|
|
| Regel 1: |
Regel 1: |
| {{#Element: | | {{archief|Deze pagina is komen te vervallen}} |
| |ID=LTV | |
| |Titel=Logische toegangvoorzieningssysteem
| |
| |Kent ISOR-element met zelfde titel=0
| |
| |Dummy=edit=20171107
| |
| |Elementtype=Normenkader
| |
| |Versieaanduiding=0.8
| |
| |Gebruik in Nederlandse publieke sector=In ontwikkeling
| |
| |Status actualiteit=Concept
| |
| |Practice=BIR
| |
| |Redactionele wijzigingsdatum=18 sep 2017
| |
| |Beschrijving=[[Thema Logische toegangvoorzieningsysteem (LTV)]]
| |
| Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen. De informatiesystemen maken gebruik van cruciale data van de organistatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data misbruikt worden, wat kan leiden tot boetes, imago schade en klantenverlies.
| |
| Toegangsbeveiliging kan worden onderverdeeld in logsiche- en fysieke toegangbeveiliging.
| |
| Logische toegangbeveiliging – is een geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen. De toegang zelf is gerelateerd aan de aspecten identifctie, authenticatie en autorisatie.
| |
| Fysieke toegangbeveiliging - is een geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten van het rekencentrum. Dit thema zal separaat worden uitgewerkt en heeft raakvlak met het thema Huisvesting Rekencentrum.
| |
| Dit document geeft inzicht in een thematische opzet van een referentiekader van het thema Logische Toegangsbeveiliging. De uitwerking vindt plaats vanuit het BIR. We hanteren in het vervolg een algemener term ‘Logische toegangvoorzieningsysteem (LTV)’.
| |
| | |
| [[Scope en Begrenzing]]
| |
| In het algemeen is LTV gerelateerd aan toegangbeveiliging voor gebruikers, informatiesystemen, besturingssystemen, netwerken, mobiele devices, telewerken en netwerken.
| |
| In dit document ligt de focus op toegangsbeveiling met betrekking tot eindgebruikers en informatiesystemen. De overige toegangbeveiligingsonderdelen (toegang tot besturingssytemen, -netwerken, -mobiele computers, en telewerken) zullen separaat worden behandeld.
| |
| |Toelichting=
| |
| =Aanleiding=
| |
| In 2012 is de BIR van kracht geworden. Op dit moment wordt binnen de Rijksoverheid hard gewerkt aan de invoering van de BIR. Het beeld dat o.a. uit BIR-onderzoeken naar voren komt, is dat het voor organisaties lastig is een vertaalslag te maken van de maatregelen in de BIR naar de maatregelen in de praktijk. Dit komt onder andere door het feit dat de BIR-normen en maatregelen door elkaar heen lopen en deze bovendien soms multi-interpretabel zijn. Ook levert de structurering van de BIR-normen problemen op, omdat de BIR (ISO 27000 1/2) (nog) niet ingericht op wijze waarop organisaties tegenwoordig werken (bijv. in ketens, uitbesteding en virtualisatie) en sluit de structurering van ISO 27000 niet helemaal bij de belevingswereld van de gebruikersorganisatie. Ook theoretische evaluaties (Lindgreen, 1996) van ISO 27000 bevestigen een tekortkoming in de logische structuur. Er wordt onder andere niet gemotiveerd waarom deze hoofdstukken en de volgorde hiervan zijn gekozen.
| |
| Het Centrum voor Informatiebeveiliging & Privacy (CIP) promoot het SIVA-raamwerk. Dit raam-werk helpt informatiebeveiligers en auditors bij het ontwikkelen van beveiligingskaders of referentiekaders volgens de componenten Structuur, Inhoud, Vorm en Analysevolgorde. De verwachting is dat het uitwerken van bijvoorbeeld een baseline als BIR, waarin normen zijn opgenomen, aan de hand van het raamwerk, ook de organisaties die de BIR implementeren zal helpen bij de eenduidige interpretatie en implementatie daarvan.
| |
| Vanuit het CIP zijn een aantal BIR-thema’s geselecteerd met als doel om de normen uit de baseline BIR themagewijs te ordenen. Hiermee krijgen de betrokken functionarissen alle relevante normen behorend bij een thema op een handzame wijze gepresenteerd. Eén van deze geselecteerde thema’s betreft het thema ‘Huisvesting Rekencentra’ van rekencentra.
| |
| | |
| =Thema en objecten=
| |
| Voordat we ingaan op de onderdelen: object van design/onderzoek, doel van het onderzoek, omschrijving van object van onderzoek, geven eerst de definities van de termen: object en thema.
| |
| | |
| ''Definitie object:
| |
| Een object is een observeerbare en identificeerbare tastbaar- en niet tastbaar element in de business en IT-omgeving.
| |
| Bijvoorbeeld: een beleid, een netwerk, een applicatie, een proces, een protocol.
| |
| Afspraak: Bij het beschrijven van een norm/principe voor een Object wordt per Object één norm/principe geformuleerd.''
