BIO Thema Toegangsbeveiliging

Uit NORA Online
BIO Thema Toegangsbeveiliging (Doorverwezen vanaf BIO Thema Toegangbeveiliging)
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit Normenkader is deel van ISOR.


Inhoud




Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Toegangbeveiliging

Alle onderdelen van BIO Thema Toegangbeveiliging zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Toegangbeveiliging zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Toegangbeveiliging

In deze tabel staan alle principes uit BIO Thema Toegangbeveiliging, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid

csv principes beleid

ID   Criterium
LTV_B.01 Toegangbeveiliging(voorzienings)beleid Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02 Eigenaarschap van bedrijfsmiddelen Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03 Beveiligingsfunctie toegangbeveiliging Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04 Cryptografie bij authenticatie Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05 Beveiligingsorganisatie De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06 Toegangbeveiliging(voorzienings)architectuur De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.

Uitvoering

csv principes uitvoering

ID   Criterium
LTV_U.01 Registratieprocedure “Registratie van gebruikers” Een formele registratie- en afmeldingsprocedure moet te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
LTV_U.02 Toegangsverlening procedure Een formele gebruikers toegangsverleningsprocedure (GTV) moet te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
LTV_U.03 Inlogprocedures Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
LTV_U.04 Autorisatieproces Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
LTV_U.05 Wachtwoorden beheer Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
LTV_U.06 Speciale toegangsrechten beheer Het toewijzen en gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
LTV_U.07 Functiescheiding Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
LTV_U.08 Geheime authenticatie-informatie (IA) Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
LTV_U.09 Autorisatie 'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.
LTV_U.10 Autorisatievoorzieningsfaciliteiten Er moeten technische autorisatievoorzieningsmiddelen (AVM) zijn ter ondersteuning van autorisatiebeheer beschikbaar, een personeelsregistratiesysteem (PS), een autorisatiebeheersysteem (AB), autorisatiefaciliteiten (AF) binnen daartoe in aanmerking komende applicaties.
LTV_U.11 Fysieke toegangbeveiliging Beveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

Control

csv control

ID   Criterium
LTV_C.01 Toegangsbeveiliging beoordelingsprocedure Er moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.
LTV_C.02 Beoordeling toegangsrechten Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
LTV_C.03 Gebeurtenissen registreren 'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
LTV_C.04 Toegangsbeveiliging beheers(ings)organisatie De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema Toegangbeveiliging. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid

csv normen beleid

ID trefwoord Stelling Norm
LTV_B.01.01 toegangbeveiligingbeleid Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02 bedrijfseisen Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03 bedrijfseisen Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04 informatiebeveiligingseisen Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05 informatiebeveiligingseisen Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01 eigenaarschap Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02 eigenaarschap De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem. De eigenaar heeft de beschikking over noodzakelijke kennis middelen en mensen en autoriteit
LTV_B.02.03 verantwoordelijkheden logisch middelen De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
Verantwoordelijkheidvoor de beveiliging van de logische componenten
LTV_B.02.04 verantwoordelijkheden fysieke middelen De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
Verantwoordelijkheid voor de beveiliging van de fysieke componenten
LTV_B.03.01 beveiligingsfunctie De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA). Eisen aan de rollen binnen de beveiligingsfunctie
LTV_B.03.02 beveiligingsfunctie De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. Periodieke evluatie van het toegangbeveiligingssysteem
LTV_B.04.01 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie Authenticatie-informatie wordt beschermd zijn door middel van versleuteling. Authenticatie-informatie is versleuteld
LTV_B.04.02 cryptografische beheersmaatregelen In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
Uitwerking van het cryptografiebeleid voor authenticatie
LTV_B.04.03 cryptografische beheersmaatregelen Crypografische toepassingen voldoen aan passende standaarden. Eisen aan Crypografische toepassingen voldoen aan passende standaarden.
LTV_B.05.01 organisatorische positie De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. Positie van Beveiligingsorganisatie
LTV_B.05.02 functionarissen De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Organisatieschema met de belangrijkste functionarissen
LTV_B.05.03 taken verantwoordelijkheden en bevoegdheden De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
LTV_B.05.04 taken verantwoordelijkheden en bevoegdheden De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. De Autorisatiematrix met de beschrijving van de taken verantwoordelijkheden en bevoegdheden
LTV_B.05.05 rapportagelijnen De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
LTV_B.05.06 rapportagelijnen De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. De frequentie en de eisen voor de inhoudelijke rapportages
LTV_B.06.01 technische inrichting Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
Vormgeving van de technische inrichting van de toegangbeveiliging
LTV_B.06.02 toegangbeveiligingsarchitectuur De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
LTV_B.06.03 toegangbeveiligingsarchitectuur De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven. Het beschrijven van de IAA beveiligingsmaatregelen
LTV_B.06.04 toegangbeveiligingsarchitectuur De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven. Beschrijving van de onderlinge samenhang tussen technische componenten

