BIO Thema-uitwerking Toegangsbeveiliging
Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
| ID: | TBV |
|---|---|
| Normenkader | |
| Versie: | 2.4 |
| Status: | Actueel |
Inleiding
BIO Thema-uitwerking Toegangsbeveiliging geeft overheidsorganisaties een beeld van de meest relevante onderwerpen die een rol spelen bij het inrichten en beveiligen van toegangsvoorzieningen. Dit document is geënt op controls uit de Baseline Informatiebeveiliging Overheid (BIO2) en andere best practices zoals: NEN-EN-ISO/IEC 27001:2022 (hierna genoemd ISO 27001) en NEN-EN-ISO/IEC 27002:2022 (hierna genoemd ISO 27002), The Standard of Good Practice (SoGP) 2018 en de National Institute of Standards and Technology (NIST).
Opzet BIO Thema-uitwerking
In deze BIO Thema-uitwerking zijn de objecten geïdentificeerd die een rol spelen bij toegangsbeveiliging. De objecten zijn ingedeeld in de domeinen Beleid, Uitvoering en Control (BUC), en daarbinnen naar een viertal invalshoeken. Deze objecten vormen de verschillende inhoudelijke onderwerpen van toegangsbeveiliging. Ze zijn in het document verder uitgewerkt naar controls en onderliggende maatregelen.
Deze thema-uitwerking volgt de standaard opzet voor BIO Thema-uitwerkingen:
- scope en begrenzing van de thema-uitwerking (Zie scope en begrenzing toegangsbeveiliging)
- context en globale structuur van de thema-uitwerking (Zie context en globale structuur toegangsbeveiliging)
- globale relaties tussen de geïdentificeerde beveiligingsobjecten (Zie globale relaties tussen geïdentificeerde beveiligingsobjecten)
Scope en begrenzing toegangsbeveiliging
De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers.
De uitwerking van fysieke beveiliging is in deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra).
Specifieke apparaat-gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken vallen buiten de scope van deze thema-uitwerking.
De begrenzing van deze BIO Thema-uitwerking is weergegeven in afbeelding 1.
Context en globale structuur toegangsbeveiliging
Informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van derden. Deze informatiesystemen moeten worden beveiligd en beheerst om het risico van inbreuk, misbruik en (data)diefstal te mitigeren. Toegangsbeveiliging speelt hierbij een cruciale rol. Toegangsbeveiliging richt zich op informatiesystemen (logische toegangsbeveiliging) en op gebouwen en ruimten waarin medewerkers gehuisvest zijn (fysieke toegangsbeveiliging).
Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele apparaten en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en systemen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot terreinen, gebouwen en ruimten.
Zie hiervoor afbeelding 2.
Binnen dit normenkader
Inleidende teksten
- BIO Thema Toegangsbeveiliging - Inleiding (algemene inleiding)
- Beveiligingsobjecten toegangsbeveiliging (specifieke inleiding)
- Scenario voor toegangsbeveiliging (toelichting)
Relatie tussen principes en onderliggende normen
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen BIO Thema-uitwerking Toegangsbeveiliging
Alle onderdelen van BIO Thema-uitwerking Toegangsbeveiliging zijn ingedeeld volgens de SIVA-methodiek. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie beveiligingsaspecten: Beleid (B), Uitvoering (U) of Control (C). Binnen normenkaders die geheel volgens de SIVA-methodiek zijn opgesteld, herken je bovendien een tweede indeling, in de invalshoeken Intentie (I) of Functie (F) of Gedrag (G) of Structuur (S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor De Privacy Baseline en Grip op Secure Software Development geldt een uitzondering. Daar heeft de invalshoek geen rol gespeeld bij de samenstelling van het 'normenkader'.
De principes en onderliggende normen van BIO Thema-uitwerking Toegangsbeveiliging zijn op basis hiervan in een aantal overzichten gezet:
Principes uit BIO Thema-uitwerking Toegangsbeveiliging
In deze tabel staan alle principes uit BIO Thema-uitwerking Toegangsbeveiliging, met het unieke ID, Criterium en de conformiteitsindicatoren die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control)
en in uitgebreide versie met alle bestaande eigenschappen.
Beleid (principes)
export principes Beleid als csv
| ID | Principe | Criterium |
|---|---|---|
| TBV_B.01 | Toegangsbeveiligingsbeleid | Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen. |
| TBV_B.02 | Inventarislijst en eigenaarschap | De organisatie heeft inzicht en grip op welke informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van verantwoordelijkheden en eigenaren, binnen de organisatie gebruikt worden. |
| TBV_B.03 | Beveiligingsfunctie | Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie. |
| TBV_B.04 | Cryptografie | Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd. |
| TBV_B.05 | Beveiligingsorganisatie | Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerp-specifieke beleidsregels. |
| TBV_B.06 | Toegangsbeveiligingsarchitectuur | De organisatie behoort met organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd. |
Uitvoering (principes)
export principes Uitvoering als csv
| ID | Principe | Criterium |
|---|---|---|
| TBV_U.01 | Registratieprocedure | De volledige levenscyclus van identiteiten (personen en systemen) behoort te worden beheerd. |
| TBV_U.02 | Toegangsverleningsprocedure | Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. |
| TBV_U.03 | Inlogprocedure | Er behoren beveiligde authenticatietechnologieen en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging. |
| TBV_U.04 | Wachtwoordenbeheer | De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt. |
| TBV_U.05 | Speciale toegangsrechtenbeheer | Het toewijzen en het gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd. |
| TBV_U.06 | Functiescheiding | Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden. |
| TBV_U.07 | Autorisatie | De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging. |
| TBV_U.08 | Autorisatievoorzieningen | Voor autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen beschikbaar zijn, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten. |
| TBV_U.09 | Fysieke toegangsbeveiliging | Beveiligde zones behoren te worden beschermd door passende toegangsbeveiligings-maatregelen en toegangspunten. |
Control (principes)
export principes Control als csv
| ID | Principe | Criterium |
|---|---|---|
| TBV_C.01 | Beoordelingsprocedure | Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld. |
| TBV_C.02 | Beoordeling toegangsrechten | Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. |
| TBV_C.03 | Logging en monitoring | Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd. |
| TBV_C.04 | Beheersorganisatie toegangsbeveiliging | De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Toegangsbeveiliging. Van links tot rechts zie je het unieke ID van de norm, welke conformiteitsindicator van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen
en in uitgebreide tabel.
Beleid (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| TBV_B.01.01 | Regels | De regels om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen worden vastgesteld, gedocumenteerd en onderhouden in een toegangsbeveiligingsbeleid. | Eisen aan het Toegangvoorzieningsbeleid |
| TBV_B.01.02 | Bedrijfseisen | Bij de bescherming van logische- en fysieke toegang wordt rekening gehouden met relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten. | Aandacht voor wetgeving en verplichtingen |
| TBV_B.01.03 | Bedrijfseisen | Er is vastgesteld welke entiteiten welke soort toegang tot informatie en andere gerelateerde bedrijfsmiddelen vereist. | Standaard gebruikersprofielen |
| TBV_B.01.04 | Informatiebeveiligingseisen | Regels voor informatieverspreiding en -autorisatie, informatiebeveiligingsniveau's en -classificatie zijn vastgesteld, waarbij rekening is gehouden met de 'least privilege', 'need-to-know' en 'need-to-use' principes. | Toepassen van need-to-know en need-to-use principes |
| TBV_B.01.05 | Informatiebeveiligingseisen | Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Het autorisatiebeheer is procesmatig ingericht |
| TBV_B.01.06 | Informatiebeveiligingseisen | Toegang tot een vertrouwde zone waarin gevoelige overheidsinformatie is opgeslagen, is uitsluitend toegestaan vanaf een apparaat van de organisatie dat voldoet aan de beveiligingseisen of vanuit programmatuur die wordt uitgevoerd binnen een extra beveiligde omgeving. | Toegang tot vertrouwde zones met gevoelige overheidsinformatie uitsluitend via beveiligde apparaten of omgevingen |
| TBV_B.02.01 | Inventarislijst | Alle informatie en andere gerelateerde bedrijfsmiddelen worden geïdentificeerd en vastgelegd in nauwkeurige, actuele en consistente inventarislijsten, zoals lijsten voor informatie, hardware, software, virtuele machines, faciliteiten, personeel en competenties. Hierbij worden tevens Operationele Technologie (OT), cloud-omgevingen, SaaS-applicaties en andere bedrijfsmiddelen opgenomen die regelmatig zijn verbonden met de netwerkinfrastructuur maar niet onder controle van de organisatie staan. | Inventarisatie van alle bedrijfsmiddelen inclusief OT, cloud en SaaS in actuele en consistente inventarislijsten |
| TBV_B.02.02 | Inventarislijst | De inventarislijsten worden periodiek beoordeeld en bij wijzigingen bijgewerkt, zodat een betrouwbare basis ontstaat voor risicobeheer, toegangsbeveiliging en de bescherming van kritieke assets. | Periodieke beoordeling en bijwerking van inventarislijsten als basis voor risicobeheer en toegangsbeveiliging |
| TBV_B.02.03 | Inventarislijst | De bedrijfsmiddelen zijn geclassificeerd in lijn met de classificatie van de informatie die eraan is gerelateerd, zodat de beschermingsmaatregelen consistent zijn met de beveiligingseisen van die informatie. | Classificatie van bedrijfsmiddelen in lijn met de beveiligingseisen van gerelateerde informatie |
| TBV_B.02.04 | Eigenaren | Voor elk geïdentificeerd informatie- en gerelateerd bedrijfsmiddel wordt een eigenaar (een persoon of groep) aangewezen die verantwoordelijk is voor het beheer en de beveiliging ervan. | Aanwijzing van eigenaren voor beheer en beveiliging van informatie en bedrijfsmiddelen |
| TBV_B.02.05 | Eigenaren | De eigenaar van een bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus en zorgt ervoor dat:
| Verantwoordelijkheden van de eigenaar voor beheer, classificatie, bescherming en risicobeheersing van bedrijfsmiddelen gedurende de levenscyclus |
| TBV_B.03.01 | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid. | De rollen binnen de beveiligingsfunctie zijn benoemd |
| TBV_B.03.02 | Beveiligingsfunctie | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van businessinitiatieven voor het toegangsbeveiligingssysteem. | Het toegangbeveiligingssysteem wordt periodiek geevalueerd |
| TBV_B.04.01 | Authenticatie-informatie | Authenticatie-informatie wordt beschermd door versleuteling. | Authenticatie-informatie wordt beschermd door middel van versleuteling |
| TBV_B.04.02 | Regels | De regels voor cryptografie worden vastgelegd in een cryptografiebeleid. In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Het cryptografiebeleid stelt eisen |
| TBV_B.04.03 | Gebruik van cryptografie |
| Cryptografische toepassingen |
| TBV_B.04.04 | Gebruik van cryptografie | Cryptografische toepassingen voldoen aan passende standaarden van het Forum Standaardisatie. | Sterkte van de cryptografie |
| TBV_B.04.05 | Gebruik van cryptografie | De sterkte van de cryptografie wordt waar mogelijk gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van de AIVD. | Cryptografische sterkte gebaseerd op actuele adviezen van NCSC en AIVD |
| TBV_B.05.01 | Organisatorische positie | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | De beveiligingsorganisatie heeft een formele positie |
| TBV_B.05.02 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Verantwoordelijkheden zijn beschreven en toegewezen |
| TBV_B.05.03 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix. | Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd |
| TBV_B.05.04 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Functionarissen zijn benoemd |
| TBV_B.05.05 | Rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Verantwoordings- en rapportagelijnen zijn vastgesteld |
| TBV_B.05.06 | Rapportagelijnen | Eigenaren behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied. | Frequentie en eisen voor rapportages |
| TBV_B.06.01 | Technische inrichting | De technische inrichting van de toegangsbeveiliging is met organisatorische eisen vormgegeven aangaande:
| De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen |
| TBV_B.06.02 | Toegangsbeveiligingsarchitectuur | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangsbeveiligingsarchitectuur. | Er is een toegangbeveiligingsarchitectuur |
Uitvoering (normen)
export normen Uitvoering als csv
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| TBV_U.01.01 | Identiteiten | Er is een sluitende formele registratie-, wijzigings- en afmeldprocedure voor het beheren van gebruikersidentificaties. | Een sluitende formele registratie- en afmeldprocedure |
| TBV_U.01.02 | Identiteiten | Het gebruiken van groepsaccounts is niet toegestaan, tenzij de proceseigenaar dit motiveert, vastlegt en afstemt met de CISO. | Groepsaccounts niet toegestaan tenzij |
| TBV_U.01.03 | Identiteiten | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden geregistreerd, gecontroleerd en goedgekeurd. | Autorisaties worden gecontroleerd |
| TBV_U.01.04 | Identiteiten | Gebruikers worden met juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know- en need-to-have-principes). | Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen |
| TBV_U.01.05 | Identiteiten | Een bevoegdhedenmatrix is beschikbaar waarmee gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. | Systeemprivileges op basis van een bevoegdhedenmatrix |
| TBV_U.02.01 | Toegangsrechten | De procedure voor het toewijzen of intrekken van fysieke en logische toegangsrechten aan de geauthenticeerde identiteit van een entiteit omvat:
| Uitsluitend toegang na autorisatie |
| TBV_U.02.02 | Toegangsrechten | Het maken en aanpassen van accounts met bijzondere rechten wordt gemonitord. Indien deze wijzigingen ongeautoriseerd zijn, is dit een informatiebeveiligingsincident en wordt als zodanig vastgelegd en afgehandeld. | Risicoafweging voor functiescheiding en toegangsrechten |
| TBV_U.02.03 | Toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Een risicoafweging bepaalt of dit sneller moet. | Beoordelen van toegangsrechten |
| TBV_U.03.01 | beveiligde authenticatie technologieën en -procedures |
| Afstemming van authenticatiemechanismen en inlogprocedures op classificatie en minimalisatie van onbevoegde toegang |
| TBV_U.03.02 | Beperkingen van de toegang | Ingeval krachtige verificatie en authenticatie van de identiteit is vereist, behoren andere authenticatiemethoden dan wachtwoorden te worden gebruikt, zoals digitale certificaten, chipkaarten, tokens of biometrische middelen. | Sterke authenticatie met certificaten, chipkaarten, tokens of biometrie bij hoge verificatievereisten |
| TBV_U.03.03 | Beperking van de toegang | Voor toegang tot essentiële informatiesystemen wordt multifactorauthenticatie (MFA) toegepast, gebaseerd op een combinatie van meerdere factoren (bijv. kennis, bezit en biometrie). | Multifactorauthenticatie voor toegang tot essentiële informatiesystemen |
| TBV_U.03.04 | Beperkingen van de toegang | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden en voor hoelang de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Risicoafweging en registratie van netwerktoegang voor externe leveranciers |
| TBV_U.04.01 | Authenticatie-informatie | Multi-factorauthenticatie (MFA) wordt toegepast bij het primaire aanloggen op de digitale werkomgeving, bij accounts voor via het internet bereikbare voorzieningen en accounts die beheerrechten hebben en in andere situaties waar uit de risicoanalyse blijkt dat dit een passende oplossing is. MFA wordt toegepast in deze twee vormen:
| Toepassing van MFA in wachtwoordloze en wachtwoordgebonden vormen voor digitale werkomgeving, internetdiensten en beheerdersaccounts |
| TBV_U.04.02 | Authenticatie-informatie | De organisatie biedt aan alle medewerkers een wachtwoordmanager of vergelijkbare oplossing aan. | Beschikbaarstelling van een wachtwoordmanager voor alle medewerkers |
| TBV_U.04.03 | Authenticatie-informatie | De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen | Geautomatiseerde afdwinging van wachtwoordeisen |
| TBV_U.05.01 | Toewijzen | Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het beleid voor toegangsbeveiliging. | Beheer van speciale toegangsrechten via een autorisatieprocedure conform toegangsbeveiligingsbeleid |
| TBV_U.05.02 | Speciale toegangsrechten |
| Identificatie, beperking en scheiding van speciale toegangsrechten op basis van need-to-know en need-to-use |
| TBV_U.05.03 | Beheerst | De toegewezen of gebruikte speciale bevoegdheden worden in opzet, bestaan en werking minimaal ieder kwartaal beoordeeld. | Kwartaalgewijze beoordeling van toegewezen speciale bevoegdheden in opzet, bestaan en werking |
| TBV_U.06.01 | Taken | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. | Scheiding tussen beheertaken en gebruikstaken |
| TBV_U.06.02 | Verantwoordelijkheden | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Eenduidige toewijzing van beheers- en wijzigingsverantwoordelijkheden aan specifieke beheerdersrollen |
| TBV_U.06.03 | Gescheiden | Een risicoafweging bepaalt waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. | Risicoafweging als basis voor functiescheiding en toewijzing van toegangsrechten |
| TBV_U.06.04 | Gescheiden | Rollen, taken en verantwoordelijkheden zijn vastgesteld volgens gewenste functiescheidingen. | Vastlegging van rollen, taken en verantwoordelijkheden conform functiescheiding |
| TBV_U.07.01 | Informatie | Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen. | Maatregelen voor fysieke en logische isolatie van informatie met specifiek belang |
| TBV_U.07.02 | Informatie | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Toegang tot informatie met specifiek belang beperkt tot taakvereisten |
