ISOR:Beheersorganisatie toegangsbeveiliging: verschil tussen versies
k (Tekst vervangen - 'Status Actualiteit=' door 'Status actualiteit=') |
k (Tekst vervangen - 'BIO Thema Toegangbeveiliging' door 'BIO Thema Toegangsbeveiliging') |
||
Regel 10: | Regel 10: | ||
* logging van wijzigingen op autorisaties; | * logging van wijzigingen op autorisaties; | ||
* afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe). | * afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe). | ||
|Heeft bron=BIO Thema | |Heeft bron=BIO Thema Toegangsbeveiliging | ||
|Criterium='Logbestanden'' van gebeurtenissen die ''gebruikersactiviteiten'', uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, ''bewaard'' en regelmatig worden ''beoordeeld''. | |Criterium='Logbestanden'' van gebeurtenissen die ''gebruikersactiviteiten'', uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, ''bewaard'' en regelmatig worden ''beoordeeld''. | ||
|Doelstelling=Het maakt mogelijk: | |Doelstelling=Het maakt mogelijk: |
Versie van 10 mei 2019 18:37
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Naast het feit dat organisatorische elementen ten aanzien toegangsrechten (rollen) periodiek dient te worden gecontroleerd dienen ook de activiteiten van gebruikers periodiek te worden geanalyseerd. Hiertoe dient gebruik te worden gemaakt van registraties van gebruikersactiviteiten (logging). Er dient tevens regelmatig te worden bewaakt of er onregelmatigheden in de registraties voordoen (monitoring). Tevens dient periodiek getoetst te worden: of de actuele autorisaties nog overeenkomen met de werkelijke situaties. Verder moet het volgende worden beoordeeld:
- logging van wijzigingen op autorisaties;
- afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).
Criterium
Doelstelling
- eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
- handelingen te herleiden naar individuele personen.
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is CIP-netwerk
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
TBV_C.04.01 | Processtructuur |
De samenhang van de processen wordt met een processtructuur vastgelegd. |
TBV_C.04.02 | Taken, verantwoordelijkheden en bevoegdheden |
De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. |
TBV_C.04.03 | Functionarissen |
De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. |