BIO Thema Toegangsbeveiliging - Beveiligingsobjecten toegangsbeveiliging

ID: TBV_INL BT Hoofdstuk normenkader Status: Actueel Publicatiedatum: 29-10-2021 Redactionele wijzigingsdatum: 30-11-2021 Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging: BIO Thema Toegangsbeveiliging - Inleiding BIO Thema Toegangsbeveiliging - Beveiligingsobjecten toegangsbeveiliging BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten BIO Thema Toegangsbeveiliging - Doelstelling en risico per object BIO Thema Toegangsbeveiliging - Scenario voor toegangsbeveiliging BIO Thema Toegangsbeveiliging - Toelichting SIVA basiselementen m.b.v. het MCS BIO Thema Toegangsbeveiliging - Verbindingsdocument

Beveiligingsobjecten Toegangsbeveiliging

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in drie domeinen: beleid, uitvoering en control.

De vragen die hierbij een rol hebben gespeeld zijn:

1. Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
2. Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
3. Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?

Afbeelding, 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.

Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur

Globale relaties tussen de geïdentificeerde beveiligingsobjecten

De Baseline Informatiebeveiliging Overheid (BIO) is ingedeeld op basis van de hoofdstukindeling van de International Organization for Standardization (ISO) 27002. Bij het ontwikkelen van een thema, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren.

Afbeelding 3: 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.

Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen ten behoeve van een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht op basis van de domeinen (beleid, uitvoering en control) waarin deze voorkomen.

Beleidsdomein

Dit domein bevat algemene conditionele elementen met betrekking tot de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur.

Snel naar de principes en normen in het Beleidsdomein:

→ Beleidsdomein Toegangsbeveiliging

Terug naar de beginpagina van dit thema:

→ BIO Thema-uitwerking Toegangsbeveiliging

Uitvoeringsdomein

Dit domein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere:

Personeelsafdeling
De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als:

• Een gebruiker heeft een rol.
• Op basis van deze rol wordt zijn profiel bepaald.
• Op basis van zijn profiel worden de rechten bepaald op basis waarvan hij zijn taak kan uitvoeren.

ICT afdeling
De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende type gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden.
Facilitair Bedrijf
Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten op basis van een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (= identificatiemiddel).

Snel naar de principes en normen in het Uitvoeringssdomein:

→ Uitvoeringsdomein Toegangsbeveiliging

Terug naar de beginpagina van dit thema:

→ BIO Thema-uitwerking Toegangsbeveiliging

Control-domein

Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een controlfunctie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL) processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.

Snel naar de principes en normen in het Control-domein:

→ Control-domein Toegangsbeveiliging

Terug naar de beginpagina van dit thema:

→ BIO Thema-uitwerking Toegangsbeveiliging