BIO Thema Toegangsbeveiliging - Doelstelling en risico per object

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Doelstelling en risico per object
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Beleid

Hieronder volgen voor het Beleidsdomein per object de doelstelling en het risico

;
Nr Generieke objecten Omschrijvingvan de gekozen elementen
TVZ_B.01 Toegangbeveiligingsbeleid Het resultaat van de besluitvorming, waarmee het voor de toegangsvoorziening verantwoordelijke (top)management van een organisatie heeft vastgelegd, op welke wijze, in welk tijdsbestek en met welke middelen haar doelstellingbereikt moeten worden en hoe met onzekere factoren moet worden omgegaan.
2TVZ_B.02 Eigenaarschap bedrijfsmiddelen Actoren aan wie bedrijfsmiddelen zijn toegewezen en die verantwoordelijk zijn gesteld voor classificatie, bescherming, positionering en betrouwbare, beveiligde inrichting hiervan. Coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen, muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in samenwerking met andere functionarissen (RACI).
TVZ_B.03 Beveiligingsfunctie(SoGP) Een specialistische functie om de beveiligingsdoelstellingen te bereiken enwaaraan een autoriteit en verantwoordelijkheden zijn gekoppeld voor het – in relatie tot de beveiliging - coördineren en (laten) verrichten vanwerkzaamheden.
TVZ_B.04 Cryptografie Een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..
TVZ_B.05 Toegangbeveiligingsorganisatie Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien voor het beveiligen van toegangsvoorzieningen om op doelmatige wijze overeengekomen toegangsbeveiliging doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van de geformuleerde beveiligingsdoelstellingen.
TVZ_B.06 Toegangbeveiligingsarchitectuur Raamwerken of blauwdrukken waarmee wordt aangegeven op welke wijze de toegangsvoorzieningen zijn ingericht, beveiligd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.. Het geeft onder andere aan hoegebruikers, vanuit welke locaties, toegang krijgen tot applicaties entechnische componenten.
Doelstelling en risico per object in het Beleiddomein

Uitvoering

Hieronder volgen voor het Uitvoeringsdomein per object de doelstelling en het risico

;
Nr Generieke objecten Omschrijving van de gekozen elementen
TVZ_U.01 Registratieprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheelvormen met betrekking tot het registreren van gebruikers.
TVZ_U.02 Toegangverleningsprocedure Een reeks van aan elkaar verbonden taken of activiteiten die een afgerond geheelvormen met betrekking tot het verlenen van toegang tot bedrijfsmiddelen.
TVZ_U.03 Inlogprocedure Een reeks van aan elkaar verbonden taken of activiteiten die een afgerond geheel vormen met betrekking tot het leggen van een verbinding - met een gebruikersnaam en een wachtwoord - tot een systeem, een netwerk of een afgeschermd deel van een website.
TVZ_U.04 Autorisatieproces Een reeks van aan elkaar verbonden taken of activiteiten die een afgerond geheelvormen met betrekking tot het toekennen van toegangsrechten (autorisaties).
TVZ_U.05 Wachtwoordbeheer Het onderhouden van cq. zorgen voor wachtwoorden. Wachtwoordbeheer is gerelateerd aan twee aspecten: proces en geheim. Het aspect proces (beheer) behelst het uitvoeren van met elkaar samenhangende activiteiten ten aanzien van het beheer van wachtwoorden. Het aspect geheim behelst een middel waarmee een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem zich toegang kan verschaffen tot een locatie, systemen en informatie.
TVZ_U.06 Speciale toegangsrechtenbeheer Het onderhouden van cq. zorgen voor speciale toegangsrechten. Speciale toegangsrechten beheer is gerelateerd aan twee aspecten: proces enspecifieke recht. Het aspect proces (beheer) behelst het uitvoeren van activiteiten op basis van vooraf vastgestelde stappen die logisch met elkaar samenhangen. Het aspect recht (speciale bevoegdheden) behelst het recht tot het uitvoerenvan specifieke handelingen.
TVZ_U.07 Functiescheiding Functiescheiding is een middel om taken en activiteiten binnen bepaalde grenzen te latenuitvoeren, zodat functionarissen, op basis van rechten/bevoegdheden, niet de gehele procescyclus kunnen beïnvloeden.
TVZ_U.08 Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie (Identificatie en Authenticatie) Identificatieis een middel waarmee een entiteit, aan de hand van een uniek kenmerk kanaangeven wie hij/zij is (zeggen wie je bent). Authenticatie is de controle of de entiteit die zich aanmeldt daadwerkelijkde entiteit is die deze beweert te zijn (het bewijzen wie je ben); dit kan door middel van bijvoorbeeld een wachtwoord. NB: Bewust is hier gekozen voor het begrip entiteit, omdat dit zowel kan gaan over personen als over apparatuur of softwaresystemen.
TVZ_U.09 Autorisatie Het verlenen van toestemming aan een geauthenticeerde gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem om toegang te krijgen tot een bepaalde dienst om een bepaalde actie uit te voeren
TVZ_U.10 Toegangvoorzieningsfaciliteiten De technische middelen waarmee ontwerpen passend in architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. kunnen worden vormgegeven en waarmee acties, zoals geautomatiseerde tools en/of ondersteunende systemen, effectief kunnen worden ingericht.
TVZ_U.11 Fysieke toegangsbeveiliging Fysiek gecontroleerde toegang van personen met behulp van zonering maatregelen.
Doelstelling en risico per object in het Uitvoeringsdomein

Control

Hieronder volgen voor het Controldomein per object de doelstelling en het risico

;
Nr Generieke objecten Omschrijving van de gekozen elementen
TVZ_C.01 Beoordelingsrichtlijnen en procedures Richtlijnengeven voorschriften en/of aanwijzingen voor het beoordelen van beheeractiviteiten. Procedures geven de handelingen aan, die volgens omschreven stappen moeten worden uitgevoerd.
TVZ_C.02 Beoordeling toegangsrechten Het onderhouden van cq. zorgen voor de toegangsrechten. Beoordeling toegangsrechten is gerelateerd aan twee aspecten: beoordelingsprocessen toegangsrechten. Het aspect beoordelingsproces behelst het uitvoeren van met elkaar samenhangende activiteiten ten aanzien van het evalueren van toegangsrechten op validiteit of deze nog voldoen aan de actuele situatie. Het aspect toegangsrechten impliceert een recht om toegang te krijgen, zoals tot een locatie of systeem.
TVZ_C.03 Gebeurtenissen registreren (logging en monitoring) Het onderhouden van cq. zorgen voor de registratie van gebeurtenissen. Gebeurtenissen registreren is gerelateerd aan twee aspecten: registratie(loggen) en bewaken (monitoren).Het aspect registratie heeft betrekking op handelingen van gebruikers en systemen die geregistreerd worden in een registratiesysteem voor analyse en controle doeleinden. Het aspect bewaken van het logische toegangsbeveiliging systeem heeft betrekking op ongeautoriseerde acties en het analyseren van de geregistreerde acties op onvolkomenheden.
TVZ_C.04 Beheersingsorganisatie toegangbeveiliging De organisatie die verantwoordelijk is voor het ondersteunen van het beheer ende doorontwikkeling van het afsprakenstelsel. De beheerorganisatie controleert of en bewaakt dat dienstverleners en deelnemers het afsprakenstelsel naleven.
Doelstelling en risico per object in het Controldomein