Toegangbeveiliging Controldomein
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.
Meer lezen | ||||||||||||||||
Doelstelling[bewerken]
De doelstelling van het control domein is er voor te zorgen dat en/of vast te stellen of:
- de toegangbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
- het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.
Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.
Risico's[bewerken]
Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de naleving van deze omgeving toereikend is ingericht. Tevens kan er niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.
Control objecten en normen
Beoordeling van logische en fysieke toegangsrechten van gebruikers richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie vast te stellen of het registratiesysteem betrouwbaar is. Binnen het specifieke control domein zouden de volgende onderwerpen van belang kunnen zijn bij het beoordelen van gebruikersautorisatie:
Beoordelingsprocedure
De inrichting van de toegangbeveiliging moet beheerst worden. Hiertoe dient periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en instructies. Anders bestaat het risico dat deze resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheersingsorganisatie structuur geeft de samenhang van de ingerichte processen weer. Een hoofdnorm en de bijbehorende subnormen worden hieronder vermeld.
Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
| ID | Principe | Criterium |
|---|---|---|
| HVI_C.01 | Controle-richtlijnen huisvesting IV | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. |
| HVI_C.02 | Onderhoudsplan | Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen. |
| HVI_C.03 | Continuïteitsbeheer | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. |
| HVI_C.04 | Beheersorganisatie huisvesting IV | De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
| ID | Stelling | Norm |
|---|---|---|
| HVI_C.01.01 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
| HVI_C.01.02 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| HVI_C.01.03 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
| HVI_C.01.04 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie |
| HVI_C.01.05 | De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
| HVI_C.02.01 | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
| HVI_C.02.02 | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
| HVI_C.03.01 | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
| HVI_C.03.02 | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken |
| HVI_C.03.03 | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
| HVI_C.03.04 | De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd. | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
| HVI_C.03.05 | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Realisatie van afdoende uitwijkfaciliteiten |
| HVI_C.03.06 | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
| HVI_C.03.07 | De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
| HVI_C.04.01 | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Er zijn functionarissen voor de beheersorganisatie benoemd |
| HVI_C.04.02 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Verantwoordelijkheden zijn toegewezen en vastgelegd |
| HVI_C.04.03 | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Verantwoordelijkheden zijn beschreven en vastgelegd |
| HVI_C.04.04 | De samenhang van de processen wordt met een processtructuur vastgelegd. | De samenhang van processen is in een processtructuur vastgelegd. |