BIO Thema Toegangsbeveiliging - Verbindingsdocument

ID: TVZ_VERB Hoofdstuk normenkader Status: PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified): 21-10-2019 Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.: 27-3-2019 Alle hoofdstukken bij BIO Thema Toegangsbeveiliging: BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten BIO Thema Toegangsbeveiliging - Doelstelling en risico per object BIO Thema Toegangsbeveiliging - Inleiding BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen BIO Thema Toegangsbeveiliging - Toelichting SIVA basiselementen m.b.v. het MCS BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging BIO Thema Toegangsbeveiliging - Verbindingsdocument

A1 Context van Toegangsbeveiliging

Figuur 1 Verbindingsniveau voor toegangsbeveiliging

Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevens van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen.

Figuur 2 Processtappen van het toegangbeveiligingssysteem

Na deze processtappen bezit de medewerker (gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevens wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie) krijgt de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang tot applicaties.

Aan het account, het identificatiebewijs van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld.

Figuur 3 Indeling van de essentiële elementen in de drie domeinen

Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen.

Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een 3-lagenstructuur

A2 Generieke toegangbeveiligingsobjecten

Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd.

Figuur 5 Overzicht van de geïdentificeerde objecten uit BIO en ISO

Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL.

A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen

Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud.

Figuur 6 Overzicht van de generieke objecten in relatie tot SIVA basiselementen

De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven.

De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving.

A4 Cross reference naar praktijktoepassingen

Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.

Figuur 7 Cross-reference naar praktijktoepassingen