleid, Uitvoering en Control) waarin deze voorkomen.

Beleidsdomein

Dit domein bevat algemene conditionele elementen met betrekking tot inrichting van de toegangsbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het Uitvoeringsdomein en het Controldomein. Het bevat in het algemeen o.a. de objecten: informatiebeveiliging beleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuur.

Uitvoeringsdomein

Dit domein omvat verschillende organisatie onderdelen die betrokken zijn bij de inrichting van het toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten ten aanzien van toegangsbeveiliging.. De betrokken organisatie onderdelen zijn, onder andere:

  • Personeelsafdeling;

de personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: Gegevens/Proceseigenaar, Gebruiker, Rol, Profiel en Taak. De relatie tussen deze elementen kan gelezen worden als:

    • een gebruiker heeft een rol;
    • op basis van deze rol wordt zijn/haar profiel bepaald;
    • op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren.
  • ICT afdeling;

de ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties alsmede het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analyse doeleinden.

  • Facilitair Bedrijf;

het Facilitair Bedrijf zorgt voor een fysieke toegang tot gebouwen en ruimten op basis van een toegangsmiddel. Hierbij ontvangen de medewerkers een toegangspas (Rijkspas = identificatiemiddel).

Controldomein

Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van Toegang zelf. In afbeelding 'Thema Logische toegangsbeveiliging' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd. De domeinindeling is verder uitgewerkt in hoofdstuk 3. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.

”Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur”
Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur

Toegangsbeveiliging objecten geprojecteerd op BUC en gesorteerd naar IFGS

Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor toegangsbeveiliging, afkomstig uit BIO en gebaseerd op de ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging webrichtlijnen.


Beleid
ID Objecten Referentie IFGS
B.01 Toegangbeveiligingsbeleid BIO: 9.1.1 I
B.02 Eigendom van bedrijfsmiddelen BIO: 8.1.2 I
B.03 Beveiligingsfunctie SoGP SM2.1 F
B.04 Cryptografie BIO 10.1.1, SoGP: TS 2.2 G
B.05 Toegangbeveiligingsorganisatie Additioneel S
B.06 Toegangbeveiligingsarchitectuur Additioneel S
Uitvoering
ID Objecten Referentie IFGS
U.01 Registratieprocedure BIO: 9.2.1 I
U.02 Toegangverleningsprocedure BIO: 9.2.2 I
U.03 Inlogprocedures BIO: 9.4.2 I
U.04 Autorisatieproces BIO: 9.2.6 F
U.05 Wachtwoordbeheer BIO: 9.4.3 F
U.06 Speciale toegangsrechtenbeheer BIO: 9.2.3 F
U.07 Functiescheiding BIO: 6.1.2 F
U.08 Geheime authenticatie-informatie BIO: 9.2.4 G
U.09 Autorisatie BIO: 9.4.1 G
U.10 Autorisatievoorziening faciliteiten Additioneel S
U.11 Fysieke toegangsbeveiliging BIO: 11.1.2 F
Control
ID Objecten Referentie IFGS
C.01 Beoordelingsprocedure Additioneel I
C.02 Beoordeling toegangsrechten BIO: 9.2.5 F
C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002: 12.4.1, BIO: 12.4.1 G
C.04 Beheersingsorganisatie toegangsbeveiliging Additioneel S
Overzicht van toegangsbeveiliging objecten ingedeeld naar BUC

Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen

”Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen”
Objecten binnen BUC-domeinen en gerelateerd aan SIVA basiselementen

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Toegangsbeveiliging/Objecten_voor_toegangbeveiliging&oldid=38571"