BIO Thema Toegangsbeveiliging - Verbindingsdocument

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Verbindingsdocument (Doorverwezen vanaf BIO Thema Toegangbeveiliging/Verbindingsdocument)
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij BIO Thema Toegangbeveiliging:


Inhoud

A1 Context van Toegangsbeveiliging

”Verbindingsniveau voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”

Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen.

”Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem”

Na deze processtappen bezit de medewerker (gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.) krijgt de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang tot applicaties.

Aan het account, het identificatiebewijs van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld.

”Indeling van de essentiële elementen in de drie domeinen van het logische toegangbeveiligingssysteem”

Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen.

”Weergave van de essentiële elementen voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”

A2 Generieke toegangsbeveiligingsobjecten

Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd.

Overzicht van de geïdentificeerde objecten uit BIO/ISO
BIO/ISO Nr. Generieke objecten
1. 9.1.1. Toegangsbeveiligingsbeleid
2. 8.1.2. Eigenaarschap bedrijfsmiddelen
3. 6.1.2. Beveiligingsfunctie
4. 10.1.1. Cryptografie
5. SA Beveiligingsorganisatie
6. SA Toegangsbeveiligingsarchitectuur
7. 9.2.1. Registratieprocedure
8. 9.2.2. Toegangsverleningsprocedure
9. 9.4.2. Inlogprocedure
10. 9.2.6. Autorisatieproces
11. 9.4.3. Wachtwoord beheer
12. 9.2.3. Speciale toegangsrechten beheer
13. 12.1.4. Functiescheiding
14. 9.2.4. Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie (Identificatie & Authenticatie)
15. 9.4.1. Autorisatie
16. SA Toegangsvoorzieningsfaciliteiten
17. 11.1.2. Fysieke toegangsbeveiliging
18. SA Beoordelingsrichtlijnen en procedures
19. 9.2.5. Beoordeling toegangsrechten
20. 12.4.1. Gebeurtenissen registreren (Logging en Monitoring)
21. SA Beheersingsorganisatie toegangsbeveiliging
Legenda
Beleid
Uitvoering
Control

Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL.

A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen

Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud.

”Overzicht van de generieke objecten in relatie tot SIVA basiselementen”

De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven.

De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving.

A4 Cross reference naar praktijktoepassingen

Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.

cross-reference naar praktijktoepassingen van het logische toegangbeveiligingssysteem
Nr. BronBIO/ISO Domein Generieke objecten Best PracticesNORA, NIST, SoGP
1. 9.1.1. B Toegangsbeveiligingsbeleid NIST, SoGP
2. 8.1.2. B Eigenaarschap bedrijfsmiddelen NIST, IBD, SoGP
3. 6.1.2. B Beveiligingsfunctie SoGP, Cobit
4. 10.1.1. B Cryptografie NORANederlandse Overheid ReferentieArchitectuur, Themapatroon Encryptie
5. SA B Beveiligingsorganisatie Aanvulling
6. SA B Toegangsbeveiligingsarchitectuur NORANederlandse Overheid ReferentieArchitectuur, katern beveiliging in samenhang
7. 9.2.1. U Registratieprocedure NORANederlandse Overheid ReferentieArchitectuur, Themapatroon IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.
8. 9.2.2. U Toegangsverleningsprocedure ISO
9. 9.4.2. U Inlogprocedure NORANederlandse Overheid ReferentieArchitectuur, Patroon Access Management (AM
10. 9.2.6. U Autorisatieproces NORANederlandse Overheid ReferentieArchitectuur, Patroon IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. en AM
11. 9.4.3. U Wachtwoord beheer SoGP, ISO, NIST
12. 9.2.3. U Speciale toegangsrechten beheer SoGP, ISO, NIST
13. 12.1.4. U Functiescheiding SoGP, ISO, NIST
14. 9.2.4. U Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie (Id. & Auth.) NORANederlandse Overheid ReferentieArchitectuur, Patroon Identity Management (IM)
15. 9.4.1. U Autorisatie NORANederlandse Overheid ReferentieArchitectuur, Patroon IM en AM
16. SA U Toegangsvoorzieningsfaciliteiten NORANederlandse Overheid ReferentieArchitectuur, Patroon Access Management
17 . 11.1.2. U Fysieke toegangsbeveiliging ISO
18. SA C Beoordelingsrichtlijnen en procedures Aanvulling
19. 9.2.5. C Beoordeling toegangsrechten NORANederlandse Overheid ReferentieArchitectuur, Patron Access Management
20. 12.4.1. C Gebeurtenissen registreren (Logging en Monitoring) NORANederlandse Overheid ReferentieArchitectuur, Patroon SIEM en Logging
21. SA C Beheersingsorganisatie toegangsbeveiliging Aanvulling
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen