BIO Thema Toegangsbeveiliging - Doelstelling en risico per object

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Doelstelling en risico per object / (Doorverwezen vanaf BIO Thema Toegangbeveiliging/Doelstelling en risico per object)
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij BIO Thema Toegangsbeveiliging:

Overzichten van de beveiligingsprincipes en daaraan gerelateerde doelstellingen, risico's en controls

uitleg doelstelling en risico

..

Alle Beveiligingsprincipes binnen het thema

Hieronder staan alle Beveiligingsprincipes binnen het BIO Thema Toegangsbeveiliging in een tabel, met daarbij de doelstelling en het risico. Je kunt deze tabel ook downloaden als csv. De tabel is gesorteerd op het ID van de principes, je kunt dit wijzigen met de kleine driehoekjes boven de kolommen.

ID DoelstellingRisico
LTV_B.01Toegangbeveiliging(voorzienings)beleidBeheersen van de toegang tot informatie.Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven.
LTV_B.02Eigenaarschap van bedrijfsmiddelenBewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.Noodzakelijke beveiligingsacties blijven achterwege.
LTV_B.03Beveiligingsfunctie toegangbeveiligingOm ervoor te zorgen dat de toegangbeveiliging effectief wordt ingericht.Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten mbt toegangbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd, of dat afwijkingen niet leiden tot corrigerende acties.
LTV_B.04Cryptografie bij authenticatieZorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatiegeheimen te beschermen.Als door ontoereikend cryptgrafiebeleid authenticatiegeheimen ontrafeld kunnen worden, dan is de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van data niet data niet te garanderen.
LTV_B.05BeveiligingsorganisatieInvullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie.Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.
LTV_B.06Toegangbeveiliging(voorzienings)architectuurHet verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting- en beheer van het toegangsvoorzieningsdomein.Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen-inrichting en –beheerdomein.
LTV_C.01Toegangbeveiliging beoordelingsprocedureHet bieden van ondersteuning bij het uitvoeren van formele controleactiviteiten.Onvoldoende mogelijkheden om vast te stellen of de controleactiviteiten gestructureerd plaatsvinden.
LTV_C.02Beoordeling toegangsrechtenHet vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • De koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.
Het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.
LTV_C.03Gebeurtenissen registrerenHet maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
  • Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd.
    LTV_C.04Toegangbeveiliging beheers(ings)organisatieInvullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem.De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiligingssysteem niet optimaal functioneert.
    LTV_U.01Registratieprocedure “Registratie van gebruikers”Bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden.
    LTV_U.02Toegangsverlening procedureZorgdragen voor een formele bevestiging van gebruikersbevoegdhedenAls formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten.
    LTV_U.03InlogproceduresVoorkomen dat ongeautoriseerden toegang krijgen tot bedrijfsinformatie en informatiesystemen.Misbruik en verlies van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en beïnvloeding van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van informatiesystemen te voorkomen.
    LTV_U.04AutorisatieprocesHiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties.
    LTV_U.05Wachtwoorden beheerBewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken.
    LTV_U.06Speciale toegangsrechten beheerHet voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken.
    LTV_U.07FunctiescheidingOm ervoor te zorgen dat:
  • gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie te verminderen;
  • niemand een gehele procescyclus kan beïnvloeden.
  • Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.
    LTV_U.08Geheime authenticatie-informatie (IA)Bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem.Er kan misbruik van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd door onbevoegden worden gemaakt.
    LTV_U.09AutorisatieVoorkomen van onbevoegde toegang tot informatie in toepassingssystemen.Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. worden aangebracht.
    LTV_U.10AutorisatievoorzieningsfaciliteitenDe inzet van autorisatievoorzieningsmiddelen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties, draagt bij aan de effectiviteit van het autorisatiebeheer en vermindert de kans op fouten.Door het ontbreken van autorisatievoorzieningsmiddelen is het mogelijk dat vervuiling optreedt bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd.
    LTV_U.11Fysieke toegangbeveiligingBewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.Onbevoegden kunnen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweegbrengen.