Toegang tot IT-diensten en data

Uit NORA Online
ISOR:Toegang tot IT-diensten en data /
Versie door Annemiekedewit (Overleg | bijdragen) op 12 mei 2020 om 13:53 (taalfout verwijderd)

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.


Criterium

Gebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.1.2 en 9.4, Cloud Security Alliance (CSA) Identity & Access Management (IAM)

Onderliggende normen

IDConformiteitsindicatorStelling
Cloud_U.10.01 gebruikers

De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.

  • technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan;
  • gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) is gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd op basis van functiescheiding. Nood-toegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
Cloud_U.10.02 gebruikers

Onder verantwoordelijkheid van de CSP wordt aan beheerders:

  • toegang tot data wordt verleend op basis van het ‘Least Privilege’ principe;
  • toegang tot data wordt verleend op basis van ‘need-to-know’ principe;
  • toegang verleend op basis van multi-factor authenticatie;
  • toegang verleend tot data en applicatieve functies via technische maatregelen.
Cloud_U.10.03 gebruikers

Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data.

Cloud_U.10.04 bevoegd

Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.

Cloud_U.10.05 bevoegd

Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept.