BIO Thema Toegangsbeveiliging

Uit NORA Online
(Doorverwezen vanaf BIO Thema Toegangbeveiliging)
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Dit Normenkader is deel van ISOR.


Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Toegangsbeveiliging

Alle onderdelen van BIO Thema Toegangsbeveiliging zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Toegangsbeveiliging zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Toegangsbeveiliging

In deze tabel staan alle principes uit BIO Thema Toegangsbeveiliging, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid

csv principes beleid

ID Criterium
LTV_B.01Toegangbeveiliging(voorzienings)beleidEen toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02Eigenaarschap van bedrijfsmiddelenHet eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03Beveiligingsfunctie toegangbeveiligingEen gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04Cryptografie bij authenticatieTer bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05BeveiligingsorganisatieDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06Toegangbeveiliging(voorzienings)architectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.

Uitvoering

csv principes uitvoering

ID Criterium
LTV_U.01Registratieprocedure “Registratie van gebruikers”Een formele registratie- en afmeldingsprocedure moet te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
LTV_U.02Toegangsverlening procedureEen formele gebruikers toegangsverleningsprocedure (GTV) moet te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
LTV_U.03InlogproceduresIndien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
LTV_U.04AutorisatieprocesEr moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
LTV_U.05Wachtwoorden beheerSystemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
LTV_U.06Speciale toegangsrechten beheerHet toewijzen en gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
LTV_U.07FunctiescheidingConflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
LTV_U.08Geheime authenticatie-informatie (IA)Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
LTV_U.09Autorisatie'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.
LTV_U.10AutorisatievoorzieningsfaciliteitenEr moeten technische autorisatievoorzieningsmiddelen (AVM) zijn ter ondersteuning van autorisatiebeheer beschikbaar, een personeelsregistratiesysteem (PS), een autorisatiebeheersysteem (AB), autorisatiefaciliteiten (AF) binnen daartoe in aanmerking komende applicaties.
LTV_U.11Fysieke toegangbeveiligingBeveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

Control

csv control

ID Criterium
LTV_C.01Toegangbeveiliging beoordelingsprocedureEr moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.
LTV_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
LTV_C.03Gebeurtenissen registreren'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Toegangsbeveiliging. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid

csv normen beleid

IDtrefwoordStellingNorm
LTV_B.01.01toegangbeveiligingbeleidHet Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02bedrijfseisenBij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03bedrijfseisenVoor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast.Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04informatiebeveiligingseisenInformatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes.Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05informatiebeveiligingseisenHet autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01eigenaarschapHet eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02eigenaarschapDe eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem.De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit
LTV_B.02.03verantwoordelijkheden logisch middelenDe eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
  • Verantwoordelijkheidvoor de beveiliging van de logische componenten
    LTV_B.02.04verantwoordelijkheden fysieke middelenDe eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Verantwoordelijkheid voor de beveiliging van de fysieke componenten
    LTV_B.03.01beveiligingsfunctieDe rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA).Eisen aan de rollen binnen de beveiligingsfunctie
    LTV_B.03.02beveiligingsfunctieDe functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.Periodieke evluatie van het toegangbeveiligingssysteem
    LTV_B.04.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieAuthenticatie-informatie wordt beschermd zijn door middel van versleuteling.Authenticatie-informatie is versleuteld
    LTV_B.04.02cryptografische beheersmaatregelenIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

    a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

    f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
    Uitwerking van het cryptografiebeleid voor authenticatie
    LTV_B.04.03cryptografische beheersmaatregelenCrypografische toepassingen voldoen aan passende standaarden.Eisen aan Crypografische toepassingen voldoen aan passende standaarden
    LTV_B.05.01organisatorische positieDe beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.Positie van Beveiligingsorganisatie
    LTV_B.05.02functionarissenDe belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Organisatieschema met de belangrijkste functionarissen
    LTV_B.05.03taken verantwoordelijkheden en bevoegdhedenDe organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
    LTV_B.05.04taken verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
    LTV_B.05.05rapportagelijnenDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
    LTV_B.05.06rapportagelijnenDe frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.De frequentie en de eisen voor de inhoudelijke rapportages
    LTV_B.06.01technische inrichtingOp basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
    • de uniformiteit en flexibiliteit van authenticatiemechanismen;
    • de rechten voor beheeraccounts;
    • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
    • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
    Vormgeving van de technische inrichting van de toegangbeveiliging
    LTV_B.06.02toegangbeveiligingsarchitectuurDe inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
    LTV_B.06.03toegangbeveiligingsarchitectuurDe IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven.Het beschrijven van de IAA beveiligingsmaatregelen
    LTV_B.06.04toegangbeveiligingsarchitectuurDe onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven.Beschrijving van de onderlinge samenhang tussen technische componenten

    Uitvoering

    csv normen uitvoering

    IDtrefwoordStellingNorm
    LTV_U.01.01formele proceduresEr is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers.Sluitende formele registratie- en afmeldprocedure voor alle gebruikers
    LTV_U.01.02formele proceduresHet gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd
    LTV_U.01.03formele proceduresDe procedures beschrijven alle fasen van de levenscyclus van de gebruikerstoegang en de relaties tussen de autorisatieprocessen (eerste registratie en beëindiging).Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven
    LTV_U.01.04formele proceduresDe aanvraag van autorisaties op het gebruik van informatie systemen en de toegewezen autorisatieniveau ’s worden gecontroleerd.Controle van aanvraag en toegewezen autorisatieniveau’s voor gebruik van informatiesystemen
    LTV_U.01.05toegangsrechtenGebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd tot het gebruik van applicaties.Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties
    LTV_U.01.06toegangsrechtenAutorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes.Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes
    LTV_U.01.07toegangsrechtenEen bevoegdhedenmatrix is beschikbaar op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van zijn taken.Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang
    LTV_U.02.01gebruikers toegangsverleningsprocedureToegang tot informatiesystemen wordt uitsluiten verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris.Slechts na autorisatie door een bevoegde functionaris wordt toegang verleend tot informatiesystemen
    LTV_U.02.02gebruikers toegangsverleningsprocedureOp basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Functiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging
    LTV_U.02.03gebruikerstoegangsverleningsprocedureUit een actueel mandaatregister blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen.Het mandaatregister is actueel en toont wie bevoegdheden heeft
    LTV_U.03.01InlogprocedureAls vanuit een onvertrouwde zone toegang wordt verleend tot een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..Toegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie
    LTV_U.03.02InlogprocedureVoor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt.Voorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaakt
    LTV_U.03.03InlogprocedureDe risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.De risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen
    LTV_U.04.01formeel autorisatieprocesEr is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties.Het autorisatie beheerproces
    LTV_U.04.02formeel autorisatieprocesHet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris.O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
    LTV_U.04.03formeel autorisatieprocesDe activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd.Vastleggen en archiveren van aanvraag, verwerken en afmelden van autorisatieverzoek-activiteiten
    LTV_U.04.04formeel autorisatieprocesDoor de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd.Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
    LTV_U.04.05toegangsrechtenBij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken.Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
    LTV_U.04.06toegangsrechtenDe verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband.Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
    LTV_U.04.07toegangsrechtenBij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast.I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
    LTV_U.04.08toegangsrechtenToegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren.Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken
    LTV_U.05.01wachtwoordenAls geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

    Het aantal inlogpogingen is maximaal 10.

    De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
    Wachtwoordlengte, complexiteit, toegestane inlogpogingen en blokkadetijdsduur
    LTV_U.05.02wachtwoordenIn situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.Waar geen two-factor authenticatie mogelijk is, minimaal halfjaarlijks vernieuwen van wachtwoord
    LTV_U.05.03wachtwoordenHet wachtwoordbeleid wordt geautomatiseerd uitgevoerd.Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd
    LTV_U.05.04wachtwoordenInitiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd.Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden
    LTV_U.05.05wachtwoordenWachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden.Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar, overige 6 maanden
    LTV_U.06.01toewijzenHet toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging en richtlijnen en procedures.Speciale toegangsrechten worden toegewezen o.b.v. risico afweging, richtlijnen en procedures
    LTV_U.06.02toegangsrechtenGebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know , need to use).Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening
    LTV_U.06.03toegangsrechtenGebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en beheerfuncties.Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties
    LTV_U.06.04beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
    LTV_U.07.01gescheidenOp basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Toepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging
    LTV_U.07.02gescheidenNiemand in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. of proces mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden.Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden
    LTV_U.07.03gescheidenRollen, taken en verantwoordelijkheden zijn vastgesteld conform de gewenste functiescheidingen.Rollen, taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld
    LTV_U.07.04takenEr is een scheiding tussen beheertaken en overige gebruikstaken, waarbij onder andere:
    • Gebruikstaken alleen mogelijk zijn wanneer ingelogd is als standaard gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem;
    • Beheertaken alleen uitgevoerd kunnen worden met een beheerders account (gebruikersnaam en wachtwoord);
    • Controletaken worden uitgevoerd door specifieke functionarissen.
    Scheiding is aangebracht tussen beheertaken en overige gebruikstaken
    LTV_U.07.05verantwoordelijkhedenVerantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.Verantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen
    LTV_U.07.06onbedoeldMaatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen of voorkomen.Waarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen
    LTV_U.08.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieElke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
    LTV_U.08.02authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieBij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel.Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen
    LTV_U.08.03authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieBij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.Authenticatie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden
    LTV_U.08.04beheersprocesEen onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden.Verplichte geheimhoudingsverklaring van gebruikers als onderdeel van de arbeidsvoorwaarden
    LTV_U.08.05beheersprocesGebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen.Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie
    LTV_U.08.06beheersprocesTijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt.Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie
    LTV_U.08.07beheersprocesGeheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden.Niet gemakkelijk te raden geheime authenticatie-informatie is uniek toegekend aan een persoon
    LTV_U.09.01toegangMaatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen.Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
    LTV_U.09.02informatieGebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak.Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
    LTV_U.09.03systeemfunctiesBeheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen.Beheerdersfuncties in toepassingen hebben extra bescherming
    LTV_U.09.04toegangsbeleidHet toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
    LTV_U.09.05toegangsbeleidToegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie.Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid
    LTV_U.10.01autorisatievoorzieningsmiddelenDoor een verantwoordelijke is formeel vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer.Formeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer
    LTV_U.10.02personeelsregistratiesysteemAlle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.Toegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem
    LTV_U.10.03autorisatiebeheersysteemAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
    LTV_U.10.04autorisatiefaciliteitenIedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.Applicaties hebben functionaliteit om autorisaties toe te kennen, in te zien en te beheren
    LTV_U.11.01beveiligde gebiedenToegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.Beveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen
    LTV_U.11.02passende toegangbeveiligingAankomst en vertrektijden van bezoekers worden geregistreerd.Registatie van aankomst en vertrektijden van bezoekers
    LTV_U.11.03passende toegangbeveiligingMedewerkers en contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..Medewerkers en contractanten en externen dragen zichtbare identificatie
    LTV_U.11.04bevoegd personeelIn geval van concrete beveiligingsrisico’s wordt conform onderlinge afspraken een waarschuwing verzonden aan de relevante collega’s binnen het beveiligingsdomein.Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s
    LTV_U.11.05bevoegd personeelHiervoor wordt nog een tekst aangeleverdUitwisseling van persoonsgerelateerde beveiligingsinformatie
    LTV_U.11.06bevoegd personeelPersoneel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk, beperkte toegang tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord.Extern personeel krijgt na formele toestemming en voor zover noodzakelijk beperkte toegang

    Control

    csv normen control

    IDtrefwoordStellingNorm
    LTV_C.01.01proceduresDe organisatie beschikt over een beschrijving van de relevante controleprocessen.De organisatie beschikt over een beschrijving van de relevante controleprocessen
    LTV_C.01.02proceduresDe procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
    LTV_C.01.03proceduresDe procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren.Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
    LTV_C.02.01toegangsrechtenAlle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
    LTV_C.02.02toegangsrechtenToegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld.Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
    LTV_C.02.03toegangsrechtenAutorisaties voor speciale toegangsrechten worden vaker beoordeeld.Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
    LTV_C.02.04toegangsrechtenDe beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Beoordelingsrapportage bevat vermelding van systemen met kwetsbaarheden en zwakheden
    LTV_C.02.05toegangsrechtenDe opvolging van bevindingen is gedocumenteerd.De opvolging van bevindingen is gedocumenteerd
    LTV_C.02.06beoordelenHet beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen).Het beoordelen vindt plaats op basis van een formeelproces
    LTV_C.02.07beoordelenEen functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging.Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
    LTV_C.02.08beoordelenDe taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd.Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
    LTV_C.03.01log-bestandenEen logregel bevat minimaal:
    • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
    • de gebeurtenis;
    • waar mogelijk de identiteit van het werkstation of de locatie;
    • het object waarop de handeling werd uitgevoerd;
    • het resultaat van de handeling;
    • de datum en het tijdstip van de gebeurtenis.
    Eisen aan de autorisatie-logregels
    LTV_C.03.02log-bestandenEen logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.).Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
    LTV_C.03.03gebruikersactiviteitenDe informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
    LTV_C.03.04beoordelenBij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen.Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
    LTV_C.03.05beoordelenDe SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
    LTV_C.03.06beoordelenBij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden.Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
    LTV_C.03.07bewaardDe logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.De logbestanden worden gedurende een overeengekomen periode bewaard
    LTV_C.04.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
    LTV_C.04.03taken verantwoordelijkheden en bevoegdhedenDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
    LTV_C.04.04taken verantwoordelijkheden en bevoegdhedenDe taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd