BIO Thema Toegangsbeveiliging - Doelstelling en risico per object
Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Doelstelling en risico per object
| ||||||||||
Overzichten van de beveiligingsprincipes en daaraan gerelateerde doelstellingen, risico's en controls
uitleg doelstelling en risico
..
Alle Beveiligingsprincipes binnen het thema
Hieronder staan alle Beveiligingsprincipes binnen het BIO Thema Toegangbeveiliging in een tabel, met daarbij de doelstelling en het risico. Je kunt deze tabel ook downloaden als csv. De tabel is gesorteerd op het ID van de principes, je kunt dit wijzigen met de kleine driehoekjes boven de kolommen.
| ID | Doelstelling | Risico | |
|---|---|---|---|
| LTV_B.01 | Toegangbeveiliging(voorzienings)beleid | Beheersen van de toegang tot informatie. | Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven. |
| LTV_B.02 | Eigenaarschap van bedrijfsmiddelen | Bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. | Noodzakelijke beveiligingsacties blijven achterwege. |
| LTV_B.03 | Beveiligingsfunctie toegangbeveiliging | Om ervoor te zorgen dat de toegangbeveiliging effectief wordt ingericht. | Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten mbt toegangbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd, of dat afwijkingen niet leiden tot corrigerende acties. |
| LTV_B.04 | Cryptografie bij authenticatie | Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen , authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatiegeheimen te beschermen. |
Als door ontoereikend cryptgrafiebeleid authenticatiegeheimen ontrafeld kunnen worden, dan is de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van data niet data niet te garanderen. |
| LTV_B.05 | Beveiligingsorganisatie | Invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie. |
Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering. |
| LTV_B.06 | Toegangbeveiliging(voorzienings)architectuur | Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting- en beheer van het toegangsvoorzieningsdomein. | Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen-inrichting en –beheerdomein. |
| LTV_C.01 | Toegangsbeveiliging beoordelingsprocedure | Het bieden van ondersteuning bij het uitvoeren van formele controleactiviteiten. | Onvoldoende mogelijkheden om vast te stellen of de controleactiviteiten gestructureerd plaatsvinden. |
| LTV_C.02 | Beoordeling toegangsrechten | Het vaststellen of:
|
Het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren. |
| LTV_C.03 | Gebeurtenissen registreren | Het maakt mogelijk:
|
Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd. |
| LTV_C.04 | Toegangsbeveiliging beheers(ings)organisatie | Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. | De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiligingssysteem niet optimaal functioneert. |
| LTV_U.01 | Registratieprocedure “Registratie van gebruikers” | Bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen. | Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden. |
| LTV_U.02 | Toegangsverlening procedure | Zorgdragen voor een formele bevestiging van gebruikersbevoegdheden | Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten. |
| LTV_U.03 | Inlogprocedures | Voorkomen dat ongeautoriseerden toegang krijgen tot bedrijfsinformatie en informatiesystemen. | Misbruik en verlies van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en beïnvloeding van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van informatiesystemen te voorkomen. |
| LTV_U.04 | Autorisatieproces | Hiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. | De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties. |
| LTV_U.05 | Wachtwoorden beheer | Bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen. | Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken. |
| LTV_U.06 | Speciale toegangsrechten beheer | Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten. | Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken. |
| LTV_U.07 | Functiescheiding | Om ervoor te zorgen dat:
|
Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. |
| LTV_U.08 | Geheime authenticatie-informatie (IA) | Bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem. |
Er kan misbruik van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd door onbevoegden worden gemaakt. |
| LTV_U.09 | Autorisatie | Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen. | Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. worden aangebracht. |
| LTV_U.10 | Autorisatievoorzieningsfaciliteiten | De inzet van autorisatievoorzieningsmiddelen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties, draagt bij aan de effectiviteit van het autorisatiebeheer en vermindert de kans op fouten. | Door het ontbreken van autorisatievoorzieningsmiddelen is het mogelijk dat vervuiling optreedt bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. |
| LTV_U.11 | Fysieke toegangbeveiliging | Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt. | Onbevoegden kunnen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweegbrengen. |
