Toegangsbeveiliging Uitvoering
ISOR:BIO Thema Toegangsbeveiliging Uitvoering /
Naar navigatie springen
Naar zoeken springen
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Toegangsbeveiliging.
Meer lezen | ||||||||||||||||||
Doelstelling[bewerken]
De doelstelling van het uitvoeringsdomein in dit thema is te waarborgen dat de toegang tot terreinen, gebouwen, ruimten, applicaties en data is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld op basis van het (autorisatie)beleid.
Risico's[bewerken]
Wanneer een adequate toegangsbeveiliging tot terreinen, gebouwen, ruimten en informatiefaciliteiten ontbreekt, dan bestaat het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.
Objecten, controls en maatregelen
Binnen het uitvoeringsdomein worden specifieke inrichtings- en beveiligingsobjecten over toegangsbeveiliging beschreven. Per object worden conformiteitsindicatoren en de desbetreffende implementatie-elementen uitgewerkt. Binnen het uitvoeringsdomein worden de in onderstaande afbeelding vermelde objecten uitgewerkt. De roze-achtig gemarkeerde objecten komen voor in de Baseline Informatiebeveiliging Overheid (BIO). De wit gemarkeerde zijn betrokken uit andere best practices.
Bestand:Thema Toegangbeveiliging - Overzicht toegangsbeveiligingsobjecten in het uitvoeringsdomein.png
Overzicht toegangsbeveiligingsobjecten in het uitvoeringsdomein
Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect[bewerken]
| ID | Principe | Criterium |
|---|---|---|
| TBV_U.01 | Registratieprocedure | Een formele registratie- en afmeldprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. |
| TBV_U.02 | Toegangsverleningsprocedure | Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. |
| TBV_U.03 | Inlogprocedure | Als het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een beveiligde inlogprocedure. |
| TBV_U.04 | Autorisatieproces | Een formeel autorisatieproces dient geïmplementeerd te zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten. |
| TBV_U.05 | Wachtwoordenbeheer | Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen. |
| TBV_U.06 | Speciale toegangsrechtenbeheer | Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. |
| TBV_U.07 | Functiescheiding | Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. |
| TBV_U.08 | Geheime authenticatie-informatie | Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. |
| TBV_U.09 | Autorisatie | Toegang (autorisatie) tot informatie en systeemfuncties van toepassingen behoren te worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid. |
| TBV_U.10 | Autorisatievoorziening | Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten, beschikbaar zijn. |
| TBV_U.11 | Fysieke toegangsbeveiliging | Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. |
Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect[bewerken]
| ID | Stelling | Norm |
|---|---|---|
| TBV_U.01.01 | Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (vanaf de eerste registratie tot en met de beëindiging). | Een sluitende formele registratie- en afmeldprocedure |
| TBV_U.01.02 | Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. | Groepsaccounts niet toegestaan tenzij |
| TBV_U.01.03 | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. | Autorisaties worden gecontroleerd |
| TBV_U.01.04 | Gebruikers worden met juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know- en need-to-have-principes). | Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen |
| TBV_U.01.05 | Een bevoegdhedenmatrix is beschikbaar waarmee gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. | Systeemprivileges op basis van een bevoegdhedenmatrix |
| TBV_U.02.01 | Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris. | Uitsluitend toegang na autorisatie |
| TBV_U.02.02 | Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. | Risicoafweging voor functiescheiding en toegangsrechten |
| TBV_U.02.03 | Er is een actueel mandaatregister of er zijn functieprofielen waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten. | Mandaatregister voor toekennen van toegangsrechten en functieprofielen |
| TBV_U.03.01 | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen of op basis van minimaal twee-factorauthenticatie. | Minimaal 2-factor authenticatie |
| TBV_U.03.02 | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. | Risicoafweging bij toegang tot netwerk |
| TBV_U.03.03 | De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. | Een risicoafweging bepaalt de voorwaarden voor toegang |
| TBV_U.04.01 | Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties. | Formeel proces voor verwerken van autorisaties |
| TBV_U.04.02 | Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris. | Formele autorisatieopdracht |
| TBV_U.04.03 | De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd |
| TBV_U.04.04 | Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken. | Toegangsrechten intrekken bij beëindigen van dienstverband |
| TBV_U.04.05 | Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. | Toegangsrechten corresponderen met wijzigingen in het dienstverband |
| TBV_U.04.06 | Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren. | Toegangsrechten intrekken voordat dienstverband eindigt of wijzigt, afhankelijk van risicofactoren |
| TBV_U.05.01 | Als geen gebruik wordt gemaakt van twee-factorauthenticatie:
| Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie |
| TBV_U.05.02 | In situaties waar geen twee-factorauthenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. | Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd |
| TBV_U.06.01 | Het toewijzen van speciale toegangsrechten vindt plaats door een risicoafweging en met richtlijnen en procedures. | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures |
| TBV_U.06.02 | Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use). | Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken |
| TBV_U.06.03 | De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld |
| TBV_U.07.01 | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. | Een scheiding is aangebracht tussen beheertaken en gebruikstaken |
| TBV_U.07.02 | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol |
| TBV_U.07.03 | Een risicoafweging bepaalt waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. | Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast |
| TBV_U.07.04 | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen. | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen |
| TBV_U.07.05 | Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen. | Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen |
| TBV_U.08.01 | Elke gebruiker wordt geïdentificeerd met een identificatiecode. | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode |
| TBV_U.08.02 | Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld. | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld |
| TBV_U.08.03 | Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden. | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden |
| TBV_U.08.04 | Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens |
| TBV_U.09.01 | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken |
| TBV_U.09.02 | Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. | Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen |
| TBV_U.09.03 | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. | Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden |
| TBV_U.09.04 | Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. | Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie |
| TBV_U.10.01 | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet |
| TBV_U.10.02 | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen |
| TBV_U.10.03 | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd |
| TBV_U.10.04 | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties |
| TBV_U.11.01 | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen |
| TBV_U.11.02 | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Aankomst- en vertrektijden van bezoekers worden geregistreerd |
| TBV_U.11.03 | Medewerkers, contractanten en externen dragen zichtbare identificatie. | Medewerkers en contractanten en externen dragen zichtbare identificatie |
| TBV_U.11.04 | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten |
Thema Toegangsbeveiliging - Overzicht van de objecten in het uitvoeringsdomein