ISOR:Toegang tot IT-diensten en data: verschil tussen versies

Huidige versie van 17 jan 2022 om 18:00

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_U.10
Versie:	2.1
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	17-1-2022
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema-uitwerking Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Objectdefinitie

Omvat processen en middelen voor het toekennen en bewaken van toegangsrechten tot Cloud Service Consumer (CSC)-data en bedrijfsprocessen.

Objecttoelichting

Toegang tot data en bedrijfsprocessen van alle mogelijke gebruikers zowel de CSC als de Cloud Service Provider (CSP) wordt uitsluitend met identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.

Criterium

Gebruikers behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek bevoegd zijn.

Doelstelling

Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen.

Risico

Misbruik en verlies van (gevoelige) gegevens.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.1.2

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.10.01	Gebruikers	De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij: Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan. Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
CLD_U.10.02	Gebruikers	Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend: tot data met het least privilege-principe; tot data met het need-to-know principe; met multi-factorauthenticatie; verleend tot data en applicatieve functies via technische maatregelen.
CLD_U.10.03	Gebruikers	Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data.
CLD_U.10.04	Bevoegd	Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.
CLD_U.10.05	Bevoegd	Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.

@@ Regel 1: / Regel 1: @@
-{{#Element:
+{{#element:
-|ID=Cloud_U.10
-|Titel=Toegang tot IT-diensten en data
 |Elementtype=Beveiligingsprincipe
-|Versieaanduiding=1.0
+|ID=CLD_U.10
-|Status Actualiteit=Actueel
+|Titel=Toegang IT-diensten en data
-|Redactionele wijzigingsdatum=17-03-2020
+|Versieaanduiding=2.1
-|Publicatiedatum=17-03-2020
+|Status actualiteit=Actueel
-|Beschrijving=Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatie, authenticatie en autorisatie verstrekt.
+|Redactionele wijzigingsdatum=2022/01/17
-NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.
+|Publicatiedatum=2021/10/29
-|Heeft bron=BIO Thema Clouddiensten
+|Beschrijving===Objectdefinitie==
-|Criterium='Gebruikers'' behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.
+Omvat processen en middelen voor het toekennen en bewaken van toegangsrechten tot Cloud Service Consumer (CSC)-data en bedrijfsprocessen.
+==Objecttoelichting==
+Toegang tot data en bedrijfsprocessen van alle mogelijke gebruikers zowel de CSC als de Cloud Service Provider (CSP) wordt uitsluitend met identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.
+|Criterium=''Gebruikers'' behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.
+|Doelstelling=Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen.
+|Risico=Misbruik en verlies van (gevoelige) gegevens.
 |Beveiligingsaspect=Uitvoering
 |Invalshoek=Gedrag
-|Grondslag=* NEN-ISO/IEC 27002: 9.1.2, 9.4
+|Grondslag=* BIO (Baseline Informatiebeveiliging Overheid): 9.1.2
-* Cloud Security Alliance (CSA): IAM
+|Conformiteitsindicator=Gebruikers, bevoegd
-|Conformiteitsindicator=gebruikers
+|Heeft bron=BIO Thema Clouddiensten
-bevoegd
+|Status Actualiteit=Actueel
 |Heeft ouder=ISOR:BIO Thema Clouddiensten Uitvoering
 }}