Uitvoering

csv normen uitvoering

ID trefwoord Stelling Norm
LTV_U.01.01 formele procedures Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers. Sluitende formele registratie- en afmeldprocedure voor alle gebruikers.
LTV_U.01.02 formele procedures Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd
LTV_U.01.03 formele procedures De procedures beschrijven alle fasen van de levenscyclus van de gebruikerstoegang en de relaties tussen de autorisatieprocessen (eerste registratie en beëindiging). Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven
LTV_U.01.04 formele procedures De aanvraag van autorisaties op het gebruik van informatie systemen en de toegewezen autorisatieniveau ’s worden gecontroleerd. Controle van aanvraag en toegewezen autorisatieniveau ’s voor gebruik van informatiesystemen
LTV_U.01.05 toegangsrechten Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd tot het gebruik van applicaties. Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties
LTV_U.01.06 toegangsrechten Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes. Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes
LTV_U.01.07 toegangsrechten Een bevoegdhedenmatrix is beschikbaar op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van zijn taken. Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang
LTV_U.02.01 gebruikers toegangsverleningsprocedure Toegang tot informatiesystemen wordt uitsluiten verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. Slechts na autorisatie door een bevoegde functionaris.wordt toegang verleend tot informatiesystemen
LTV_U.02.02 gebruikers toegangsverleningsprocedure Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Functiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging
LTV_U.02.03 gebruikerstoegangsverleningsprocedure Uit een actueel mandaatregister blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen. Het mandaatregister is actueel en toont wie bevoegdheden heeft
LTV_U.03.01 Inlogprocedure Als vanuit een onvertrouwde zone toegang wordt verleend tot een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Toegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie
LTV_U.03.02 Inlogprocedure Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Voorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaak
LTV_U.03.03 Inlogprocedure De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. De risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen
LTV_U.04.01 formeel autorisatieproces Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties. Het autorisatie beheerproces
LTV_U.04.02 formeel autorisatieproces Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris. O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
LTV_U.04.03 formeel autorisatieproces De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd. Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten
LTV_U.04.04 formeel autorisatieproces Door de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd. Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
LTV_U.04.05 toegangsrechten Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken. Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
LTV_U.04.06 toegangsrechten De verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband. Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
LTV_U.04.07 toegangsrechten Bij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast. I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
LTV_U.04.08 toegangsrechten Toegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren. Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken
LTV_U.05.01 wachtwoorden Als geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

Het aantal inlogpogingen is maximaal 10.

De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
Wachtwoordlengte complexiteit toegestane inlogpogingen en blokkadetijdsduur
LTV_U.05.02 wachtwoorden In situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. Waar geen two-factor authenticatie mogelijk is minimaal 1/2-jaarlijks vernieuwen van wachtwoord
LTV_U.05.03 wachtwoorden Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd. Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd
LTV_U.05.04 wachtwoorden Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd. Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden
LTV_U.05.05 wachtwoorden Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden. Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar overige 6 maanden
LTV_U.06.01 toewijzen Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging en richtlijnen en procedures. Speciale toegangsrechten worden toegewezen o.b.v. risico afweging richtlijnen en procedures
LTV_U.06.02 toegangsrechten Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know , need to use). Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening
LTV_U.06.03 toegangsrechten Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en beheerfuncties. Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties
LTV_U.06.04 beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
LTV_U.07.01 gescheiden Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Toepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging
LTV_U.07.02 gescheiden Niemand in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. of proces mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden. Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden
LTV_U.07.03 gescheiden Rollen, taken en verantwoordelijkheden zijn vastgesteld conform de gewenste functiescheidingen. Rollen taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld
LTV_U.07.04 taken Er is een scheiding tussen beheertaken en overige gebruikstaken, waarbij onder andere:
  • Gebruikstaken alleen mogelijk zijn wanneer ingelogd is als standaard gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem;
  • Beheertaken alleen uitgevoerd kunnen worden met een beheerders account (gebruikersnaam en wachtwoord);
  • Controletaken worden uitgevoerd door specifieke functionarissen.
Sheiding is aangebracht tussen beheertaken en overige gebruikstaken
LTV_U.07.05 verantwoordelijkheden Verantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol. Verantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen
LTV_U.07.06 onbedoeld Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen of voorkomen. Waarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen
LTV_U.08.01 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
LTV_U.08.02 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel. Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen
LTV_U.08.03 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden. Authenticartie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden
LTV_U.08.04 beheersproces Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden. Verplichte geheimhoudingsverklaring van gebruikersals onderdeel van de arbeidsvoorwaarden
LTV_U.08.05 beheersproces Gebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen. Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie
LTV_U.08.06 beheersproces Tijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt. Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie
LTV_U.08.07 beheersproces Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden. Niet germakkelijk e raden geheime authenticatie-informatie is uniek toegekend aan een persoon
LTV_U.09.01 toegang Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen. Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
LTV_U.09.02 informatie Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak. Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
LTV_U.09.03 systeemfuncties Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen. Beheerdersfuncties in toepassingen zijn voorzien van hebben extra beschermin
LTV_U.09.04 toegangsbeleid Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
LTV_U.09.05 toegangsbeleid Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie. Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid
LTV_U.10.01 autorisatievoorzieningsmiddelen Door een verantwoordelijke is formeel vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer. Formeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer
LTV_U.10.02 personeelsregistratiesysteem Alle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. Toegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem
LTV_U.10.03 autorisatiebeheersysteem Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
LTV_U.10.04 autorisatiefaciliteiten Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren. Applicaties hebben functionaliteit om autorisaties toe te kennen in te zien en te beheren
LTV_U.11.01 beveiligde gebieden Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn. Beveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen
LTV_U.11.02 passende toegangbeveiliging Aankomst en vertrektijden van bezoekers worden geregistreerd. Registatie van aankomst en vertrektijden van bezoekers.
LTV_U.11.03 passende toegangbeveiliging Medewerkers en contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. Medewerkers en contractanten en externen dragen zichtbare identificatie.
LTV_U.11.04 bevoegd personeel In geval van concrete beveiligingsrisico’s wordt conform onderlinge afspraken een waarschuwing verzonden aan de relevante collega’s binnen het beveiligingsdomein. Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s
LTV_U.11.05 bevoegd personeel Hiervoor wordt nog een tekst aangeleverd Uitwisseling van persoonsgerelateerde beveiligingsinformatie
LTV_U.11.06 bevoegd personeel Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk, beperkte toegang tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. Extern personeel krijgt na formele toestemming en voor zover noodzakelijk beperkte toegang

Control

csv normen control

ID trefwoord Stelling Norm
LTV_C.01.01 procedures De organisatie beschikt over een beschrijving van de relevante controleprocessen. De organisatie beschikt over een beschrijving van de relevante controleprocessen
LTV_C.01.02 procedures De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
LTV_C.01.03 procedures De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren. Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
LTV_C.02.01 toegangsrechten Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02 toegangsrechten Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03 toegangsrechten Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04 toegangsrechten De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05 toegangsrechten De opvolging van bevindingen is gedocumenteerd. De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06 beoordelen Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). Het beoordelen vind plaats op basis van een formeelproces
LTV_C.02.07 beoordelen Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08 beoordelen De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
LTV_C.03.01 log-bestanden Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
Eisen aan de autorisatie-logregels
LTV_C.03.02 log-bestanden Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.). Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
LTV_C.03.03 gebruikersactiviteiten De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
LTV_C.03.04 beoordelen Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.03.05 beoordelen De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
LTV_C.03.06 beoordelen Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden. Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
LTV_C.03.07 bewaard De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De logbestanden worden gedurende een overeengekomen periode bewaard
LTV_C.04.02 functionarissen De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
LTV_C.04.03 taken verantwoordelijkheden en bevoegdheden De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
LTV_C.04.04 taken verantwoordelijkheden en bevoegdheden De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen