Authenticatie (beheersmaatregel)
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Authenticatie (beheersmaatregel) is een eis (Beheersmaatregel) Status: Concept Thema: Beveiliging/Toegang
BIR/ISO 27001:2005 11.4.2, ISO 27001:2013 9.1 |
Eis: Alvorens een systeem toegang verleent, wordt de identiteit van de gebruiker of ander subject dat om toegang vraagt, vastgesteld door middel van authenticatie.
Realiseert
Authenticatie (beheersmaatregel) realiseert het/de afgeleide principe(s):Implicaties
De volgende implementatierichtlijnen zijn een uitwerking van Authenticatie (beheersmaatregel):
- Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- In de volgende situaties vindt authenticatie van gebruikers plaats op basis van cryptografische techniek, ‘hardware tokens’ of een ‘challenge/response’-protocol:
- Single Sign On;
- toegang vanuit een onvertrouwde omgeving;
- bij beheer van kritische beveiligingsvoorzieningen (denk bijvoorbeeld aan Hardware Security Modules, firewalls, Intrusion Detection and Prevention Systems en routers). (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor 2.b (dat wil zeggen dat er altijd twee functionarissen nodig zijn om een handeling uit te voeren).
- Een mobiel apparaat (zoals een laptop, handheld computer, smartphone, PDA) vraagt om een pincode of wachtwoord bij het inschakelen.
- Bij telewerken, beheer op afstand en mobiel werken (een mobiel apparaat dat draadloos verbonden is met IT-voorzieningen van de organisatie) wordt vastgesteld dat vanaf een voor dit doeleinde beschikbaar gestelde werkplek wordt gewerkt. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassing. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Automatisch aanmelden is niet toegestaan voor interactieve gebruikers. Hier wordt bedoeld dat automatisch wordt ingelogd, zonder dat binnen de sessie door een gebruiker een wachtwoord wordt ingegeven (bijvoorbeeld het gebruik van Windows Auto Log-on mag dus niet, waarbij door het aanzetten van een PC een gebruiker automatisch wordt ingelogd onder een vooraf opgegeven gebruikersnaam met een vooraf opgegeven wachtwoord). Alleen systeemprocessen met functionele accounts mogen binnen een zone geautomatiseerd aanloggen. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkers
- Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur (een screensaver) die na 30 minuten alle informatie op het beeldscherm onleesbaar maakt. Het is toegestaan dat het systeem zo geconfigureerd wordt dat binnen een toegestane periode van enkele seconden de gebruiker door een muisbeweging of toetsenbordaanslag kan verhinderen dat de schermbeveiliging wordt geactiveerd. Het systeem biedt de gebruiker ook zelf de mogelijkheid om de schermbeveiliging op eenvoudige wijze te activeren. Het systeem is zo ingesteld dat na het activeren van de schermbeveiliging de gebruiker zich opnieuw moet authenticeren (de identificatie mag zichtbaar blijven). (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord. Het is wel gebruikelijk dat toetsaanslagen worden weergegeven door sterretjes of bullets. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld; indien deze tijd wordt overschreden beëindigt het systeem het inlogproces. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Netwerksessies worden na een vastgestelde periode van inactiviteit afgesloten. De duur van de periode tot de time-out is afgestemd op de vertrouwdheid van de zone (intern of extern) de gevoeligheid van de informatie die wordt verwerkt en de toepassingen die worden gebruikt. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding. Bij een foutieve aanmelding wordt niet vermeld of de gebruikersnaam bestaat maar slechts dat de combinatie gebruikersnaam en wachtwoord onjuist was nadat alle gegevens voor het inloggen zijn ingevuld. Er wordt bovendien geen geheugensteun voor het wachtwoord getoond. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken. Dit betreft onder meer de volgende middelen:
- Platforms (vaste en mobiele werkplek/server/mainframe): bestanden/directory’s/services en randapparatuur (denk aan USB-devices op de werkplek);
- ondersteunende systemen: services;
- primaire systemen: taken/functies in applicaties/stored procedures/gegevensbenadering in databases (views/tabellen/velden/records);
- beheer: beheer van appliances en firmware van hardware voor zover dit kan. Mogelijk is er geen functionaliteit op de toegang tot firmware met een rechtenstructuur te beveiligen. Wel dient in ieder geval een wachtwoord te zijn ingesteld. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Wachtwoorden voldoen aan de volgende wachtwoordconventie:
- Minimaal acht tekens;
- minimaal één hoofdletter;
- minimaal 4 kleine letters;
- minimaal 1 cijfer en/of één vreemd teken;
- nieuw wachtwoord moet in minimaal twee tekens verschillen met het vorig wachtwoord. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd worden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Wachtwoorden van functionele accounts worden minder frequent gewijzigd; namelijk minimaal eens per jaar en ten minste elke nieuwe release van de IT-service. Daarentegen zijn de wachtwoorden langer; namelijk minimaal 20 posities met willekeurig gekozen cijfers tekens en speciale tekens.
- De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen. Hierbij geldt het volgende:
- Voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd;
- ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure;
- alvorens een nieuw wachtwoord wordt gewijzigd wordt geautomatiseerd gecontroleerd of het nieuwe wachtwoord aan de vereiste conventies voldoet. (BIR (Baseline Informatiebeveiliging Rijksdienst))
Gerelateerde beschouwingsmodellen
De volgende beschouwingsmodellen zijn gerelateerd aan Authenticatie (beheersmaatregel):
- Beschouwingsmodel client
- Beschouwingsmodel draadloze netwerken
- Beschouwingsmodel netwerk
- Beschouwingsmodel printer
- Beschouwingsmodel server
- Beschouwingsmodel servervirtualisatie
- Beschouwingsmodel zonering