BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:
|
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. We onderscheiden hierbij “Praktijkobjecten” en “Generieke objecten”. De initiële objecten zoals die voorkomen in de baselines, zoals ISO, * SoGP en NIST, noemen we daarbij ‘Praktijkobjecten’. De verkorte weergave en veralgemeniseerde objecten, die vervolgens ook in andere thema’s hergebruik kunnen worden, noemen we “Generieke objecten”. De objecten zijn afgeleid van de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
- welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
- welke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
- welke elementen spelen een rol bij de beheersing van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
Vaststellen van generieke object
Tabel 1 geeft een overzicht van de initieel vastgestelde Praktijkobjecten en de Generieke objecten.
BIO/ISO Nr. | Praktijkobjecten | Generieke objecten | |
---|---|---|---|
1. | 9.1.1. | Toegangsbeleid | Toegangsbeveiligingsbeleid (9.1.1.) |
2. | 8.1.2. | Eigendom bedrijfsmiddelen | Eigenaarschap bedrijfsmiddelen |
3. | 6.1.2[1] | Coördineren van beveiliging | Beveiligingsfunctie (SoGP) |
4. | x | Aanvulling uit analyse | Toegangsbeveiligingsorganisatie |
5. | x | Aanvulling uit analyse | Toegangsbeveiligingsarchitectuur |
6. | 10.1.1. | Beleid inzake het gebruik van cryptografische beheersmaatregelen | Cryptografie |
7. | xx | Aanvulling uit analyse | Beveiligingsorganisatie |
8. | xx | Aanvulling uit analyse | Toegangsbeveiligingsarchitectuur |
9. | 9.2.1. | Registratie en afmelden van gebruikers (9.2.1) | Registratieprocedure |
10. | 9.2.2. | Gebruikers toegang verlenen | Toegangsverleningsprocedure |
11. | 9.4.2. | Beveiligde inlogprocedure | Inlogprocedure |
12. | 9.4.3. | Systeem voor wachtwoordbeheer | Wachtwoord beheer |
13. | 9.2.3. | Beheer van Speciale toegangsrechten | Speciale toegangsrechten beheer |
14. | 12.1.4. | Functiescheiding | Functiescheiding |
15. | 9.2.4. | Beheer van geheime authenticatie informatie van gebruikers | Geheime authenticatie-informatie (Identificatie en Authenticatie) |
16. | 9.4.1. | Beperken toegang tot informatie | Autorisatie |
17. | xx | Aanvulling vanuit analyse | Toegangsvoorzieningsfaciliteiten |
18. | 11.1.2. | Fysieke toegangsbeveiliging | Fysieke toegangsbeveiliging |
19. | xx | Aanvulling vanuit analyse | Beoordelingsrichtlijnen en procedures |
20. | 9.2.5. | Beoordeling toegangsrechten | Beoordeling toegangsrechten |
21. | 12.4.1. | Gebeurtenissen registreren | Gebeurtenissen registreren (Logging en Monitoring) |
22. | xx | Aanvulling vanuit analyse | Beheersingsorganisatie toegangsbeveiliging |
Definiëring/omschrijving van generieke objecten
In tabel 2 worden de geïdentificeerde generieke objecten beschreven. ISOR:Toegangsbeveiliging/tabel definities praktijk-objecten
Globale schematische weergave toegangsbeveiliging
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van Toegangsbeveiliging wordt in onderstaande afbeelding weergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in ISOR:Toegangsbeveiliging Beleidsdomein. Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.
Globale schematische weergave toegangbeveiliging
Toegangbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van toegangbeveiliging wordt in onderstaande afbeeldingweergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in ISOR:Toegangbeveiliging_Beleidsdomein . Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.
Beleidsdomein
- Randvoorwaarden: Het bewerken en gebruik van gegevens moet voldoen aan inrichting en beveiligingsvoorwaarden van de organisatie in de vorm van toegangsbeleid. Er moeten eisen ten aanzien van ‘geboden’ en verboden’ zijn opgenomen, bijvoorbeeld: need to know (Least Privilege), permission based, detectie, detectie en protectie en functiescheiding. Het dient de lagere echelons duidelijk te maken waarom dit beleid uitgevoerd wordt of uitgevoerd gaat worden.
Uitvoeringsdomein
- Actoren: Er zijn verschillende typen actoren: beschikkende, uitvoerende en beherende/controlerende actoren.
- Beschikkende actoren zijn directies, (security) managers, architecten die beleid en of architectuur voorschriften ten aanzien van logische toegangsvoorziening uitvaardigen en er op toezien dat deze, conform dit beleid en deze voorschriften, worden geïmplementeerd en worden nageleefd.
- Uitvoerende actoren zijn personen of systemen. Personen zijn medewerkers van een organisatie van wie gegevens op basis van de toedeling aan een kostenplaats en de door hen te vervullen rollen in een registratiesysteem voor de toegangsvoorziening vastgelegd worden. Systemen raadplegen gegevens of voeren geautoriseerde handelingen uit via systeemautorisaties.
- Beherende/Controlerende actoren zijn actoren die voor het beheer van IT systemen zorgen. Hiermee zorgen zij mede voor de instandhouding van een bepaald niveau van beveiliging aangaande logische toegangsvoorziening.
- Richtlijnen : concrete voorschriften en/of aanwijzingen voor de organisatorische, technische inrichting van het registratiesysteem. Richtlijnen kunnen concretiseringen van een beleid zijn voor de totale vormgeving van het toegangbeveiligingssysteem.
- Procedures : vast omschreven stappen op basis waarvan handelingen moeten worden uitgevoerd.
- Processen : het uitvoeren van activiteiten op basis van vooraf vastgestelde stappen of fasen die logisch met elkaar samenhangen, om een bepaald toegangbeheersingsdoel te bereiken.
- Registratiesystemen : een applicatie om toegangsprofielen van medewerkers of systemen, inclusief hun identificatie/authenticatie en autorisatiegegevens vast te leggen.
- Identificatie-mechanisme : het bepalen van de identiteit van een medewerker of systeem.
- Authenticatie-mechanisme : het verifiëren van de identiteit waarvoor een medewerker of systeem zich uitgeeft.
- Autorisatie: het toekennen van rechten aan medewerkers of systemen en aan processen die ten behoeve van deze actoren geïnitieerd worden. Hiermee krijgen actoren (via processen) toegang tot bepaalde gegevens en functies. Autorisatie baseert zich op autorisatieprofielen, waarin gedefinieerd is welke actor toegang heeft tot bepaalde gegevens en functies.
- Informatiesystemen : Doelsystemen zoals een applicatie, ten behoeve van de ondersteuning van primaire processen, waartoe actoren toegang krijgen.
Control domein
- Beoordelingsrichtlijnen en procedures: Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van vastgestelde randvoorwaarden en de uitvoeringscomponenten.
Toegangbeveiliging behelst het geheel van fysieke, organisatorische en technische maatregelen die er voor zorgen dat actoren activiteiten kunnen uitvoeren conform hun functieprofielen. Hiermee wordt een beveiligd en een beheerst toegangsomgeving gecreëerd.
- ↑ Dit onderwerp is uit ISO 27000 (2013) verwijderd. Vanuit SoGP is dit alsnog in dit kader opgenomen.