ISOR:Authenticatie-informatie: verschil tussen versies

Huidige versie van 2 dec 2021 om 17:38

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	TBV_U.08
Versie:	2.1
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Objectdefinitie

Betreft geheime informatie waarmee een entiteit, aan de hand van een uniek kenmerk, zijn identiteit kan aantonen.

Objecttoelichting

NB Bewust is gekozen voor het begrip entiteit, omdat dit zowel kan gaan over personen als over apparatuur of softwaresystemen.

Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten worden gereguleerd door de toegangsmechanismen gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Deze mechanismen moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan. Het delen van toegangssleutels tot informatie kan en mag nooit worden afgedwongen.

Criterium

Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Doelstelling

Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem.

Risico

Er kan misbruik van gegevens door onbevoegden worden gemaakt.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.2.4

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_U.08.01	Authenticatie-informatie	Elke gebruiker wordt geïdentificeerd met een identificatiecode.
TBV_U.08.02	Authenticatie-informatie	Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld.
TBV_U.08.03	Beheersproces	Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden.
TBV_U.08.04	Beheersproces	Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.

@@ Regel 1: / Regel 1: @@
 {{#element:
 |Elementtype=Beveiligingsprincipe
-|ID=TVZ_U.08
+|ID=TBV_U.08
 |Titel=Geheime authenticatie-informatie
+|Versieaanduiding=2.1
 |Status actualiteit=Actueel
-|Redactionele wijzigingsdatum=5-12-2019
+|Redactionele wijzigingsdatum=2021/12/02
-|Publicatiedatum=2019/11/29
+|Publicatiedatum=2021/10/29
-|Beschrijving=Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten wordt gereguleerd door het toegangsmechanisme: gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Dit mechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan.
+|Beschrijving===Objectdefinitie==
+Betreft geheime informatie waarmee een entiteit, aan de hand van een uniek kenmerk, zijn identiteit kan aantonen.
-Het delen van toegangssleutels tot informatie kan en mag nooit worden afgedwongen.
+==Objecttoelichting==
-|Criterium=Het toewijzen van geheime ''authenticatie-informatie'' moet worden beheerst via een formeel ''beheerproces''.
+NB Bewust is gekozen voor het begrip entiteit, omdat dit zowel kan gaan over personen als over apparatuur of softwaresystemen.
+Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten worden gereguleerd door de toegangsmechanismen gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Deze mechanismen moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan. Het delen van toegangssleutels tot informatie kan en mag nooit worden afgedwongen.
+|Criterium=Het toewijzen van geheime ''authenticatie-informatie'' behoort te worden beheerst via een formeel ''beheersproces''.
 |Doelstelling=Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem.
 |Risico=Er kan misbruik van gegevens door onbevoegden worden gemaakt.
 |Beveiligingsaspect=Uitvoering
 |Invalshoek=Gedrag
-|Grondslag=* NEN-ISO/IEC 27002: 9.2.4
+|Grondslag=* BIO (Baseline Informatiebeveiliging Overheid): 9.2.4
-|Conformiteitsindicator=authenticatie-informatiebeheersproces
 |Heeft bron=BIO Thema Toegangsbeveiliging
-|Versie=1.0
-|Heeft ouder=ISOR:Toegangbeveiliging Uitvoeringdomein
 }}