Autorisatieproces

De printervriendelijke versie wordt niet langer ondersteund en kan weergavefouten bevatten. Werk uw browserbladwijzers bij en gebruik de gewone afdrukfunctie van de browser.

Exporteer naar RDF

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	TBV_U.04
Versie:	2.1
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Verwante principes

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Objectdefinitie

Betreft een vastgelegde manier van handelen voor het toekennen van toegangsrechten.

Objecttoelichting

De Baseline Informatiebeveiliging Overheid (BIO)-control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in Een scenario voor Toegangsbeveiliging.

Criterium

Een formeel autorisatieproces dient geïmplementeerd te zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.

Doelstelling

Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.

Risico

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Functie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SA1.2.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_U.04.01	Formeel autorisatieproces	Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties.
TBV_U.04.02	Formeel autorisatieproces	Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris.
TBV_U.04.03	Formeel autorisatieproces	De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.
TBV_U.04.04	Toegangsrechten	Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken.
TBV_U.04.05	Toegangsrechten	Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.
TBV_U.04.06	Toegangsrechten	Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren.