BIO Thema Toegangsbeveiliging - Structuur van het thema Toegangbeveiling

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Structuur van het thema Toegangbeveiling (Doorverwezen vanaf BIO Thema Toegangbeveiliging/Structuur van het thema Toegangbeveiling)
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij BIO Thema Toegangbeveiliging:


De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij de beoordeling van een thema, zoals de toegangbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het moeilijk om de juiste normen uit BIO te selecteren. Voor de noodzakelijke beeldvorming van de omgeving van toegangbeveiliging hebben we eerst de relaties van de noodzakelijke onderdelen schematisch, in Figuur 3, weergegeven. De componenten zijn onderverdeeld in lagen.

Beleidsdomein – Dit domein bevat algemene conditionele zaken met betrekking tot inrichting van de toegangbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en rand voorwaardelijke aspecten die van toepassing zijn op de overige lagen binnen het uitvoeringsdomein en het control domein. Het bevat in het algemeen o.a. de objecten: informatiebeveiligingsbeleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen..

Uitvoeringsdomein – Dit domein omvat verschillende objecten van de te implementeren maatregel. Deze implementatieobjecten zijn georganiseerd langs de volgende lagen:

  1. Proces laag - Binnen deze laag zijn vanuit een organisatorische en procedurele invalshoek componenten vastgelegd. De van belang zijnde componenten zijn: Gebruiker, Rol, Profiel en Taak. De relatie tussen deze componenten kan gelezen worden als:
    1. een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem heeft een rol;
    2. op basis van deze rol wordt zijn/haar profiel bepaald;
    3. op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren.
  2. Toegangsvoorziening laag - Dit is de laag waarin wordt vastgelegd op basis van welke middelen gebruikers en beheerders toegang krijgen tot applicaties. Dit wordt vastgelegd in termen van identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen.
  3. Applicatie laag - De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie.
  4. Opslag - Geeft de verschillende registraties weer die onder meer worden gebruikt voor analyse doeleinden.
  5. Systeem laag - Binnen deze laag wordt aangegeven dat de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen./authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. via workstation worden aangeboden. Binnen deze omgeving worden ten aanzien van het accountmanagement bepaalde eisen gesteld.

Controldomein - Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangbeveiliging wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van toegang zelf. In ondersdtaande figuur wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.

”Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een drielagenstructuur”
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen