BIO Thema Toegangsbeveiliging - Inleiding

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Inleiding
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Alle hoofdstukken bij BIO Thema Toegangsbeveiliging:

Dit document representeert een referentiekader voor het thema toegangsbeveiliging en is geënt op controls uit best practices, zoals: SoGP, NIST en Cobit en de BIO (Baseline Informatiebeveiliging Overheid). De uitwerking is gebaseerd op de BIO en ISO 270xx (2013). We hanteren in het vervolg een meer algemene term ‘toegangsbeveiliging’.

Opzet van het thema

Het thema Toegangsbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van de (BUC) lagenstructuur.

Dit thema volgt de standaard opzet voor BIO-thema’s:

  1. Scope en begrenzing (§1.2);
  2. Context en globale structuur van het thema;
  3. Globale relaties tussen de geïdentificeerd beveiligingsobjecten;
  4. Presentatie van de vastgestelde toegangbeveiligingsobjecten in BUC-domeinen;
  5. Objecten in BUC-domeinen gerelateerd aan basiselementen.

Scope en begrenzing van toegangsbeveiliging

De uitwerking van logische toegangsbeveiliging is in dit thema gericht op identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van (vaste) medewerkers voor systemen die op een bepaalde locatie staan. De uitwerking van fysieke beveiliging is in dit thema gericht op de fysieke toegang tot terreinen, gebouwen en rekencentra.

Specifieke, apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, -netwerken, -mobiele computers, en telewerken zullen in andere thema’s worden behandeld.

Context van Toegangsbeveiliging

Om bedrijfsprocessen en medewerkers te ondersteunen maken organisaties gebruik van informatiesystemen, die op hun beurt cruciale gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de organisatie zelf en van haar klanten gebruiken. Het is van belang dat toegang tot deze informatiesystemen wordt beveiligd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak., anders loopt de organisatie het risico dat haar data gestolen of misbruikt wordt. Toegangsbeveiliging omvat logische- en fysieke toegangsbeveiliging, zoals het in figuur 1 wordt weergegeven.

Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten, die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en systemen, die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten en terreinen. NB: de behandeling van de fysieke toegangsbeveiliging behoeft (d.d. februari 2020) nog nadere aanvulling/uitwerking.

”Globale opzet logische en fysieke beveiliging”
Globale opzet logische en fysieke beveiliging