ISOR/totaaltabel

Betreft een vastgelegde manier van handelen voor het registreren van gebruikers.

Objecttoelichting

De oorspronkelijke titel in de Baseline Informatiebeveiliging Overheid (BIO) is ‘Registratie en afmelden van gebruikers’. Het onderwerp ‘Registratie en afmelden van gebruikers’ duidt op het daadwerkelijk registreren en afmelden van gebruikers. De inhoud van de norm legt feitelijk de nadruk op procedures die bij het registreren en afmelden noodzakelijk zijn. Vandaar dat voor dit object gekozen is voor de titel Registratieprocedure waarmee een gecontroleerde toegang voor bevoegde gebruikers worden geboden vanaf het moment van intake en registratie tot en met de beëindiging. Het beschrijft dus de gehele levenscyclus van de gebruikerstoegang. Een onderdeel van de procedure is dat er gebruikers geregistreerd moeten worden.

Het registreren van gebruikers geldt zowel bij logische als bij fysieke beveiliging. De noodzakelijke fysieke beveiliging procedure is gericht op zowel interne als externe medewerkers.

Betreft een vastgelegde manier van handelen voor het toekennen van toegangsrechten.

Objecttoelichting

Omvat het vastleggen van informatiebeveiligingsgerelateerde gebeurtenissen en het bewaken en onderkennen van afwijkingen op beleidsregels.

Objecttoelichting

Het aspect registratie heeft betrekking op handelingen van gebruikers en systemen die geregistreerd worden in een registratiesysteem voor analyse- en controle-doeleinden. Het aspect bewaken van het logische toegangsbeveiligingssysteem heeft betrekking op ongeautoriseerde acties en het analyseren van de geregistreerde acties op onvolkomenheden.

Naast het feit dat organisatorische elementen over toegangsrechten (rollen) periodiek dienen te worden gecontroleerd, dienen ook de activiteiten van gebruikers periodiek te worden geanalyseerd. Hiertoe dient gebruik te worden gemaakt van registraties van gebruikersactiviteiten (logging). Er dient tevens regelmatig te worden bewaakt of er onregelmatigheden in de registraties voordoen (monitoring). Tevens dient periodiek getoetst te worden of actuele autorisaties nog overeenkomen met de werkelijke situaties. Verder moet het volgende worden beoordeeld:

• wijzigingen op autorisaties (vastgelegd in log-bestanden);
• afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).

Omvat het geheel van processen en middelen om gebruikers veilig en gecontroleerd toegang te verlenen tot terreinen, gebouwen en ruimten.

Objecttoelichting

Fysieke beveiliging kan worden bereikt door het opwerpen van allerlei fysieke barrières rond het bedrijfsterrein en rond de IT-voorzieningen. Elke barrière creëert zo een beveiligde zone waarmee de totale beveiliging wordt versterkt.

Binnen de organisatie moeten beveiligingsniveaus en beveiligde zones worden gebruikt om gebieden die IT-voorzieningen bevatten te beschermen. Een beveiligde zone is een gebied binnen een barrière, zoals muren of hekken die alleen met een toegangspas of via een bemande receptiebalie geopend kan worden. De locatie en sterkte van de barrières worden onder andere bepaald door de resultaten van de risicoanalyse.

Betreft een instandhoudingsproces voor de uitgifte en het onderhoud van wachtwoorden.

Objecttoelichting

Wachtwoorden zijn middelen voor het authentiseren van personen (gebruikers en beheerders).

Wachtwoordbeheer is gerelateerd aan twee aspecten proces en geheim. Het aspect proces(beheer) behelst het uitvoeren van met elkaar samenhangende activiteiten over het beheer van wachtwoorden. Het aspect geheim behelst een middel waarmee een gebruiker zich toegang kan verschaffen tot een locatie, systemen en informatie.

Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de beheersing van toegangsbeveiliging en de doorontwikkeling van het afsprakenstelsel.

Objecttoelichting

Betreft het proces voor het toekennen van rechten aan gebruikers.

Objecttoelichting

Gekozen is voor het object ‘Autorisatie’, omdat dit object beter aansluit op de toegangsmechanismen (identificatie, authenticatie en autorisatie) dan de BIO-titel ‘Beperking toegang tot informatie’.

Betreft een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.

Objecttoelichting

Omvat de evaluatie van de mate waarin de actuele toegangsrechten nog valide zijn.

Objecttoelichting

Beoordeling toegangsrechten is gerelateerd aan twee aspecten: beoordelingsproces en toegangsrechten. Het aspect beoordelingsproces behelst het uitvoeren van met elkaar samenhangende activiteiten over het evalueren van toegangsrechten op validiteit of deze nog voldoen aan de actuele situatie. Het aspect toegangsrechten impliceert een recht om toegang te krijgen, zoals tot een locatie of systeem.

Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm van:

• het voeren van controle-activiteiten op de registratie van toegangsrechten;
• het uitbrengen van rapportages aan het management.

Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de relationele samenhang van beveiliging.

Objecttoelichting

Betreft een vastgelegde manier van handelen voor het leggen van een verbinding met een systeem, een netwerk of een afgeschermd deel van een website.

Objecttoelichting

Opzet BIO Thema-uitwerking

De BIO Thema-uitwerking Toegangsbeveiliging wordt uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze thema-uitwerking bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van met de (BUC-)lagenstructuur.

Deze thema-uitwerking volgt de standaard opzet voor BIO Thema-uitwerkingen:

1. Scope en begrenzing van de thema-uitwerking (zie Scope en begrenzing van toegangsbeveiliging);
2. Context en globale structuur van de thema-uitwerking (zie Context en globale structuur toegangsbeveiliging);
3. Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie Globale relaties tussen de geïdentificeerde beveiligingsobjecten);

Scope en begrenzing toegangsbeveiliging

De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers voor systemen die op een bepaalde locatie staan.

De uitwerking van fysieke beveiliging is deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra).

Specifieke apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken zullen in andere thema-uitwerkingen worden behandeld.

De begrenzing van deze BIO Thema-uitwerking is in afbeelding 'Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten' weergegeven.

Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten

Context en globale structuur toegangsbeveiliging

Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat deze data misbruikt wordt, wat kan leiden tot bijvoorbeeld boetes, imagoschade, klantenverlies e.d. In dit kader speelt toegangsbeveiliging een cruciale rol. Toegangsbeveiliging omvat logische en fysieke toegangsbeveiliging, zoals in de afbeelding 'Globale opzet logische en fysieke beveiliging' hieronder wordt weergegeven.

Globale opzet logische en fysieke toegangsbeveiliging

De vragen die hierbij een rol hebben gespeeld zijn:

1. Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
2. Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
3. Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?

Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.

Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur

Globale relaties tussen geïdentificeerde beveiligingsobjecten

De Baseline Informatiebeveiliging Overheid (BIO) is ingedeeld met de hoofdstukindeling van de ISO 27002. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren.

Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.

Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen.

Beleidsdomein

Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur.

Uitvoeringsdomein

Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere:

• Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als:
  • Een gebruiker heeft een rol.
  • Met deze rol wordt zijn profiel bepaald.
  • Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren.

• ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden.

• Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel).

Control-domein

Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.

• Indiensttreding (instroom), In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectieprocedure, de noodzakelijke zaken voor de werknemer moeten regelen.
• Tijdens dienstverband (doorstroom), In deze fase worden werknemers, afhankelijk van hun functie, via trainingen en opleidingen bewust gemaakt van het omgaan met bedrijfsmiddelen (onder andere bedrijfsgegevens) en hoe zij moeten omgaan met aspecten van informatiebeveiliging.
• Uitdiensttreding (uitstroom), In deze fase treft de werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren.

Relaties richtlijnen tussen in-, door- en uitstroom

Indiensttreding nieuwe medewerkers

Met het verstrekken van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas waarmee hij toegang krijgt tot het terrein, gebouw en de bij de functie horende ruimtes (fysieke toegangsbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot logische ruimtes, ofwel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, zoals de KA- of de Front-Office omgeving en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij weer algemene en specifieke rechten krijgen.

Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals:

• De Personeelsafdeling (of Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand.
• De Facilitaire dienst of Facilitair bedrijf zorgt voor een fysieke werkplek (bureau, stoel etc.) en maakt een toegangspas aan (= identificatiemiddel).
• De Gegevens-/Proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties).
• De ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties evenals het authenticatiemiddel (zoals een toegangspas).

Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: het bieden van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere acties vanuit de organisatie nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid. Afbeelding 'Processtappen en acties bij de indiensttreding van een medewerker' geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker.

Processtappen en acties bij indiensttreding van een medewerker

Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen, is de medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot terreinen, gebouwen en ruimtes van de organisatie in de vorm van een toegangspas en een logisch toegangsbewijs in de vorm van een account voor toegang tot Informatievoorzieningen (IV) faciliteiten. Na het met de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt de gebruiker toegang tot applicaties.

Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand met de rol van de gebruiker en geeft hem het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens.

De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Afbeelding 'Schematische weergave autorisatieproces in de domeinen' geeft hiervan een overzicht.

Schematische weergave autorisatieproces in de domeinen

Tijdens het dienstverband

Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen door de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht.

Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie/project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd en de toegangsrechten worden aangepast, geblokkeerd of verwijderd.

Uitdiensttreding

Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.

→ Ga terug naar U.04 Autorisatieproces

Considerans

CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op cip-overheid.nl/contact.

Leeswijzer

Voorafgaand aan het beleidsdomein, uitvoeringsdomein en control-domein, de kern van dit thema, heeft elke BIO Thema-uitwerking een inleiding met een standaard paragraafindeling.

De volgende leeswijzer geldt voor dit normenkader:

• Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
• De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
• Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.

Binnen het uitvoeringsdomein worden specifieke inrichtings- en beveiligingsobjecten over toegangsbeveiliging beschreven. Per object worden conformiteitsindicatoren en de desbetreffende implementatie-elementen uitgewerkt.

Binnen het uitvoeringsdomein worden de in afbeelding 'Overzicht objecten voor toegangsbeveiliging in het uitvoeringsdomein' vermelde objecten uitgewerkt. De oranje gemarkeerde objecten komen voor in de Baseline Informatiebeveiliging Overheid (BIO). De wit gemarkeerde zijn betrokken uit andere best practices.

Overzicht objecten voor toegangsbeveiliging in het uitvoeringsdomein