BIO Thema Toegangsbeveiliging - Inleiding
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Alle hoofdstukken bij BIO Thema-uitwerking Toegangsbeveiliging:
| ||||||||||
Deze BIO Thema-uitwerking representeert een referentiekader voor de BIO Thema-uitwerking Toegangsbeveiliging en is geënt op controls uit best practices zoals: Baseline Informatiebeveiliging Overheid (BIO), NEN-EN-ISO/IEC 27001:2017 (hierna genoemd ISO 27001) en NEN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002), the Standard of Good Practice (SoGP) 2018 en de National Institute of Standards and Technology (NIST).
Opzet BIO Thema-uitwerking
De BIO Thema-uitwerking Toegangsbeveiliging wordt uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze thema-uitwerking bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van met de (BUC-)lagenstructuur.
Deze thema-uitwerking volgt de standaard opzet voor BIO Thema-uitwerkingen:
- Scope en begrenzing van de thema-uitwerking (zie Scope en begrenzing van toegangsbeveiliging);
- Context en globale structuur van de thema-uitwerking (zie Context en globale structuur toegangsbeveiliging);
- Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie Globale relaties tussen de geïdentificeerde beveiligingsobjecten);
Scope en begrenzing toegangsbeveiliging
De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers voor systemen die op een bepaalde locatie staan.
De uitwerking van fysieke beveiliging is deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra).
Specifieke apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken zullen in andere thema-uitwerkingen worden behandeld.
De begrenzing van deze BIO Thema-uitwerking is in afbeelding 'Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten' weergegeven.
Context en globale structuur toegangsbeveiliging
Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat deze data misbruikt wordt, wat kan leiden tot bijvoorbeeld boetes, imagoschade, klantenverlies e.d. In dit kader speelt toegangsbeveiliging een cruciale rol. Toegangsbeveiliging omvat logische en fysieke toegangsbeveiliging, zoals in de afbeelding 'Globale opzet logische en fysieke beveiliging' hieronder wordt weergegeven.
Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele apparaten en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en systemen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot terreinen, gebouwen en ruimten.