Eigenschap:Beschrijving

Normatieve en descriptieve documenten die huidige/toekomstige architectuur van een organisatie/domein schetsen.  +

De Artificial Intelligence Act (Verordening Kunstmatige Intelligentie, AI Act, AIA) is een voorstel voor een Europese verordening van de Europese Commissie die tot doel heeft een gemeenschappelijk regelgevend en juridisch kader voor kunstmatige intelligentie in te voeren.  +

Een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat.  +

De mate waarin bij gegevensobjecten waarden aanwezig zijn voor een attribuut.  +

Defensie zoekt een partner die ruime ervaring heeft met leveren, implementeren, beheren en onderhouden van audio en videoapparatuur bedoeld voor opname en terugkijken en –luisteren inclusief software.  +

De RvA wil door het digitaliseren van zijn primaire proces 'Beoordelen en rapporteren auditbevindingen' zijn klanten (extern) en medewerkers (intern) beter en efficiënter bedienen. Hiertoe wordt op de korte termijn een Audit-rapportagetool, een Normentool en bijbehorend Toegangsbeheer (Identity and Access management) ingericht.  +

De voorbereiding en inrichting van de uitvoering moet aantoonbaar voldoen aan inhoudelijke en procedurele eisen. Dit geldt in het algemeen, onafhankelijk van of het om het beheer van gegevens, van processen of van regels gaat. Bij regelbeheer bestaan de inhoudelijke controles uit review, verificatie en validatie; standaard-onderdelen van elk voortbrengingsproces voor regelbeheer. In het voortbrengingsproces voor regelbeheer zijn de procedurele eisen aan regelbeheer neergelegd. Het gaat dan bijvoorbeeld om spelregels als: ‘Een regel moet gevalideerd zijn voordat deze in productie kan worden genomen’. Controleerbaar moet zijn of het voortbrengingsproces is ingericht conform deze procedurele eisen en of het proces juist is gevolgd.  +

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.  +

==Objectdefinitie== Betreft de controle of een gebruiker van een softwarepakket daadwerkelijk is wie hij beweert te zijn. ==Objecttoelichting== Toegang tot softwarepakketten door gebruikers wordt gereguleerd door het toegangsmechanisme gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Het softwarepakket stelt specifieke eisen aan de authenticatie van gebruikers. Het authenticatiemechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot softwarepakketten ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan. NB Dit object en de set van maatregelen is voor softwarepakketten relevant als de onderliggende infrastructuur geen toereikende set van maatregelen bevat, waarmee aan de control kan worden voldaan. ==Schaalgrootte== Elke schaalgrootte. ==Voor wie== Leverancier.  +

Partij die op basis van een identificatiemiddel een authenticatieverklaring afgeeft.  +

Een factor waarvan is bevestigd dat deze gebonden is aan een bepaalde persoon en die onder een van de drie volgende categorieën valt: # Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de betrokkene moet aantonen dat deze in zijn bezit is. # Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de betrokkene moet aantonen dat hij ervan kennis draagt. # Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een natuurlijke persoon is gebaseerd en waarbij de betrokkene moet aantonen dat hij dat fysieke kenmerk bezit.  +

Authenticatie namens een persoon zonder diens toestemming.  +

Het middel waarmee een persoon zijn of haar identiteit kan aantonen c.q. laten verifiëren.  +

Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een authenticatie die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.  +

==Beschrijving== Het ervoor kunnen zorgen dat personen hun digitale identificatiemiddelen kunnen gebruiken om hun identiteit digitaal op een passend betrouwbaarheidsniveau aan te tonen. ==Voorbeelden== Voorbeelden van bestaande oplossingen voor authenticatie zijn de authenticatievoorzieningen van DigiD, eHerkenning, iDIN, en de UZI-pas. ==Rationale== De overheid moet voorwaarden scheppen zodat burgers en bedrijven veilig, persoonlijk en gebruiksvriendelijk digitale diensten af kunnen nemen. Een noodzakelijke voorwaarde daarvoor is zorgen dat ze hun digitale identificatiemiddelen kunnen gebruiken om toegang te krijgen tot publieke diensten en ook tot diensten buiten het publieke domein. Verdere rationale voor deze generieke functie is te vinden in: * Wettelijk kaders A, B, C, D, E, G, H, K, L, M (paragraaf 4.1) * Beleidskader N (paragraaf 4.2) Maatschappelijke en technische ontwikkelingen die van invloed zijn op deze generieke functie zijn: O, P, Q, R, S, T, U (paragraaf 4.3). ==Implicaties== <ol style="list-style-type:lower-alpha"> <li>De dienstverlener moet de handelend persoon in staat stellen zijn toegelaten identificatiemiddelen te gebruiken en moet deze ook accepteren.</li> <li>De dienstverlener moet in staat worden gesteld om het identificatiemiddel te (laten) verifiëren. Deze verificatie kent de volgende stappen: verificatie van de echtheid van het middel, de geldigheid van het middel, het betrouwbaarheidsniveau van het middel en de identiteit van de gebruiker. Dit zijn generiek ook de stappen die bij cryptografie gedaan worden.</li> <li>Dienstverleners moeten het voor hun dienstverlening benodigde betrouwbaarheidsniveau van authenticatie vaststellen en aangeven/toepassen bij het verlenen van toegang. </li> <li>Authenticatie gaat gepaard met identificatie; er moeten duidelijke afspraken komen welke gegevens -- onder voorwaarden -- voor identificatie beschikbaar (kunnen) worden gesteld bij een authenticatie.</li> <li>Authenticatie dient als basis geschikt te zijn en gebruikt te worden voor de overige beoordelingen bij het verlenen van toegang, zoals het beoordelen van de bevoegdheden van de handelend persoon.</li> </ol> ==Documentatie== * [[Bestand:GA Identificatie en authenticatie.pdf|GA Identificatie en authenticatie]] ==Kaders== Deze kaders zijn bepalend voor Identificatie en authenticatie. * [[Algemene_Wet_Bestuursrecht|Algemene wet bestuursrecht]] * [[EIDAS_verordening|eIDAS-verordening]] * [[Wet_Digitale_Overheid|Wet digitale overheid]] * [[AVG_(Algemene_Verordening_Gegevensbescherming)|Algemene verordening gegevensbescherming]] ''(Bovenstaande opsomming is een beperkte selectie uit de kaders genoemd in het document)'' ==Toelichting relaties== De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GA-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GA-domein zijn gemaakt.  

Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.  +

De mate waarin de identiteit van de bron van de gegevens aantoonbaar is.  +

In een basisregistratie opgenomen gegeven dat bij wettelijk voorschrift als authentiek is aangemerkt  +

Een register of systeem, onder de verantwoordelijkheid van een publiekrechtelijk orgaan of particuliere entiteit, dat attributen omtrent een natuurlijke of rechtspersoon bevat en als de primaire bron van die informatie wordt beschouwd of krachtens nationaal recht als authentiek wordt erkend.  +

In het BRM-referentieproces is veel nadruk gelegd op borging van de interpretatie wet- en regelgeving conform deze wet- en regelgeving . Hiervoor zijn processtappen, overdrachtsmomenten, reviews, verificaties en validaties van alle bedrijfsregels nodig. Een zwaar proces, met als doel om bedrijfsregels de status van authentieke interpretatie te verschaffen. Uit deze status vloeit voort dat geen andere analyses en interpretaties van wet- en regelgeving nodig of wenselijk zijn. In het model van de arm en [[Leidraad Regelbeheer Van wet naar loket#De_hand_met_de_vijf_vingers|de hand met de vijf vingers]] komt dit uitgangspunt terug: Acties van de hand zijn gebaseerd op de arm waarmee bedrijfsregels en gegevensdefinities met authentieke interpretatie ten uitvoer worden gebracht.  +, In het BRM-referentieproces is veel nadruk gelegd op borging van de interpretatie wet- en regelgeving conform deze wet- en regelgeving. Hiervoor zijn processtappen, overdrachtsmomenten, reviews, verificaties en validaties van alle bedrijfsregels nodig. Een zwaar proces, met als doel om bedrijfsregels de status van authentieke interpretatie te verschaffen. Uit deze status vloeit voort dat geen andere analyses en interpretaties van wet- en regelgeving nodig of wenselijk zijn. In het model van de arm en [[Leidraad Regelbeheer Van wet naar loket#De hand met de vijf vingers|de hand met de vijf vingers]] komt dit uitgangspunt terug: Acties van de hand zijn gebaseerd op de arm waarmee bedrijfsregels en gegevensdefinities met authentieke interpretatie ten uitvoer worden gebracht.  +

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen  +

==Objectdefinitie== Betreft het proces voor het toekennen van rechten aan gebruikers. ==Objecttoelichting== Gekozen is voor het object ‘Autorisatie’, omdat dit object beter aansluit op de toegangsmechanismen (identificatie, authenticatie en autorisatie) dan de BIO-titel ‘Beperking toegang tot informatie’. Na het identificatie- en authenticatieproces krijgen gebruikers en beheerders (verdere) specifieke toegang tot informatiesystemen voor gebruik respectievelijk beheerdoeleinden. Toegangsbeperking wordt gecreëerd met rollen en toegangsprofielen die voortkomen uit het toegangsbeleid.  +

==Objectdefinitie== Betreft een instandhoudingsproces voor de toegangsverlening tot softwarepakketten. ==Objecttoelichting== De toegang tot gebruikersfunctionaliteiten worden georganiseerd met autorisatiebeheer en de toewijzing van een gebruikersaccount. Het softwarepakket moet technische invoermogelijkheden bieden om via gebruikersrechten de toegang tot functionaliteiten te kunnen organiseren. Dit houdt in dat toegangsrechten tot functionaliteiten met gebruikersprofielen vanuit autorisatiebeheer toegekend dan wel ingetrokken kunnen worden. ==Schaalgrootte== Groot. ==Voor wie== Klant en leverancier.  +

==Objectdefinitie== Betreft een vastgelegde manier van handelen voor het toekennen van toegangsrechten. ==Objecttoelichting== De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]-control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in [[BIO Thema Toegangsbeveiliging/Een scenario voor Toegangsbeveiliging|Een scenario voor Toegangsbeveiliging]].  +

Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit.  +