|
|
| (4 tussenliggende versies door 2 gebruikers niet weergegeven) |
| Regel 1: |
Regel 1: |
| {{#Element: | | {{archief|Deze pagina is komen te vervallen}} |
| |ID=LTV_B.06 | |
| |Titel=Toegangbeveiliging(voorzienings)architectuur
| |
| |Elementtype=Beveiligingsprincipe
| |
| |Versie=0.96
| |
| |Status Actualiteit=Actueel
| |
| |Redactionele wijzigingsdatum=29 jan 2018
| |
| |Publicatiedatum=29 jan 2018
| |
| |Importversie=34
| |
| |Beschrijving=De toegangbeveiligingsarchitectuur is een blauwdruk waarmee wordt aangegeven op welke wijze gebruikers toegang krijgen tot applicaties en overige ICT-componenten. Een datamodel op het entiteiten niveau maakt hier onderdeel van uit. Hierbij zijn rollen van gebruikers en beheerders op basis van een bepaald structuur, zoals RBAC of ABAC, etc modellen beschreven.
| |
| | |
| Met betrekking tot het ontwerp van de toegang tot applicaties wordt hieronder aandacht besteed aan een aantal onderwerpen waarmee bij het ontwerp van de toegangbeveiligingsarchitectuur rekening moet worden gehouden, zoals:
| |
| * ontwerp van identiteit- en toegangsbeheer;
| |
| * inrichting toegangsbeheer;
| |
| * eisen en behoeften ten aanzien van gebruikersidentificatie en -authenticatie;
| |
| * gebruik van uniforme authenticatiemechanismen;
| |
| * gebruik van platformaccounts met beperkte rechten;
| |
| * audit van uitgedeelde autorisaties.
| |
| | |
| De formuleringen van een hoofdnorm ten aanzien ‘toegangbeveiligingsarchitectuur’ en de bijbehordende subnormen zijn afgeleid uit andere baselines en beveiligingsrichtlijn zoals Standard of Good practice (ISF) en NCSC richtlijnen voor webapplicaties.
| |
| |Heeft bron=BIO Thema Toegangbeveiliging
| |
| |Criterium=De organisatie moet op basis van de ''organisatorische eisen'' en wensen de technische inrichting beschreven hebben en in een ''toegangbeveiligingsarchitectuur'' (TBA) vastgelegd.
| |
| |Doelstelling=Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting- en beheer van het toegangsvoorzieningsdomein.
| |
| |Risico=Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatie-inrichting en –beheerdomein.
| |
| |Beveiligingsaspect=Beleid
| |
| |Invalshoek=Structuur
| |
| |Grondslag=* Additioneel
| |
| |Conformiteitsindicator=technische inrichting,
| |
| toegangbeveiligingsarchitectuur
| |
| |Heeft ouder=ISOR:Toegangbeveiliging Beleidsdomein
| |
| }} | |
