BIO Thema Toegangsbeveiliging

Uit NORA Online
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Dit Normenkader is deel van ISOR.


Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Toegangsbeveiliging

Alle onderdelen van BIO Thema Toegangsbeveiliging zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Toegangsbeveiliging zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Toegangsbeveiliging

In deze tabel staan alle principes uit BIO Thema Toegangsbeveiliging, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid

csv principes beleid

ID Criterium
LTV_B.04Cryptografie bij authenticatieTer bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05BeveiligingsorganisatieDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06Toegangbeveiliging(voorzienings)architectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.
TVZ_B.01ToegangbeveiligingsbeleidEen toegangbeveiligingsbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
TVZ_B.02CryptografieTer bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd.
TVZ_B.03ToegangbeveiligingsarchitectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.

Uitvoering

csv principes uitvoering

ID Criterium
LTV_U.06Speciale toegangsrechten beheerHet toewijzen en het gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
TVZ_U.01RegistratieprocedureEen formele registratie en afmeldprocedure moet worden geïmplementeerd om toewijzing van 'toegangsrechten mogelijk te maken.
TVZ_U.02Toegangsverlening procedureEen formele gebruikers toegangverleningsprocedure (GTV) moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
TVZ_U.03InlogproceduresAls het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. met behulp van een beveiligde inlogprocedure.
TVZ_U.04AutorisatieprocesEen formeel autorisatieproces moet geïmplementeerd zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.
TVZ_U.05Wachtwoorden beheerSystemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
TVZ_U.07FunctiescheidingConflicterende taken en 'verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
TVZ_U.08Authenticatie-informatieHet toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
TVZ_U.09Autorisatie'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.
TVZ_U.10AutorisatievoorzieningsfaciliteitenTer ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals een personeelsregistratiesysteem, een autorisatiebeheer systeem en autorisatiefaciliteiten beschikbaar zijn.
TVZ_U.11Fysieke toegangbeveiligingBeveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

Control

csv control

ID Criterium
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
TVZ_C.01Beoordeling van toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig te beoordelen.
TVZ_C.01Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
TVZ_C.03Beheersorganisatie toegangbeveiligingDe eigenaar van het toegangsbeveiliging systeem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Toegangsbeveiliging. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid

csv normen beleid

IDtrefwoordStellingNorm
LTV_B.04.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieAuthenticatie-informatie wordt beschermd zijn door middel van versleuteling.Authenticatie-informatie is versleuteld
LTV_B.04.02cryptografische beheersmaatregelenIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
Uitwerking van het cryptografiebeleid voor authenticatie
LTV_B.04.03cryptografische beheersmaatregelenCrypografische toepassingen voldoen aan passende standaarden.Eisen aan Crypografische toepassingen voldoen aan passende standaarden
LTV_B.05.01organisatorische positieDe beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.Positie van Beveiligingsorganisatie
LTV_B.05.02functionarissenDe belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Organisatieschema met de belangrijkste functionarissen
LTV_B.05.03taken verantwoordelijkheden en bevoegdhedenDe organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
LTV_B.05.04taken verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
LTV_B.05.05rapportagelijnenDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
LTV_B.05.06rapportagelijnenDe frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.De frequentie en de eisen voor de inhoudelijke rapportages
LTV_B.06.01technische inrichtingOp basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
Vormgeving van de technische inrichting van de toegangbeveiliging
LTV_B.06.02toegangbeveiligingsarchitectuurDe inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
LTV_B.06.03toegangbeveiligingsarchitectuurDe IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven.Het beschrijven van de IAA beveiligingsmaatregelen
LTV_B.06.04toegangbeveiligingsarchitectuurDe onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven.Beschrijving van de onderlinge samenhang tussen technische componenten
TVZ_B.01.01toegangbeveiligingbeleidHet toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beleid;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
  • Eisen aan het Toegangvoorzieningsbeleid
    TVZ_B.01.02bedrijfseisenBij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.Eisen aan het Toegangvoorzieningsbeleid
    TVZ_B.01.03bedrijfseisenVoor veelvoorkomende rollen in de organisaties zijn standaard gebruikersprofielen met toegangsrechten aanwezig.Voor veelvoorkomende rollen zijn standaard gebruikersprofielen met toegangsrechten aanwezig
    TVZ_B.01.04toegangbeveiligingbeleidInformatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need-to-use principes.Toepassen van need-to-know en need-to-use principes
    TVZ_B.01.05informatiebeveiligingseisenHet autorisatiebeheer is procesmatig ingericht. (zoals aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).Het autorisatiebeheer is procesmatig ingericht
    TVZ_B.02.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieAuthenticatie-informatie wordt beschermd door middel van versleuteling.Authenticatie-informatie wordt beschermd door middel van versleuteling
    TVZ_B.02.02cryptografische beheersmaatregelenHet cryptografiebeleid stelt eisen ten aanzien van:
  • de verantwoordelijkheid voor de implementatie en sleutelbeheer;
  • het bewaren van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie tijdens verwerking, transport en opslag;
  • de wijze waarop de normen van het forum standaardisatie worden toegepast.
  • Het cryptografiebeleid stelt eisen
    TVZ_B.03.01technische inrichtingDe technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
  • De technische inrichting van de toegangbeveiliging is vormgegeven op basis van de organisatorische eisen
    TVZ_B.03.02toegangbeveiligingsarchitectuurDe inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur

    Uitvoering

    csv normen uitvoering

    IDtrefwoordStellingNorm
    TVZ_U.01.01formele registratie en afmeldprocedureEr is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (van eerste registratie tot en met de beëindiging).Voor alle gebruikers wordt een sluitende formele registratie- en afmeldprocedure toegepast
    TVZ_U.01.02Formele registratie en afmeldprocedureHet gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.Het gebruik van groepsaccounts is - tenzij gemotiveerd en vastgelegd door de proceseigenaar - niet toegestaan
    TVZ_U.01.03formele registratie en afmeldprocedureDe aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.De aanvraag van autorisaties en de toegewezen autorisatieniveaus worden gecontroleerd
    TVZ_U.01.04toegangsrechtenGebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties ( need-to-know en need-to-have principes).Gebruikers worden op basis van juiste functierollen geautoriseerd voor het gebruik van applicaties
    TVZ_U.01.05toegangsrechtenEen bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig hebben voor de uitoefening van hun taken.Een bevoegdhedenmatrix is beschikbaar en toegepast voor het toekennen van systeemprivileges
    TVZ_U.02.01gebruikers toegangverleningsprocedureToegang tot informatiesystemen wordt uitsluitend verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris.Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatie door een bevoegde functionaris
    TVZ_U.02.02gebruikers toegangverleningsprocedureOp basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Het toepassen van functiescheiding en toegangsrechten wordt op basis van een risicoafweging bepaald
    TVZ_U.02.03gebruikers toegangverleningsprocedureEen actueel mandaatregister is aanwezig, waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen.Uit een actueel mandaatregister blijkt wie toegangsrechten en functieprofielen mogen verlenen
    TVZ_U.03.01beveiligde inlogprocedureAls vanuit een niet-vertrouwde zone toegang wordt verleend naar een vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..Toegang vanuit een niet naar een wel vertrouwde zone vindt plaats op basis van minimaal 2-factor authenticatie
    TVZ_U.03.02beveiligde inlogprocedureVoor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt.Vooraf aan het verlenen van toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaakt
    TVZ_U.03.03beveiligde inlogprocedureDe risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.Met een risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen
    TVZ_U.04.01formeel autorisatieprocesEr is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties.Een formeel proces voor het aanvragen, verwerken en archiveren van autorisaties wordt toegepast
    TVZ_U.04.02formeel autorisatieprocesHet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris.Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht
    TVZ_U.04.03formeel autorisatieprocesDe activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd.Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd
    TVZ_U.04.04toegangsrechtenBij beëindigen van dienstverband worden toegangsrechten tot informatie en informatie verwerkende faciliteiten ingetrokken.Bij beëindigen van dienstverband worden de toegangsrechten ingetrokken
    TVZ_U.04.05toegangsrechtenWijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.Verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband
    TVZ_U.04.06toegangsrechtenToegangsrechten tot informatie en informatie verwerkende bedrijfsmiddelen en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren.Afhankelijk van risicofactoren worden toegangsrechten al voor het dienstverband eindigt of wijzigt ingetrokken
    TVZ_U.05.01sterke wachtwoordenAls geen gebruik wordt gemaakt van 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., dan:
    • is de wachtwoordlengte minimaal 8 posities en complex van samenstelling;
    • vervalt vanaf een wachtwoordlengte van 20 posities de complexiteitseis;
    • is het aantal inlogpogingen maximaal 10;
    • is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen vastgelegd.
    Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie
    TVZ_U.05.02sterke wachtwoordenIn situaties waar geen 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd
    TVZ_U.06.01toewijzenHet toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures.Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures
    TVZ_U.06.02speciale toegangsrechtenGebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use).Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken
    TVZ_U.06.03beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
    TVZ_U.07.01gescheidenOp basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast
    TVZ_U.07.02gescheidenRollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen.Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen
    TVZ_U.07.03takenEen scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken.Een scheiding is aangebracht tussen beheertaken en gebruikstaken
    TVZ_U.07.04verantwoordelijkhedenVerantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol.Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol
    TVZ_U.07.05onbedoeldMaatregelen zijn getroffen waarmee onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen wordt waargenomen of wordt voorkomen.Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen
    TVZ_U.08.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieElke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
    TVZ_U.08.02authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieBij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld.Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld
    TVZ_U.08.03beheersprocesEen onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden.Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden
    TVZ_U.08.04beheersprocesGeheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens
    TVZ_U.09.01informatieGebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak.Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken
    TVZ_U.09.02systeemfunctiesBeheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen.Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen
    TVZ_U.09.03toegangbeveiligingsbeleidHet toegangsbeveiliging beleid geeft o.a. aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden
    TVZ_U.09.04toegangbeveiligingsbeleidToegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie.Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie
    TVZ_U.10.01autorisatiefaciliteitenIedere applicatie die valt onder het autorisatiebeheer proces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet
    TVZ_U.10.02PersoneelsregistratiesysteemAlle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen
    TVZ_U.10.03autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen beheer systeemAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
    TVZ_U.10.04autorisatiefaciliteitenIedere applicatie die valt onder het autorisatiebeheer proces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties
    TVZ_U.11.01beveiligde gebiedenToegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.Toegang tot beveiligingszones of gebouwen is slechts toegankelijk voor geautoriseerde personen
    TVZ_U.11.02passende toegangbeveiligingAankomst en vertrektijden van bezoekers worden geregistreerd.Aankomst- en vertrektijden van bezoekers worden geregistreerd
    TVZ_U.11.03passende toegangbeveiligingMedewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..Medewerkers en contractanten en externen dragen zichtbare identificatie
    TVZ_U.11.04passende toegangbeveiligingPersoneel van externe partijen die ondersteunende diensten verlenen, wordt voor zover noodzakelijk alleen beperkte toegang verleend tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten; deze toegang moet worden goedgekeurd en bewaakt.Personeel van externe partijen wordt beperkte toegang verleend tot beveiligde gebieden en faciliteiten

    Control

    csv normen control

    IDtrefwoordStellingNorm
    LTVZ_C.02.05bewaardDe SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijk management moet worden gerapporteerd.De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd
    LTV_C.03.04beoordelenBij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen.Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
    LTV_C.04.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
    LTV_C.04.03taken verantwoordelijkheden en bevoegdhedenDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
    LTV_C.04.04taken verantwoordelijkheden en bevoegdhedenDe taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
    TVZ_C.01.01toegangsrechtenAlle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
    TVZ_C.01.02toegangsrechtenToegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld.Toegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld
    TVZ_C.01.03toegangsrechtenAutorisaties voor speciale toegangsrechten worden frequenter beoordeeld.Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld
    TVZ_C.02.01logbestandenEen logregel bevat de vereiste gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (zoals: afleidbaarheid naar natuurlijke persoon, de gebeurtenis, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).Een logregel bevat de vereiste gegevens
    TVZ_C.02.02logbestandenEen logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.).Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
    TVZ_C.02.03gebruikersactiviteitenDe informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt door een SIEM en/of SOC, welke wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt door een SIEM en/of SOC
    TVZ_C.02.04bewaardNieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat-intelligence-sharing mechanismen.Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld
    TVZ_C.02.06bewaardBij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteiten register bijgehouden.Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden.
    TVZ_C.02.07beoordeeldDe logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.De logbestanden worden gedurende een overeengekomen periode bewaard
    TVZ_C.03.01processtructuurDe samenhang van de processen wordt door middel van een processtructuur vastgelegd.De samenhang van de toegangbeveiligingbeheerprocessen wordt door middel van een processtructuur vastgelegd
    TVZ_C.03.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.De belangrijkste functionarissen voor de beheerorganisatie zijn benoemd en inzichtelijk in een organisatieschema
    TVZ_C.03.03taken, verantwoordelijkheden en bevoegdhedenDe taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De taken, verantwoordelijkheden en bevoegdheden aangaande de beheerwerkzaamheden zijn beschreven en vastgelegd