BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging

Uit NORA Online
< BIO Thema-uitwerking ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging /
Versie door Jbreeman (overleg | bijdragen) op 17 mei 2019 om 10:57 (verwijzing naar tabel hersteld)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: LTV_OBJ
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 30-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. We onderscheiden hierbij “Praktijkobjecten” en “Generieke objecten”. De initiële objecten zoals die voorkomen in de baselines, zoals ISO, * SoGP en NIST, noemen we daarbij ‘Praktijkobjecten’. De verkorte weergave en veralgemeniseerde objecten, die vervolgens ook in andere thema’s hergebruik kunnen worden, noemen we “Generieke objecten”. De objecten zijn afgeleid van de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:

  • welke rand voorwaardelijke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
  • welke elementen spelen een rol bij de inrichting van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?
  • welke elementen spelen een rol bij de beheersing van toegangbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezig hiervan?

Vaststellen van generieke object

Tabel 1 geeft een overzicht van de initieel vastgestelde Praktijkobjecten en de Generieke objecten.


Overzicht van praktijk objecten uit baselines en de afgeleide generieke objecten
BIO/ISO Nr. Praktijkobjecten Generieke objecten
1. 9.1.1. Toegangsbeleid Toegangsbeveiligingsbeleid (9.1.1.)
2. 8.1.2. Eigendom bedrijfsmiddelen Eigenaarschap bedrijfsmiddelen
3. 6.1.2[1] Coördineren van beveiliging Beveiligingsfunctie (SoGP)
4. x Aanvulling uit analyse Toegangsbeveiligingsorganisatie
5. x Aanvulling uit analyse Toegangsbeveiligingsarchitectuur
6. 10.1.1. Beleid inzake het gebruik van cryptografische beheersmaatregelen Cryptografie
7. xx Aanvulling uit analyse Beveiligingsorganisatie
8. xx Aanvulling uit analyse Toegangsbeveiligingsarchitectuur
9. 9.2.1. Registratie en afmelden van gebruikers (9.2.1) Registratieprocedure
10. 9.2.2. Gebruikers toegang verlenen Toegangsverleningsprocedure
11. 9.4.2. Beveiligde inlogprocedure Inlogprocedure
12. 9.4.3. Systeem voor wachtwoordbeheer Wachtwoord beheer
13. 9.2.3. Beheer van Speciale toegangsrechten Speciale toegangsrechten beheer
14. 12.1.4. Functiescheiding Functiescheiding
15. 9.2.4. Beheer van geheime authenticatie informatie van gebruikers Geheime authenticatie-informatie (Identificatie en Authenticatie)
16. 9.4.1. Beperken toegang tot informatie Autorisatie
17. xx Aanvulling vanuit analyse Toegangsvoorzieningsfaciliteiten
18. 11.1.2. Fysieke toegangsbeveiliging Fysieke toegangsbeveiliging
19. xx Aanvulling vanuit analyse Beoordelingsrichtlijnen en procedures
20. 9.2.5. Beoordeling toegangsrechten Beoordeling toegangsrechten
21. 12.4.1. Gebeurtenissen registreren Gebeurtenissen registreren (Logging en Monitoring)
22. xx Aanvulling vanuit analyse Beheersingsorganisatie toegangsbeveiliging


Definiëring/omschrijving van generieke objecten

In tabel 2 worden de geïdentificeerde generieke objecten beschreven.

Definiëring/omschrijving van generieke objecten
Generieke objecten Omschrijvingen
Beleidsdomein
1. Toegangsbeveiligingsbeleid (9.1.1) Het resultaat van een besluitvorming waarmee de verantwoordelijke (top)management voor toegangsvoorziening van een organisatie heeft vastgelegd:
  • op welke wijze, in welk tijdsbestek, en met welke middelen doelstelling bereikt zullen moeten en;
  • hoe met onzekere factoren moet worden omgegaan
2. Eigenaarschap bedrijfsmiddelen Actoren aan wie het Bedrijfsmiddelen zijn toegewezen en verantwoordelijk zijn gesteld voor classificatie, beschermen, positionering en betrouwbare, beveiligde inrichting hiervan. Coördinatie en beslissingen over specifieke actie (wie mag wat zien, raadplegen, muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in samenwerking met andere functionarissen (RACI).
3. Beveiligingsfunctie (SoGP) Is een specialistische functie waaraan een autoriteit en verantwoordelijkheden zijn gekoppeld voor het coördineren en verrichten van bepaalde type werkzaamheden om bepaalde doelstellingen te bereiken.
4. Toegangsbeveiligingsorganisatie Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien voor het beveiligen van toegangsvoorzieningen om op doelmatige wijze overeengekomen toegangsbeveiligingsdoelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van de geformuleerde beveiligingsdoelstellingen.
5. Toegangsbeveiligingsarchitectuur Raamwerken of blauwdrukken waarmee wordt aangegeven op welke wijze de toegangsvoorzieningen zijn ingericht, beveiligd en beheerst. Het geeft onder andere aan hoe gebruikers, vanuit welke locaties, toegang krijgen tot applicaties en technische.
6. Cryptgrafie Een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenciteit, onweerlegbaarheid en authenticatie.
7. Beveiligingsorganisatie De organisatie die verantwoordelijk is voor het ondersteunen van het beheer en de doorontwikkeling van het afsprakenstelsel. De beheerorganisatie controleert en monitort of dienstverleners en deelnemers het afsprakenstelsel naleven.
8. Toegangsbeveiligingsarchitectuur Raamwerken of blauwdrukken waarmee wordt aangegeven op welke wijze de toegangsvoorzieningen zijn ingericht, beveiligd en beheerst. Het geeft onder andere aan hoe gebruikers, vanuit welke locaties, toegang krijgen tot applicaties en technische componenten.
Uitvoeringsdomein
9. Registratieprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen met betrekking tot het registreren van gebruikers.
10. Toegangsverleningsprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen met betrekking tot het verlenen van Toegang tot bedrijfsmiddelen.
11. Inlogprocedure Is gerelateerd aan twee aspecten: aanmelden en procedure. Het aspect aanmelden (inloggen) behelst het leggen van een verbinding - met een gebruikersnaam en een wachtwoord - tot een systeem, een netwerk of een afgeschermd deel van een website. Het aspect procedures geeft aan dat het inloggen op basis van samenhangende activiteiten moet plaatsvinden.
12. Autorisatieproces (o,a. 9.2.6.) Een aantal achtereenvolgende activiteiten of gebeurtenissen met betrekking tot het toekennen van autorisaties.
13. Wachtwoord beheer Is gerelateerd aan twee aspecten: proces en geheim. Het aspect geheim behelst een middel waarmee een gebruiker zich toegang kunnen verschaffen tot een locatie, systemen en informatie. Het aspect proces (beheer) behelst het uitvoeren van met elkaar samenhangen activiteiten aanzien van het beheer van wachtwoorden.
14. Speciale toegangsrechten beheer Is gerelateerd aan twee aspecten: proces en specifieke recht. Het aspect proces (beheer) behelst het uitvoeren van activiteiten op basis van vooraf vastgestelde stappen die logisch met elkaar samenhangen. Het aspect recht (speciale bevoegdheden) behelst het recht tot het uitvoeren van specifieke handelingen.
15. Functiescheiding Functiescheiding is een middel om taken en activiteiten binnen bepaalde grenzen te laten uitvoeren, zodat functionarissen, op basis van rechten/bevoegdheden, de gehele procescyclus te beïnvloeden.
16. Geheime authenticatie-informatie (Identificatie en Authenticatie) Identificatie is een middel waarmee een gebruiker, aan de hand van een uniek kenmerk, kan aangeven wie hij/zij is. (‘zeggen wie je bent’). Authenticatie (‘bewijzen wie je bent’) behelst de controle of daadwerkelijk de persoon is die deze beweert te zijn. Dit kan door middel van bijvoorbeeld een wachtwoord.
17. Autorisatie Het verlenen van toestemming aan een geauthentiseerde gebruiker om toegang te krijgen tot een bepaalde dienst om een bepaalde actie uit te voeren.
18. Toegangsvoorzieningsfaciliteiten Zijn technische middelen waarmee ontwerpen passend in architectuur kunnen worden vormgegeven en waarmee acties effectief kunnen worden ingericht, zoals geautomatiseerde tools en of ondersteunende systemen.
19. Fysieke toegangsbeveiliging Fysiek gecontroleerde toegang van personen met behulp van zoneringsmaatregelen.
Control domein
20. Beoordelingsrichtlijnen en procedures Richtlijnen geven voorschriften en/of aanwijzingen voor het beoordelen van beheeractiviteiten. Procedure geven de handelingen aan die volgens omschreven stappen moeten worden uitgevoerd.
21. Beoordeling toegangsrechten Is gerelateerd aan twee aspecten: beoordelingsproces en toegangsrecht. Het aspect toegangsrecht drukt een recht om toegang te krijgen tot een locatie of systeem. Het aspect beoordelingsproces behelst het uitvoeren van met elkaar samenhangen activiteiten aanzien van het evalueren van toegangsrechten op validiteit of deze nog voldoen aan de actuele situatie.
22. Gebeurtenissen registreren (Logging en Monitoring) Is gerelateerd aan twee aspecten: registratie (loggen) en bewaken (minitoren). Het aspect registratie heeft betrekking op handelingen van gebruikers en systemen die geregistreerd worden in een registratiesysteem voor analyse en controle doeleinden. Het aspect bewaken van het logische toegangsbeveiligingssysteem ongeautoriseerde acties en het analyseren van de geregistreerde acties op onvolkomenheden.
23. Beheersingsorganisatie toegangsbeveiliging De organisatie die verantwoordelijk is voor het ondersteunen van het beheer en de doorontwikkeling van het afsprakenstelsel. De beheerorganisatie controleert en monitort of dienstverleners en deelnemers het afsprakenstelsel naleven.

Globale schematische weergave toegangsbeveiliging

Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van Toegangsbeveiliging wordt in onderstaande afbeelding weergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in ISOR:Toegangsbeveiliging Beleidsdomein. Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.

Globale schematische weergave toegangbeveiliging

Toegangbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële elementen van toegangbeveiliging wordt in onderstaande afbeeldingweergegeven, waarna deze elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleidsdomein, Uitvoeringsdomein en Control domein. De domeinindeling wordt kort toegelicht in ISOR:Toegangbeveiliging_Beleidsdomein . Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn niet anders.

Bestand:Thema Toegangbeveiliging - Schematische weergave van de componenten van het toegangbveiligingssysteem in een 3-lagen structuur.png

Beleidsdomein

  • Randvoorwaarden: Het bewerken en gebruik van gegevens moet voldoen aan inrichting en beveiligingsvoorwaarden van de organisatie in de vorm van toegangsbeleid. Er moeten eisen ten aanzien van ‘geboden’ en verboden’ zijn opgenomen, bijvoorbeeld: need to know (Least Privilege), permission based, detectie, detectie en protectie en functiescheiding. Het dient de lagere echelons duidelijk te maken waarom dit beleid uitgevoerd wordt of uitgevoerd gaat worden.

Uitvoeringsdomein

  • Actoren: Er zijn verschillende typen actoren: beschikkende, uitvoerende en beherende/controlerende actoren.
    • Beschikkende actoren zijn directies, (security) managers, architecten die beleid en of architectuur voorschriften ten aanzien van logische toegangsvoorziening uitvaardigen en er op toezien dat deze, conform dit beleid en deze voorschriften, worden geïmplementeerd en worden nageleefd.
    • Uitvoerende actoren zijn personen of systemen. Personen zijn medewerkers van een organisatie van wie gegevens op basis van de toedeling aan een kostenplaats en de door hen te vervullen rollen in een registratiesysteem voor de toegangsvoorziening vastgelegd worden. Systemen raadplegen gegevens of voeren geautoriseerde handelingen uit via systeemautorisaties.
    • Beherende/Controlerende actoren zijn actoren die voor het beheer van IT systemen zorgen. Hiermee zorgen zij mede voor de instandhouding van een bepaald niveau van beveiliging aangaande logische toegangsvoorziening.
  • Richtlijnen : concrete voorschriften en/of aanwijzingen voor de organisatorische, technische inrichting van het registratiesysteem. Richtlijnen kunnen concretiseringen van een beleid zijn voor de totale vormgeving van het toegangbeveiligingssysteem.
  • Procedures : vast omschreven stappen op basis waarvan handelingen moeten worden uitgevoerd.
  • Processen : het uitvoeren van activiteiten op basis van vooraf vastgestelde stappen of fasen die logisch met elkaar samenhangen, om een bepaald toegangbeheersingsdoel te bereiken.
  • Registratiesystemen : een applicatie om toegangsprofielen van medewerkers of systemen, inclusief hun identificatie/authenticatie en autorisatiegegevens vast te leggen.
  • Identificatie-mechanisme : het bepalen van de identiteit van een medewerker of systeem.
  • Authenticatie-mechanisme : het verifiëren van de identiteit waarvoor een medewerker of systeem zich uitgeeft.
  • Autorisatie: het toekennen van rechten aan medewerkers of systemen en aan processen die ten behoeve van deze actoren geïnitieerd worden. Hiermee krijgen actoren (via processen) toegang tot bepaalde gegevens en functies. Autorisatie baseert zich op autorisatieprofielen, waarin gedefinieerd is welke actor toegang heeft tot bepaalde gegevens en functies.
  • Informatiesystemen : Doelsystemen zoals een applicatie, ten behoeve van de ondersteuning van primaire processen, waartoe actoren toegang krijgen.

Control domein

  • Beoordelingsrichtlijnen en procedures: Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van vastgestelde randvoorwaarden en de uitvoeringscomponenten.

Toegangbeveiliging behelst het geheel van fysieke, organisatorische en technische maatregelen die er voor zorgen dat actoren activiteiten kunnen uitvoeren conform hun functieprofielen. Hiermee wordt een beveiligd en een beheerst toegangsomgeving gecreëerd.

  1. Dit onderwerp is uit ISO 27000 (2013) verwijderd. Vanuit SoGP is dit alsnog in dit kader opgenomen.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Toegangsbeveiliging/Objecten_voor_toegangbeveiliging&oldid=36070"