BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging

Uit NORA Online
< BIO Thema-uitwerking ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging /
Versie door Jbreeman (overleg | bijdragen) op 17 mei 2019 om 10:52 (verwijzing naar tabel aangepast)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: LTV_OBJ
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 30-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. We onderscheiden hierbij “Praktijkobjecten” en “Generieke objecten”. De initiële objecten zoals die voorkomen in de baselines, zoals ISO, * SoGP en NIST, noemen we daarbij ‘Praktijkobjecten’. De verkorte weergave en veralgemeniseerde objecten, die vervolgens ook in andere thema’s hergebruik kunnen worden, noemen we “Generieke objecten”. De objecten zijn afgeleid van de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:

  • welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
  • welke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
  • welke elementen spelen een rol bij de beheersing van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?

Vaststellen van generieke object

Tabel 1 geeft een overzicht van de initieel vastgestelde Praktijkobjecten en de Generieke objecten.


Overzicht van praktijk objecten uit baselines en de afgeleide generieke objecten
BIO/ISO Nr. Praktijkobjecten Generieke objecten
1. 9.1.1. Toegangsbeleid Toegangsbeveiligingsbeleid (9.1.1.)
2. 8.1.2. Eigendom bedrijfsmiddelen Eigenaarschap bedrijfsmiddelen
3. 6.1.2[1] Coördineren van beveiliging Beveiligingsfunctie (SoGP)
4. x Aanvulling uit analyse Toegangsbeveiligingsorganisatie
5. x Aanvulling uit analyse Toegangsbeveiligingsarchitectuur
6. 10.1.1. Beleid inzake het gebruik van cryptografische beheersmaatregelen Cryptografie
7. xx Aanvulling uit analyse Beveiligingsorganisatie
8. xx Aanvulling uit analyse Toegangsbeveiligingsarchitectuur
9. 9.2.1. Registratie en afmelden van gebruikers (9.2.1) Registratieprocedure
10. 9.2.2. Gebruikers toegang verlenen Toegangsverleningsprocedure
11. 9.4.2. Beveiligde inlogprocedure Inlogprocedure
12. 9.4.3. Systeem voor wachtwoordbeheer Wachtwoord beheer
13. 9.2.3. Beheer van Speciale toegangsrechten Speciale toegangsrechten beheer
14. 12.1.4. Functiescheiding Functiescheiding
15. 9.2.4. Beheer van geheime authenticatie informatie van gebruikers Geheime authenticatie-informatie (Identificatie en Authenticatie)
16. 9.4.1. Beperken toegang tot informatie Autorisatie
17. xx Aanvulling vanuit analyse Toegangsvoorzieningsfaciliteiten
18. 11.1.2. Fysieke toegangsbeveiliging Fysieke toegangsbeveiliging
19. xx Aanvulling vanuit analyse Beoordelingsrichtlijnen en procedures
20. 9.2.5. Beoordeling toegangsrechten Beoordeling toegangsrechten
21. 12.4.1. Gebeurtenissen registreren Gebeurtenissen registreren (Logging en Monitoring)
22. xx Aanvulling vanuit analyse Beheersingsorganisatie toegangsbeveiliging


Definiëring/omschrijving van generieke objecten

In tabel 2 worden de geïdentificeerde generieke objecten beschreven. ISOR:Toegangsbeveiliging/tabel definities praktijk-objecten

Globale schematische weergave toegangsbeveiliging

Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van Toegangsbeveiliging wordt in onderstaande afbeelding weergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in ISOR:Toegangsbeveiliging Beleidsdomein. Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.

Globale schematische weergave toegangbeveiliging

Toegangbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van toegangbeveiliging wordt in onderstaande afbeeldingweergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in ISOR:Toegangbeveiliging_Beleidsdomein . Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.

Bestand:Thema Toegangbeveiliging - Schematische weergave van de componenten van het toegangbveiligingssysteem in een 3-lagen structuur.png

Beleidsdomein

  • Randvoorwaarden: Het bewerken en gebruik van gegevens moet voldoen aan inrichting en beveiligingsvoorwaarden van de organisatie in de vorm van toegangsbeleid. Er moeten eisen ten aanzien van ‘geboden’ en verboden’ zijn opgenomen, bijvoorbeeld: need to know (Least Privilege), permission based, detectie, detectie en protectie en functiescheiding. Het dient de lagere echelons duidelijk te maken waarom dit beleid uitgevoerd wordt of uitgevoerd gaat worden.

Uitvoeringsdomein

  • Actoren: Er zijn verschillende typen actoren: beschikkende, uitvoerende en beherende/controlerende actoren.
    • Beschikkende actoren zijn directies, (security) managers, architecten die beleid en of architectuur voorschriften ten aanzien van logische toegangsvoorziening uitvaardigen en er op toezien dat deze, conform dit beleid en deze voorschriften, worden geïmplementeerd en worden nageleefd.
    • Uitvoerende actoren zijn personen of systemen. Personen zijn medewerkers van een organisatie van wie gegevens op basis van de toedeling aan een kostenplaats en de door hen te vervullen rollen in een registratiesysteem voor de toegangsvoorziening vastgelegd worden. Systemen raadplegen gegevens of voeren geautoriseerde handelingen uit via systeemautorisaties.
    • Beherende/Controlerende actoren zijn actoren die voor het beheer van IT systemen zorgen. Hiermee zorgen zij mede voor de instandhouding van een bepaald niveau van beveiliging aangaande logische toegangsvoorziening.
  • Richtlijnen : concrete voorschriften en/of aanwijzingen voor de organisatorische, technische inrichting van het registratiesysteem. Richtlijnen kunnen concretiseringen van een beleid zijn voor de totale vormgeving van het toegangbeveiligingssysteem.
  • Procedures : vast omschreven stappen op basis waarvan handelingen moeten worden uitgevoerd.
  • Processen : het uitvoeren van activiteiten op basis van vooraf vastgestelde stappen of fasen die logisch met elkaar samenhangen, om een bepaald toegangbeheersingsdoel te bereiken.
  • Registratiesystemen : een applicatie om toegangsprofielen van medewerkers of systemen, inclusief hun identificatie/authenticatie en autorisatiegegevens vast te leggen.
  • Identificatie-mechanisme : het bepalen van de identiteit van een medewerker of systeem.
  • Authenticatie-mechanisme : het verifiëren van de identiteit waarvoor een medewerker of systeem zich uitgeeft.
  • Autorisatie: het toekennen van rechten aan medewerkers of systemen en aan processen die ten behoeve van deze actoren geïnitieerd worden. Hiermee krijgen actoren (via processen) toegang tot bepaalde gegevens en functies. Autorisatie baseert zich op autorisatieprofielen, waarin gedefinieerd is welke actor toegang heeft tot bepaalde gegevens en functies.
  • Informatiesystemen : Doelsystemen zoals een applicatie, ten behoeve van de ondersteuning van primaire processen, waartoe actoren toegang krijgen.

Control domein

  • Beoordelingsrichtlijnen en procedures: Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van vastgestelde randvoorwaarden en de uitvoeringscomponenten.

Toegangbeveiliging behelst het geheel van fysieke, organisatorische en technische maatregelen die er voor zorgen dat actoren activiteiten kunnen uitvoeren conform hun functieprofielen. Hiermee wordt een beveiligd en een beheerst toegangsomgeving gecreëerd.

  1. Dit onderwerp is uit ISO 27000 (2013) verwijderd. Vanuit SoGP is dit alsnog in dit kader opgenomen.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Toegangsbeveiliging/Objecten_voor_toegangbeveiliging&oldid=36069"