Authenticatie
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft de controle of een gebruiker van een softwarepakket daadwerkelijk is wie hij beweert te zijn.
Objecttoelichting
Toegang tot softwarepakketten door gebruikers wordt gereguleerd door het toegangsmechanisme gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Het softwarepakket stelt specifieke eisen aan de authenticatie van gebruikers. Het authenticatiemechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot softwarepakketten ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan.
NB Dit object en de set van maatregelen is voor softwarepakketten relevant als de onderliggende infrastructuur geen toereikende set van maatregelen bevat, waarmee aan de control kan worden voldaan.
Schaalgrootte
Elke schaalgrootte.
Voor wie
Leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is Grip op Secure Software Development SSD-5SIG Evaluation Criteria Security - Guidance for producers 3.2.3
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.08.01 | Mechanisme voor identificatie en authenticatie |
De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
|
SWP_U.08.02 | Mechanisme voor identificatie en authenticatie |
De configuratie van de identificatie- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is. |
SWP_U.08.03 | Mechanisme voor identificatie en authenticatie |
Het inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden). |