| |
| NB: Norm/principe is in ISO 2700x termen: Control. In COBIT-terminologie komt het overeen met ''Control Objectives''. Standard of Good practice (ISF) hanteert het begrip ''principe''.
| |
| | |
| ''Definitie Thema:
| |
| Een thema geeft een cluster van elementen (objecten) in een bepaald samenhang weer.''
| |
| | |
| De samenhang tussen de objecten wordt bepaald door de beoogde toepassing. Een thema kan daardoor gerelateerd zijn aan een ‘Target of Design’ dat geïmplementeerd of ‘Target of Audit’ dat onderzocht moet worden. Voorbeelden van thema’s zijn: Huisvesting Rekencentra, toegangvoorzieningssysteem, Netwerk. Omdat een thema uit verschillende samenhangende objecten bestaat, waarvan de samenhang bepaald wordt door het type (of toepassing) van te implementeren/onderzoeken onderwerpen, bestaan ook meerdere samenhangende principes.
| |
| Zo kan bijvoorbeeld het onderwerp ''netwerk'' als zowel een ''object'' als een ''thema'' beschouwd worden.
| |
| ''Netwerk als Object'' - er bestaat een algemeen principe voor het onderwerp netwerk (in ISO-terminologie: een control), zoals dit in de afbeelding ''Een individueel object binnen een onderzoeksgebied'' wordt geïllustreerd.
| |
| | |
| Bijvoorbeeld:
| |
| ''De provider dient het netwerk op basis van netwerkbeveiligingsrichtlijnen en architectuurvoorschriften te implementeren om een veilige netwerkdienst te kunnen bieden.''
| |
| ''Netwerk als Thema'' - er bestaan verschillende objecten met ieder een principe binnen het thema netwerk omdat het hier om een specifieke systeem-scope gaat. Bij een systeem-scope wordt een object van onderzoek in samenhang benaderd vanuit drie domeinen: beleid-, uitvoering- en control, zoals dit in afbeelding ''Een thema binnen een onderzoeksgebied'' wordt geïllustreerd. Binnen elk domein komen objecten voor die bij implementatie of bij evaluatie betrokken worden. Bij de uitwerking van het thema ‘Logische toegangsvoorziening’ worden objecten uit verschillende baselines geïdentificeerd: ISO, Nist, Cobit, SoGP.
| |
|
| |
| =Object van design/onderzoek=
| |
| Het object van design/onderzoek is Huisvesting Rekencentra, afgekort ''Huisvesting Rekencentra''. Het betreft de geselecteerde beveiligingsmaatregelen en/of toetsnormen uit de BIR die betrekking hebben op het thema Huisvesting Rekencentra. Het gaat hierbij om een samenhangende set van normen uit BIR en andere baseline vast te leggen, zodanig dat verantwoordelijken voor het implementeren en/of het beoordelen van dit thema kunnen uitgaan van dezelfde set normen waarbij interpretaties van normen/principes (of controls) en onderliggende implementatie- of beoordelings-criteria) geen problemen opleveren.
| |
| | |
| =Doel van het onderzoek=
| |
| Het opleveren van een vaktechnisch verantwoord referentiekader voor het BIR-thema Huisvesting Rekencentra, dat:
| |
| * organisaties een instrument biedt om de BIR-normen op een meer eenduidige wijze te implementeren;
| |
| * auditors een verantwoord instrument biedt voor het evalueren/toetsen van het thema Huisvesting Rekencentra op basis van de relevante objecten binnen dit thema.
| |
| De opgedane ervaring en de lessons learned uit deze uitwerking zullen actief worden gedeeld bij relevante gremia (betrokken partijen) en zullen beschikbaar worden gesteld aan stakeholders voor de evaluatie van de BIR.
| |
| | |
| =Eindproduct=
| |
| Volgens het SIVA-raamwerk uitgewerkte BIR-normen ten aanzien van het thema Huisvesting van rekencentra.
| |
| | |
| =Leeswijzer=
| |
| In hoofdstuk 2 worden de bevindingen van het onderzoek en de daaruit af te leiden conclusies en aanbevelingen genoemd. De keuze van BIR-maatregelen op het gebied van Huisvesting van rekencentra wordt in hoofdstuk 3 toegelicht. De aanpak van het onderzoek is in hoofdstuk 4 uitgewerkt en het feitelijke onderzoek wordt in de hoofdstukken 5 t/m 7 beschreven. Om het feitelijke onderzoek te kunnen plaatsen, is enige kennis de SIVA-methodiek vereist. In bijlage 5 wordt de kennis van de SIVA-methodiek aangereikt.
| |
| |Heeft bron=Normenkader Logische toegangsvoorziening
| |
| |Afbeelding=[[Bestand:Een individueel object binnen een onderzoeksgebied.png|700px|afbeelding ''Een individueel object binnen een onderzoeksgebied'']],
| |
| [[Bestand:Een thema binnen een onderzoeksgebied.png|700px|afbeelding ''Een thema binnen een onderzoeksgebied'']]
| |
| }} | |