| TBV_U.07.03 | Informatie | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt met juiste rollen en verantwoordelijkheden. | Toegangsbeveiligingsbeleid voor beperking van toegang via rollen en verantwoordelijkheden |
| TBV_U.08.01 | Autorisatievoorzieningen | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Formele vaststelling van ondersteunende middelen voor autorisatiebeheer |
| TBV_U.08.02 | Personeelsregistratiesysteem | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Registratie van interne en externe gebruikers in het personeelsinformatiesysteem vóór toegangsverlening |
| TBV_U.08.03 | Autorisatiebeheersysteem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Registratie van alle natuurlijke personen die gebruik maken van applicaties |
| TBV_U.08.04 | Autorisatiefaciliteiten | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Functionaliteiten voor toekenning, inzage en beheer van autorisaties per applicatie |
| TBV_U.09.01 | Beveiligde zones | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken |
| TBV_U.09.02 | Passende toegang-beveiligings-maatregelen en toegangspunten | De aankomst- en vertrektijden van bezoekers worden geregistreerd in een fysiek of elektronisch logboek. | Toegang tot beveiligingszones beperkt tot geautoriseerde personen |
| TBV_U.09.03 | Passende toegang-beveiligings-maatregelen en toegangspunten | Alle medewerkers, contractanten en andere externen dragen een bepaalde vorm van zichtbare identificatie en stellen onmiddellijk het beveiligingspersoneel op de hoogte als zij bezoekers zonder begeleiding en personen die geen zichtbare identificatie dragen, tegenkomen. | Zichtbare identificatieplicht en meldingsplicht bij onbegeleide of ongeïdentificeerde personen |
| TBV_U.09.04 | Passende toegang-beveiligings-maatregelen en toegangspunten | In geval van concrete beveiligingsrisico’s worden waarschuwingen, volgens onderlinge afspraken, verzonden aan de relevante collega’s binnen het beveiligingsdomein van de overheid. | Waarschuwingen bij concrete beveiligingsrisico's verzonden aan relevante collega's binnen het overheidsbeveiligingsdomein |
| TBV_U.09.05 | Passende toegang-beveiligings-maatregelen en toegangspunten | Aan personeel van leveranciers die ondersteunende diensten verlenen wordt alleen indien noodzakelijk, beperkte toegang te worden verleend tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken. Deze toegang behoort te zijn gebaseerd op autorisatie en te worden gemonitord. | Beperkte en gemonitorde toegang voor leverancierspersoneel tot beveiligde gebieden op basis van autorisatie |
| TBV_U.10.01 | Autorisatievoorzieningen | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet |
| TBV_U.10.02 | Personeelsregistratiesysteem | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen |
| TBV_U.10.03 | Autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd |
| TBV_U.10.04 | Autorisatiefaciliteiten | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties |
| TBV_U.11.01 | Beveiligde gebieden | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen |
| TBV_U.11.02 | Passende toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Aankomst- en vertrektijden van bezoekers worden geregistreerd |
| TBV_U.11.03 | Passende toegangsbeveiliging | Medewerkers, contractanten en externen dragen zichtbare identificatie. | Medewerkers en contractanten en externen dragen zichtbare identificatie |
| TBV_U.11.04 | Passende toegangsbeveiliging | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten |
Control (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| TBV_C.01.01 | Procedures | De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data). | De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties |
| TBV_C.01.02 | Procedures | De organisatie beschikt over een beschrijving van de relevante controleprocessen. | De organisatie beschikt over een beschrijving van de relevante controleprocessen |
| TBV_C.01.03 | Procedures | De procedures hebben betrekking op controleprocessen die volgens een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. | De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus |
| TBV_C.01.04 | Procedures | De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. | De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management |
| TBV_C.02.01 | Toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld[Ev1.1]. Een risicoafweging bepaalt of dit sneller moet. | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld |
| TBV_C.02.02 | Toegangsrechten | Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld. | Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld |
