Authenticatie softwarepakketten

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Toelichting

Toegang tot softwarepakketten door gebruikers wordt gereguleerd door het toegangsmechanisme gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Het softwarepakket stelt specifieke eisen aan de authenticatie van gebruikers. Het authenticatiemechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot softwarepakketten ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan.


NB Dit object en de set van maatregelen is voor softwarepakketten relevant als de onderliggende infrastructuur geen toereikende set van maatregelen bevat, waarmee aan de control kan worden voldaan.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.


Criterium

Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een mechanisme voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie.

Doelstelling

Het vaststellen van de identiteit van een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem van een softwarepakket.

Risico

Onbevoegde personen krijgen toegang tot de data in het softwarepakket.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is SSD 2020 SSD-5, SIG 2015

Onderliggende normen

IDConformiteitsindicatorStelling
SWP_U.08.01 Mechanisme voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie

De authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. wordt bereikt bij het zekerstellen van de volgende twee activiteiten:

  • Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket.
  • Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten.
SWP_U.08.02 Mechanisme voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie

De configuratie van de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is.

SWP_U.08.03 Mechanisme voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie

Het inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden).