BIO Thema Toegangsbeveiliging - Verbindingsdocument

Uit NORA Online
< BIO Thema ToegangsbeveiligingBIO Thema Toegangsbeveiliging/Verbindingsdocument
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

A1 Context van Toegangsbeveiliging

”Verbindingsniveau voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”
Figuur 1 Verbindingsniveau voor toegangsbeveiliging

Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen.

”Thema Toegangsbeveiliging - Processtappen van het toegangbeveiligingssysteem”
Figuur 2 Processtappen van het toegangbeveiligingssysteem

Na deze processtappen bezit de medewerker (gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.) krijgt de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang tot applicaties.

Aan het account, het identificatiebewijs van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld.

”Indeling van essentiële elementen in de drie domeinen van het logische toegangbeveiligingssysteem”
Figuur 3 Indeling van de essentiële elementen in de drie domeinen

Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen.

”Weergave van de essentiële elementen voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”
Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een 3-lagenstructuur

A2 Generieke toegangbeveiligingsobjecten

Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd.

”Overzicht van de geïdentificeerde objecten uit BIO/ISO”
Figuur 5 Overzicht van de geïdentificeerde objecten uit BIO en ISO

Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL.

A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen

Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud.

”Overzicht van de generieke objecten in relatie tot SIVA basiselementen”
Figuur 6 Overzicht van de generieke objecten in relatie tot SIVA basiselementen

De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven.

De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving.

A4 Cross reference naar praktijktoepassingen

Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.

”Toegangbeveiliging, cross-reference naar praktijktoepassingen van het logische toegangbeveiligingssysteem”
Figuur 7 Cross-reference naar praktijktoepassingen