| TBV_C.02.03 | Toegangsrechten | Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld |
| TBV_C.02.04 | Toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd |
| TBV_C.02.05 | Toegangsrechten | Het maken en aanpassen van accounts met bijzondere rechten wordt gemonitord. Indien deze wijzigingen ongeautoriseerd zijn, is dit een informatiebeveiligingsincident en wordt als zodanig vastgelegd en afgehandeld. | Monitoring van aanmaken en aanpassen van accounts met bijzondere rechten en afhandeling als incident bij ongeautoriseerde wijzigingen |
| TBV_C.02.06 | Beoordeeld | Het beoordelen vindt plaats op basis van een formeel proces, waarin planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen een plaats hebben. | Het beoordelen vind plaats op basis van een formeel proces |
| TBV_C.02.07 | Beoordeeld | Een functionaris is verantwoordelijk voor het controleren van de organisatorische en de technische inrichting van toegangsbeveiliging. | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting |
| TBV_C.03.01 | Log-bestanden | Een logregel bevat minimaal:
| Een log-regel bevat de vereiste gegevens |
| TBV_C.03.02 | Log-bestanden | Een logregel bevat nooit gegevens die tot het doorbreken van de beveiliging kunnen leiden. | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken |
| TBV_C.03.03 | Log-bestanden | Er is een overzicht van logbestanden die worden gegenereerd. | Overzicht van logbestanden |
| TBV_C.03.04 | Log-bestanden | De bewaartermijn van logbestanden en gegevens in het Security Incident en Event Monitoring (SIEM) worden risicogericht bepaald, rekening houdend met het scenario dat aanvallers langdurig binnen zijn. | Risicogerichte bepaling van bewaartermijnen voor logbestanden en SIEM-gegevens |
| TBV_C.03.05 | Log-bestanden | Actieve netwerkcomponenten zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen te kunnen waarnemen en daarop te reageren. | Logging en monitoring van actieve netwerkcomponenten voor detectie van en reactie op afwijkende gebeurtenissen |
| TBV_C.03.06 | Activiteiten | Oneigenlijk wijzigen, verwijderen of pogingen daartoe van loggegevens worden zo snel mogelijk gemeld als informatiebeveiligingsincident via de procedure voor informatiebeveiligingsincidenten volgens beheersmaatregel 5.24. | Melding van oneigenlijke wijziging of verwijdering van loggegevens als informatiebeveiligingsincident conform beheersmaatregel 5.24 |
| TBV_C.03.07 | Activiteiten | Op basis van een expliciete risicoafweging bepaalt de organisatie de periodieke toetsing op het ongewijzigd bestaan van logbestanden gedurende de bewaartermijn. Toetsing wordt uitgevoerd door een onafhankelijke functionaris (ten opzichte van de uitvoering). | De logbestanden worden gedurende een overeengekomen periode bewaard |
| TBV_C.03.08 | Activiteiten | De informatieverwerkende omgeving wordt gemonitord met een detectie- en response-oplossing, waarmee aanvallen kunnen worden gedetecteerd en afwijkingen adequaat en tijdig worden behandeld. | Monitoring van de informatieverwerkende omgeving met een detectie- en response-oplossing voor tijdige aanvalsdetectie |
| TBV_C.03.09 | Activiteiten | Bij ontdekte nieuwe dreigingen (aanvallen) via overheidsmaatregel 8.16.3 worden deze binnen geldende juridische kaders verplicht gedeeld met de daarvoor aangewezen Computer Emergency Response Team (CERT). | Verplichte melding van nieuwe dreigingen aan het aangewezen CERT binnen juridische kaders |
| TBV_C.03.10 | Beoordeeld | De SIEM en/of het SOC-monitoring-proces hebben eenduidige regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. | Eenduidige rapportageregels voor incidenten aan verantwoordelijk management vanuit SIEM en SOC |
| TBV_C.03.11 | Beoordeeld | Bij het verwerken van persoonsgegevens wordt, volgens het gestelde in de AVG, een verwerkingsregister bijgehouden. | Bijhouden van een verwerkingsregister bij de verwerking van persoonsgegevens conform de AVG |
| TBV_C.03.12 | Bewaard | De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole. | Bewaring van logbestanden gedurende een overeengekomen periode voor onderzoek en toegangscontrole |
| TBV_C.04.01 | Processtructuur | De samenhang van de processen wordt met een processtructuur vastgelegd. | De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd |
| TBV_C.04.02 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. | De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk |
| TBV_C.04.03 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd |
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
Gewijzigd:
27 maart 2026 09:52:39
Verplichting: Informatief
Beheerregime:
Fase: Beheerfase
28 mei 2018 16:15:59
27 maart 2026 09:52:39
77
Informatief
6 november 2023
