De samenhang tussen Privacy, Beveiliging en IAM

Uit NORA Online
Versie door Fatema Altae (ICTU) (overleg | bijdragen) op 30 mei 2022 om 14:15 (Welke relaties hebben de NORA thema's onderling)
Naar navigatie springen Naar zoeken springen

Het doel van architectuur is om de informatievoorziening van de organisaties vorm te geven zodat deze op de lange termijn aansluit op de bedrijfsdoelstellingen. Structuur is hierbij erg van belang zodat duidelijk wordt waar bepaalde thema’s aan verbonden zijn, zowel met andere thema’s, onderwerpen, begrippen, functies, etc. Hoe duidelijker de samenhang en onderlinge afhankelijkheid, des te duidelijker wordt welke prioritering gelegd moet worden bij het stimuleren van bepaalde thema’s. Als eerste inzet bij het in kaart leggen van de relaties is er gekozen voor drie belangrijke NORA thema’s; IAM, Privacy en Beveiliging. We verbinden IAM met de twee andere thema’s door als volgt te kijken naar de relaties

Bezien vanuit IAM:
IAM (a.k.a. Toegang), Privacy en Beveiliging zijn 3 gerelateerde thema’s die een gezamenlijk doel nastreven: Namelijk dat “objecten en informatie van belang” op zo’n manier worden gebruikt dat de belangen van alle betrokkenen in balans met elkaar worden behartigd. Deze 3 thema’s hebben naast overlap ook specifieke aandachtspunten.

  • Beveiliging richt zich voornamelijk op het belang van degene die verantwoordelijk is voor het object. Het valt uiteen in fysieke beveiliging van objecten (veelal beveiliging van panden/ruimtes) tegen in- en uitbraak; en in informatiebeveiliging.
  • IAM een deelgebied van Beveiliging dat zich binnen fysieke beveiliging en informatiebeveiliging focust op de “wie met welke rechten (need-to-know) en onder welke condities toegang krijgt tot informatie en objecten”
  • Privacy richt zich voornamelijk op het belang van de persoon waarop informatie betreft, en focust op de rechtvaardiging van de informatieverwerkingen en de juistheid van deze informatie.

Bezien vanuit Privacy:
IAM Identity en Access Management (IAM of IDM) is een overkoepelende term voor processen binnen een organisatie die zich richten op het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen. Dit is een informatiebeveiligingsmaatregel. Je wil immers niet dat iedereen toegang krijgt tot bepaalde vertrouwelijke/privacygevoelige informatie, alleen die medewerkers die deze toegang nodig hebben voor het uitoefenen van hun functie.

Bezien vanuit Beveiliging:

  • IAM valt binnen Beveiliging, het bevat passende maatregelen. Door IB worden de risico’s gezien en dan is er behoefte aan aanvullende maatregelen die organisatieafhankelijk zijn. Dit vraagt om onderzoek.
  • Beveiliging bevat de termen autorisatie en IAM, met name Autorisatie. Deze zorgen ervoor dat rollen gescheiden zijn (rol gebaseerd). Terwijl de AVG schijnt taak gebaseerd te zijn op basis van de verantwoordelijken. De AVG is strenger dan informatiebeveiliging. Merk op dat binnen de NORA geen relatie gegeven is tussen IB en AVG (thema beveiliging verwijst alleen naar de BIO en ISO). Vanuit de AVG worden passende maatregelen geëist voor autorisatie aanvullend en ook taak gebaseerd.
  • Zo geeft Privacy by Design aanvullende eisen voor informatiebeveiliging, maar Security by Design stelt minder strenge eisen. * Informatiebeveiliging is net te grof qua beveiligingseisen en Privacy wat strenger. Informatiebeveiligers moeten de eisen vanuit de AVG beter begrijpen!

Waarom is dat van belang?
De samenhang tussen de NORA thema’s geeft structuur aan de referentie. Hoe duidelijker de samenhang en onderlinge afhankelijkheid van de thema’s is, des te duidelijker wordt welke prioritering gelegd moet worden bij het stimuleren van bepaalde thema’s. Door te kijken naar bepaalde invalshoeken en de thema’s in relatie te brengen worden de thema’s actueel gehouden. Dit gebeurt in samenwerking tussen de thematrekkers en de expertgroepen zodat ze continue blijven samenwerken aan de NORA thema’s. Op deze manier wordt de samenwerking en kennisdeling gestimuleerd.

Welke invalshoeken worden hierbij genomen?

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Nederlandse Overheid Referentie Architectuur.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Overgenomen van "https://www.noraonline.nl/index.php?title=De_samenhang_tussen_Privacy,_Beveiliging_en_IAM&oldid=61881"