BIO Thema Toegangsbeveiliging - Doelstelling en risico per object

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Doelstelling en risico per object
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij BIO Thema Toegangbeveiliging:


Overzichten van de beveiligingsprincipes en daaraan gerelateerde doelstellingen, risico's en controls

uitleg doelstelling en risico

..

Alle Beveiligingsprincipes binnen het thema

Hieronder staan alle Beveiligingsprincipes binnen het BIO Thema Toegangbeveiliging in een tabel, met daarbij de doelstelling en het risico. Je kunt deze tabel ook downloaden als csv. De tabel is gesorteerd op het ID van de principes, je kunt dit wijzigen met de kleine driehoekjes boven de kolommen.

ID   Doelstelling Risico
LTV_B.01 Toegangbeveiliging(voorzienings)beleid Beheersen van de toegang tot informatie. Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven.
LTV_B.02 Eigenaarschap van bedrijfsmiddelen Bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. Noodzakelijke beveiligingsacties blijven achterwege.
LTV_B.03 Beveiligingsfunctie toegangbeveiliging Om ervoor te zorgen dat de toegangbeveiliging effectief wordt ingericht. Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten mbt toegangbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd, of dat afwijkingen niet leiden tot corrigerende acties.
LTV_B.04 Cryptografie bij authenticatie Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatiegeheimen te beschermen. Als door ontoereikend cryptgrafiebeleid authenticatiegeheimen ontrafeld kunnen worden, dan is de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van data niet data niet te garanderen.
LTV_B.05 Beveiligingsorganisatie Invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie. Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.
LTV_B.06 Toegangbeveiliging(voorzienings)architectuur Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting- en beheer van het toegangsvoorzieningsdomein. Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen-inrichting en –beheerdomein.
LTV_C.01 Toegangsbeveiliging beoordelingsprocedure Het bieden van ondersteuning bij het uitvoeren van formele controleactiviteiten. Onvoldoende mogelijkheden om vast te stellen of de controleactiviteiten gestructureerd plaatsvinden.
LTV_C.02 Beoordeling toegangsrechten Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • De koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.
Het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.
LTV_C.03 Gebeurtenissen registreren Het maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd.
LTV_C.04 Toegangsbeveiliging beheers(ings)organisatie Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiligingssysteem niet optimaal functioneert.
LTV_U.01 Registratieprocedure “Registratie van gebruikers” Bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen. Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden.
LTV_U.02 Toegangsverlening procedure Zorgdragen voor een formele bevestiging van gebruikersbevoegdheden Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten.
LTV_U.03 Inlogprocedures Voorkomen dat ongeautoriseerden toegang krijgen tot bedrijfsinformatie en informatiesystemen. Misbruik en verlies van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en beïnvloeding van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van informatiesystemen te voorkomen.
LTV_U.04 Autorisatieproces Hiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties.
LTV_U.05 Wachtwoorden beheer Bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen. Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken.
LTV_U.06 Speciale toegangsrechten beheer Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten. Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken.
LTV_U.07 Functiescheiding Om ervoor te zorgen dat:
  • gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie te verminderen;
  • niemand een gehele procescyclus kan beïnvloeden.
Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.
LTV_U.08 Geheime authenticatie-informatie (IA) Bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem. Er kan misbruik van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd door onbevoegden worden gemaakt.
LTV_U.09 Autorisatie Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen. Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. worden aangebracht.
LTV_U.10 Autorisatievoorzieningsfaciliteiten De inzet van autorisatievoorzieningsmiddelen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties, draagt bij aan de effectiviteit van het autorisatiebeheer en vermindert de kans op fouten. Door het ontbreken van autorisatievoorzieningsmiddelen is het mogelijk dat vervuiling optreedt bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd.
LTV_U.11 Fysieke toegangbeveiliging Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt. Onbevoegden kunnen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweegbrengen.
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen