ISOR:Toegang tot IT-diensten en data: verschil tussen versies

Versie van 12 mei 2020 14:53

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	Cloud_U.10
Versie:	1.0
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	17-1-2022
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema-uitwerking Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.

Criterium

Gebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.1.2

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.10.01	Gebruikers	De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij: Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan. Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
CLD_U.10.02	Gebruikers	Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend: tot data met het least privilege-principe; tot data met het need-to-know principe; met multi-factorauthenticatie; verleend tot data en applicatieve functies via technische maatregelen.
CLD_U.10.03	Gebruikers	Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data.
CLD_U.10.04	Bevoegd	Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.
CLD_U.10.05	Bevoegd	Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.

@@ Regel 9: / Regel 9: @@
 |Beschrijving=Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatie, authenticatie en autorisatie verstrekt.
 NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.
-|Criterium='Gebruikers'' behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.
+|Criterium=''Gebruikers'' behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.
 |Beveiligingsaspect=Uitvoering
 |Invalshoek=Gedrag
-|Grondslag=* NEN-ISO/IEC 27002: 9.1.2, 9.4
+|Grondslag=* NEN-ISO/IEC 27002: 9.1.2 en 9.4
 * Cloud Security Alliance (CSA): IAM
 |Conformiteitsindicator=gebruikersbevoegd