Toegangsbeveiliging - het control-domein
ISOR:BIO Thema Toegangsbeveiliging Control /
Naar navigatie springen
Naar zoeken springen
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Toegangsbeveiliging.
Meer lezen | ||||||||||||||||||
Doelstelling[bewerken]
De doelstelling van het control-domein is te zorgen dat en/of vast te stellen of:
- de toegangsbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
- het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.
Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.
Risico's[bewerken]
Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.
Objecten, controls en maatregelen
Het beoordelen van de logische en fysieke toegangsrechten richt zich op het naleven van de verplichtingen die voortkomen uit wet- en regelgeving en door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie, vast te stellen of het registratiesysteem betrouwbaar is.
Binnen dit specifieke control-domein zijn de objecten in onderstaande afbeelding van belang bij het beoordelen van gebruikersautorisatie. De blauw gemarkeerde objecten komen voor in de BIO.
Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het control-domein.PNG
Afbeelding 6: Overzicht toegangsbeveiligingsobjecten in het control-domein
Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect[bewerken]
| ID | Principe | Criterium |
|---|---|---|
| TBV_C.01 | Beoordelingsprocedure | Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld. |
| TBV_C.02 | Beoordeling toegangsrechten | Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. |
| TBV_C.03 | Logging en monitoring toegangsbeveiliging | Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. |
| TBV_C.04 | Beheersorganisatie toegangsbeveiliging | De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect[bewerken]
| ID | Stelling | Norm |
|---|---|---|
| TBV_C.01.01 | De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data). | De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties |
| TBV_C.01.02 | De organisatie beschikt over een beschrijving van de relevante controleprocessen. | De organisatie beschikt over een beschrijving van de relevante controleprocessen |
| TBV_C.01.03 | De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. | De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus |
| TBV_C.01.04 | De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. | De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management |
| TBV_C.02.01 | Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld. | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld |
| TBV_C.02.02 | Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld. | Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld |
| TBV_C.02.03 | Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld |
| TBV_C.02.04 | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd |
| TBV_C.02.05 | De opvolging van bevindingen is gedocumenteerd. | De opvolging van bevindingen is gedocumenteerd. |
| TBV_C.02.06 | Het beoordelen vindt plaats met een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. | Het beoordelen vind plaats op basis van een formeel proces |
| TBV_C.02.07 | Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging. | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting |
| TBV_C.03.01 | Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip). | Een log-regel bevat de vereiste gegevens |
| TBV_C.03.02 | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals wachtwoorden en inbelnummers). | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken |
| TBV_C.03.03 | De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt dankzij een Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC), die wordt ingezet door een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd. | De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC |
| TBV_C.03.04 | Nieuw ontdekte dreigingen (aanvallen) worden binnen de geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen. | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld |
| TBV_C.03.05 | De Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC) hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd. | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd |
| TBV_C.03.06 | Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de Algemene Verordening Gegevensbescherming (AVG), een verwerkingsactiviteitenregister bijgehouden. | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. |
| TBV_C.03.07 | De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole. | De logbestanden worden gedurende een overeengekomen periode bewaard |
| TBV_C.04.01 | De samenhang van de processen wordt met een processtructuur vastgelegd. | De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd |
| TBV_C.04.02 | De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. | De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk |
| TBV_C.04.03 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd |