BIO Thema Toegangsbeveiliging/alle principes alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

grafisch overzicht relaties

  ID Elementtype Heeft ouder Realiseert Heeft bron WijzigingsdatumDit is een speciale eigenschap in de wiki. Beschrijving Toelichting Criterium Doelstelling Risico Beveiligingsaspect Invalshoek Grondslag Is een uitwerking van specifiek onderdeel Stelling Conformiteitsindicator
Toegangbeveiliging(voorzienings)architectuur LTV_B.06 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:47 De toegangbeveiligingsarchitectuur is een blauwdruk waarmee wordt aangegeven op welke wijze gebruikers toegang krijgen tot applicaties en overige ICT-componenten. Een datamodel op het entiteiten niveau maakt hier onderdeel van uit. Hierbij zijn rollen van gebruikers en beheerders op basis van een bepaald structuur, zoals RBAC of ABAC, etc modellen beschreven.

Met betrekking tot het ontwerp van de toegang tot applicaties wordt hieronder aandacht besteed aan een aantal onderwerpen waarmee bij het ontwerp van de toegangbeveiligingsarchitectuur rekening moet worden gehouden, zoals:

  • ontwerp van identiteit- en toegangsbeheer;
  • inrichting toegangsbeheer;
  • eisen en behoeften ten aanzien van gebruikersidentificatie en -authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.;
  • gebruik van uniforme authenticatiemechanismen;
  • gebruik van platformaccounts met beperkte rechten;
  • audit van uitgedeelde autorisaties.
De formuleringen van een hoofdnorm ten aanzien ‘toegangbeveiligingsarchitectuur’ en de bijbehordende subnormen zijn afgeleid uit andere baselines en beveiligingsrichtlijn zoals Standard of Good practice (ISF) en NCSC richtlijnen voor webapplicaties.
De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd. Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting- en beheer van het toegangsvoorzieningsdomein. Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen-inrichting en –beheerdomein. Beleid Structuur * Additioneel technische inrichting, toegangbeveiligingsarchitectuur
Wachtwoorden beheer LTV_U.05 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:08 Wachtwoorden zijn middelen voor het authentiseren van gebruikers/beheerders. De onderstaande normen zijn gericht op het authentiseren van personen (gebruikers/beheerders). Voor het authentiseren van systemen die andere systemen/bedrijfsobjecten benaderen e/d) zijn soms stringentere eisen noodzakelijk. Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen. Bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen. Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken. Uitvoering Functie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.4.3
  • NEN-ISO/IEC 27002: 9.4.3.
wachtwoorden
Functiescheiding LTV_U.07 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:08 In het autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen proces gaat het om zowel taken van verschillende type eindgebruikers en beheerders. Het toegangsbeleid dient regels en voorschriften te geven voor de organisatorische en technische inrichting van de toegang tot ICT-voorzieningen, bijvoorbeeld applicatie (gebruikers) en ICT-componenten (beheerders). Het Toegangvoorzieningsbeleid beschrijft onder andere de manier waarop de organisatie omgaat met identiteits- en toegangsbeheer. Er worden de nodige eisen gesteld aan functiescheiding, om een effectief en consistent gebruikersbeheer, identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en toegangscontrole mechanismen voor heel de organisatie te waarborgen. Hieronder worden daarvoor de nodige Controls en de indicatoren vermeld. Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Om ervoor te zorgen dat:
  • gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie te verminderen;
  • niemand een gehele procescyclus kan beïnvloeden.
Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. Uitvoering Functie * BIR (Baseline Informatiebeveiliging Rijksdienst): 6.1.2
  • NEN-ISO/IEC 27002: 6.1.2
gescheiden,

taken, verantwoordelijkheden,

onbedoeld
Speciale toegangsrechten beheer LTV_U.06 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:40 Beheerders hebben voor bepaalde activiteiten speciale systeem bevoegdheden nodig om hun beheer activiteiten uit te voeren. De activiteiten die met zulke bevoegdheden kunnen worden uitgevoerd, kunnen diep ingrijpen in het systeem. Daarom moet hier voorzichtig mee om worden gegaan en zijn hiervoor procedurele maatregelen noodzakelijk. Het toewijzen en gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.. Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten. Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken. Uitvoering Functie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.3
  • NEN-ISO/IEC 27002: 9.2.3
toewijzen,

toegangsrechten,

beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.
Fysieke toegangbeveiliging LTV_U.11 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:10 Fysieke beveiliging kan worden bereikt door het opwerpen van allerlei fysieke barrières rond het bedrijfsterrein en de IT-voorzieningen. Elke barrière creëert zo een beveiligde zone, die de totale beveiliging versterkt. Binnen de Huisvesting-IV organisatie dienen beveiligingsniveaus te worden gebruikt om gebieden die IT-voorzieningen bevatten te beschermen. Een beveiligde zone is een gebied binnen een barrière, bijvoorbeeld een muur, een hek dat alleen met een toegangspas geopend kan worden of via een bemande receptiebalie. De locatie en de sterkte van de barrières worden o.a. bepaald door de resultaten van de risicoanalyse. Beveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt. Onbevoegden kunnen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweegbrengen. Uitvoering Functie * BIR (Baseline Informatiebeveiliging Rijksdienst): 11.1.2
  • NEN-ISO/IEC 27002: 11.1.2
beveiligde gebieden,

passende toegangbeveiliging,

bevoegd personeel
Autorisatievoorzieningsfaciliteiten LTV_U.10 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:31 Om autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen efficiënt en effectief te kunnen inrichten zijn er technische autorisatievoorzieningsmiddelen noodzakelijk, personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten. Er moeten technische autorisatievoorzieningsmiddelen (AVM) zijn ter ondersteuning van autorisatiebeheer beschikbaar, een personeelsregistratiesysteem (PS), een autorisatiebeheersysteem (AB), autorisatiefaciliteiten (AF) binnen daartoe in aanmerking komende applicaties. De inzet van autorisatievoorzieningsmiddelen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties, draagt bij aan de effectiviteit van het autorisatiebeheer en vermindert de kans op fouten. Door het ontbreken van autorisatievoorzieningsmiddelen is het mogelijk dat vervuiling optreedt bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Uitvoering Gedrag * Additioneel autorisatievoorzieningsmiddelen,

personeelsregistratiesysteem, autorisatiebeheersysteem,

autorisatiefaciliteiten
Gebeurtenissen registreren LTV_C.03 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:11 Naast het feit dat organisatorische elementen ten aanzien toegangsrechten (rollen) periodiek dient te worden gecontroleerd dienen ook de activiteiten van gebruikers periodiek te worden geanalyseerd. Hiertoe dient gebruik te worden gemaakt van registraties van gebruikersactiviteiten (logging). Er dient tevens regelmatig te worden bewaakt of er onregelmatigheden in de registraties voordoen (monitoring). Tevens dient periodiek getoetst te worden: of de actuele autorisaties nog overeenkomen met de werkelijke situaties. Verder moet het volgende worden beoordeeld:
  • logging van wijzigingen op autorisaties;
  • afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).
'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld. Het maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd. Control Gedrag * BIR (Baseline Informatiebeveiliging Rijksdienst): 12.4.1
  • NEN-ISO/IEC 27002: 12.4.1
log-bestanden,

gebruikersactiviteiten, beoordelen,

bewaard
Toegangbeveiliging(voorzienings)beleid LTV_B.01 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:48 Het toegangbeveiligingsbeleid maakt deel uit van het informatiebeveiligingsbeleid en geeft regels en voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten waar ICT middelen zich bevinden en toegang tot informatie en informatieverwerkende faciliteiten zelf, bijvoorbeeld toegang tot applicaties voor gebruikers en toegang tot ICT-componenten voor beheerders. Het toegangbeveiligingsbeleid beschrijft onder andere de manier waarop de klant-organisatie omgaat met identiteits- en toegangsbeheer. Opgemerkt wordt dat de control ‘toegangbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangbeveiligingsbeleid, maar dat het beleid een redelijke richting geeft voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein. Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen. Beheersen van de toegang tot informatie. Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven. Beleid Intentie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.1.1
  • NEN-ISO/IEC 27002: 9.1.1
toegangbeveiligingbeleid,

bedrijfseisen,

informatiebeveiligingseisen
Registratieprocedure “Registratie van gebruikers” LTV_U.01 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:35 De oorspronkelijke titel in ISO en BIO is “Registratie en afmelden van gebruikers”. Het onderwerp “Registratie en afmelden van gebruikers” duidt op het daadwerkelijk registreren en afmelden van gebruikers. De inhoud van de norm legt feitelijk de nadruk op “Procedures” die bij het registreren en afmelden noodzakelijk zijn. Vandaar dat nu gekozen is voor de titel: ‘Registratieprocedures’ waarmee een gecontroleerde toegang voor bevoegde gebruikers worden geboden vanaf het moment van intake, registratie tot en met de beëindiging. Ze beschrijven dus de gehele levenscyclus van de gebruikerstoegang. Een onderdeel van de procedures is dat er gebruikers geregistreerd moeten worden.

Het registreren van gebruikers geldt zowel bij logische als bij fysieke beveiliging. De noodzakelijke fysieke beveiliging procedure is gericht op zowel interne als externe medewerkers.

Bij uitbestede diensten geldt dat de provider zowel de logische als de fysieke beveiligingsmaatregelen treft voor de beveiliging van de ICT dienstverlening aan de klant.
Een formele registratie- en afmeldingsprocedure moet te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen. Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden. Uitvoering Intentie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.1
  • NEN-ISO/IEC 27002: 9.2.1
formele procedures, toegangsrechten
Autorisatieproces LTV_U.04 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:28 De ISO en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze sub-processen worden verdere in bijlage 3 beschreven. Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten. Hiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties. Uitvoering Functie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.6
  • NEN-ISO/IEC 27002: 9.2.6
formeel autorisatieproces, toegangsrechten
Geheime authenticatie-informatie (IA) LTV_U.08 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:15 Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten, wordt gereguleerd door het toegangsmechanisme: gebruikersidentificatie (bijv. useraccount) en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (bijv. password).

Dit mechanisme moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen, ontvangen gebruikers authenticatieinformatie.

De gebruikers behoren hier vertrouwelijk mee om te gaan.
Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces. Bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem. Er kan misbruik van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd door onbevoegden worden gemaakt. Uitvoering Gedrag * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.4
  • NEN-ISO/IEC 27002: 9.2.4
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie, bedrijfseisen
Beveiligingsfunctie toegangbeveiliging LTV_B.03 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:43 De organisatie beschikt over veel middelen en informatie die beveiligd moeten worden. Hiervoor moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van toegangbeveiliging binnen de gehele organisatie, waaronder het toegangbeveiligingssysteem. Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie. Om ervoor te zorgen dat de toegangbeveiliging effectief wordt ingericht. Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten mbt toegangbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd, of dat afwijkingen niet leiden tot corrigerende acties. Beleid Functie * SoGP (Standard of Good Practice): SM 2.1 beveiligingsfunctie
Eigenaarschap van bedrijfsmiddelen LTV_B.02 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:00 Om de toegang tot bedrijfsmiddelen, zoals toegangbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan haar toegekende verantwoordelijkheid het toegangbeveiligingssysteem, conform de hieraan gestelde eisen, kan inrichten. Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd. Bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. Noodzakelijke beveiligingsacties blijven achterwege. Beleid Intentie * BIR (Baseline Informatiebeveiliging Rijksdienst): 8.1.2
  • NEN-ISO/IEC 27002: 8.1.2
  • SoGP (Standard of Good Practice)
eigenaarschap,

verantwoordelijkheden logisch middelen,

verantwoordelijkheden fysieke middelen
Inlogprocedures LTV_U.03 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:22 De inlogprocedure omvat het technisch proces waarbij het toegangsbeheersysteem checkt of aan de vereiste inlogeisen wordt voldaan. Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure. Voorkomen dat ongeautoriseerden toegang krijgen tot bedrijfsinformatie en informatiesystemen. Misbruik en verlies van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en beïnvloeding van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van informatiesystemen te voorkomen. Uitvoering Intentie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.4.2
  • NEN-ISO/IEC 27002: 9.4.2
Inlogprocedure
Beoordeling toegangsrechten LTV_C.02 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:40 Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm:
  • Het voeren van controle activiteiten op de registratie van toegangsrechten;
  • het uitbrengen van rapportages aan het management.
Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen. Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • De koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.
Het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren. Control Functie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.5
  • NEN-ISO/IEC 27002: 9.2.5
toegangsrechten, beoordelen
Beveiligingsorganisatie LTV_B.05 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:45 De Beveiligingsorganisatie ziet toe op de naleving van het informatiebeveiligingsbeleid. Waar nodig grijpt de Beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen een Beveiligingsorganisatie hierin heeft wordt vooraf expliciet benoemd en vastgesteld. Tevens moet vaststaan hoe de rapporteringslijnen zijn uitgestippeld. De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld. Invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie. Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering. Beleid Structuur * Additioneel organisatorische positie,

taken verantwoordelijkheden en bevoegdheden,

rapportagelijnen
Toegangsbeveiliging beheers(ings)organisatie LTV_C.04 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:51 Voor het adequaat beheersen en beheren van het toegangbeveiliging systeem zou een beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd. De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiligingssysteem niet optimaal functioneert. Control Structuur * Additioneel processtructuur,

functionarissen,

taken verantwoordelijkheden en bevoegdheden
Toegangsverlening procedure LTV_U.02 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:55 De Toegangsverlening procedure omvat een procedure op basis waarvan toegangsrechten voor alle gebruikers, voor fysieke en logische toegang tot alle systemen en diensten worden toegewezen en of ingetrokken. Een formele gebruikers toegangsverleningsprocedure (GTV) moet te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Zorgdragen voor een formele bevestiging van gebruikersbevoegdheden Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten. Uitvoering Intentie * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.2
  • NEN-ISO/IEC 27002: 9.2.2
gebruikers toegangsverleningsprocedure
Toegangsbeveiliging beoordelingsprocedure LTV_C.01 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:52 De inrichting van de toegangbeveiliging moet beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. worden. Hiertoe dient periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en instructies. Anders bestaat het risico dat deze resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheersingsorganisatie structuur geeft de samenhang van de ingerichte processen weer. Een hoofdnorm en de bijbehorende subnormen worden hieronder vermeld. Er moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren. Het bieden van ondersteuning bij het uitvoeren van formele controleactiviteiten. Onvoldoende mogelijkheden om vast te stellen of de controleactiviteiten gestructureerd plaatsvinden. Control Intentie * Additioneel procedures
Autorisatie LTV_U.09 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:27 Voor de betiteling ‘Beperking toegang tot informatie’ is gekozen om het object “Autorisatie’ te gebruiken omdat het beter aansluit op een van toegangsmechanismen, identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen. Na het identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatieproces krijgen gebruikers/beheerders verdere specifieke toegang tot informatiesystemen voor gebruik of voor beheerdoeleinden. De toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit de het toegangsbeleid. 'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging. Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen. Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. worden aangebracht. Uitvoering Gedrag * BIR (Baseline Informatiebeveiliging Rijksdienst): 9.4.1
  • NEN-ISO/IEC 27002: 9.4.1
toegang,

informatie, systeemfuncties,

toegangsbeleid
Cryptografie bij authenticatie LTV_B.04 Beveiligingsprincipe BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:49 Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenciteit, onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Voor toegangbeveiliging is het van cruciaal belang dat authenticatiegeheimen zoals wachtwoorden en PIN-codes worden beschermd tijdens de verwerking, het transport en de opslag.

Een solide encryptiebeleid is daarbij een randvoorwaarde om aan authenticatiegeheimen het gewenste vertrouwen te ontlenen.

Met dit beleid de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v. versleuteling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd.
Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatiegeheimen te beschermen. Als door ontoereikend cryptgrafiebeleid authenticatiegeheimen ontrafeld kunnen worden, dan is de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van data niet data niet te garanderen. Beleid Gedrag * BIR (Baseline Informatiebeveiliging Rijksdienst): 10.1.1
  • NEN-ISO/IEC 27002: 10.1.1
  • SoGP (Standard of Good Practice)
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie, cryptografische beheersmaatregelen
BIO Thema Toegangsbeveiliging - Doelstelling en risico per object LTV_BIJL2 Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:14 Overzichten van de beveiligingsprincipes en daaraan gerelateerde doelstellingen, risico's en controls
BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging LTV_BIJL3 Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:16 Voor de inrichting en evaluatie van voorzieningen voor toegangbeveiliging, dient de fasering van onderdtaande figuur te worden gebruikt. Dit geldt zowel interne als externe medewerkers:
  • Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten regelen;
  • Tijdens dienstverband (Doorstroom): in deze fase worden werknemers via trainingen en opleidingen bewust gemaakt over het omgaan van bedrijfsmiddelen (o.a. bedrijfsgegevens) en hoe om te gaan met aspecten aangaande informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. Dit is afhankelijk van de functie van de werknemer;
  • Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren.
”De relaties tussen de drie fases van toegangbeveiliging”

Inhoud

Indiensttreding nieuwe medewerkers

Met de verstrekking van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas (bijvoorbeeld een Rijkspas waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke toegangbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot de logische ruimtes; oftewel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, (zoals de KA of de front office omgeving) en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling.

  1. Personeelsafdeling - De personeelsafdeling (ofwel Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand;
  2. Facilitair Bedrijf - zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een toegangspas aan (Rijkspas = identificatiemiddel);
  3. Gegevens/proceseigenaar- zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties);
  4. ICT afdeling - zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties alsmede het authenticatiemiddel (Rijkspas).

Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: Het bieden van geautoriseerde toegang. Er zijn daarvoor meerdere gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de medewerker en acties van de organisatie voor nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid.Onderstaande geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker.

”Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker”

Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de medewerker geidentificeerd. De medewerker (gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een toegangspas, en een logisch toegangsbewijs in de vorm van een account voor toegang tot IV-faciliteiten. Na inloggen met behulp van de inloggegegevens (account of tewel identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.) krijgt de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen). Bij uitstroom is er sprake van blokkering van deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. De persoonlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.. Onderstaande figuur geeft hiervan een overzicht.

”Het autorisatieproces”

Tijdens het dienstverband

Tijdens het dienstverband heeft de medewerker (gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem) toegang tot de informatiesystemen op basis van de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd, de toegangsrechten worden aangepast, geblokkeerd of verwijderd.

Uitdiensttreding

Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.
BIO Thema Toegangsbeveiliging - Verbindingsdocument LTV_VERB Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:22 ==A1 Context van Toegangsbeveiliging==
”Verbindingsniveau voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”

Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen.

”Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem”

Na deze processtappen bezit de medewerker (gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.) krijgt de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang tot applicaties.

Aan het account, het identificatiebewijs van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld.

”Indeling van de essentiële elementen in de drie domeinen van het logische toegangbeveiligingssysteem”

Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen.

”Weergave van de essentiële elementen voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”

A2 Generieke toegangsbeveiligingsobjecten

Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd.

Overzicht van de geïdentificeerde objecten uit BIO/ISO
BIO/ISO Nr. Generieke objecten
1. 9.1.1. Toegangsbeveiligingsbeleid
2. 8.1.2. Eigenaarschap bedrijfsmiddelen
3. 6.1.2. Beveiligingsfunctie
4. 10.1.1. Cryptografie
5. SA Beveiligingsorganisatie
6. SA Toegangsbeveiligingsarchitectuur
7. 9.2.1. Registratieprocedure
8. 9.2.2. Toegangsverleningsprocedure
9. 9.4.2. Inlogprocedure
10. 9.2.6. Autorisatieproces
11. 9.4.3. Wachtwoord beheer
12. 9.2.3. Speciale toegangsrechten beheer
13. 12.1.4. Functiescheiding
14. 9.2.4. Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie (Identificatie & Authenticatie)
15. 9.4.1. Autorisatie
16. SA Toegangsvoorzieningsfaciliteiten
17. 11.1.2. Fysieke toegangsbeveiliging
18. SA Beoordelingsrichtlijnen en procedures
19. 9.2.5. Beoordeling toegangsrechten
20. 12.4.1. Gebeurtenissen registreren (Logging en Monitoring)
21. SA Beheersingsorganisatie toegangsbeveiliging
Legenda
Beleid
Uitvoering
Control

Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL.

A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen

Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud.

”Overzicht van de generieke objecten in relatie tot SIVA basiselementen”

De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven.

De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving.

A4 Cross reference naar praktijktoepassingen

Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.

cross-reference naar praktijktoepassingen van het logische toegangbeveiligingssysteem
Nr. BronBIO/ISO Domein Generieke objecten Best PracticesNORA, NIST, SoGP
1. 9.1.1. B Toegangsbeveiligingsbeleid NIST, SoGP
2. 8.1.2. B Eigenaarschap bedrijfsmiddelen NIST, IBD, SoGP
3. 6.1.2. B Beveiligingsfunctie SoGP, Cobit
4. 10.1.1. B Cryptografie NORANederlandse Overheid ReferentieArchitectuur, Themapatroon Encryptie
5. SA B Beveiligingsorganisatie Aanvulling
6. SA B Toegangsbeveiligingsarchitectuur NORANederlandse Overheid ReferentieArchitectuur, katern beveiliging in samenhang
7. 9.2.1. U Registratieprocedure NORANederlandse Overheid ReferentieArchitectuur, Themapatroon IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.
8. 9.2.2. U Toegangsverleningsprocedure ISO
9. 9.4.2. U Inlogprocedure NORANederlandse Overheid ReferentieArchitectuur, Patroon Access Management (AM
10. 9.2.6. U Autorisatieproces NORANederlandse Overheid ReferentieArchitectuur, Patroon IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. en AM
11. 9.4.3. U Wachtwoord beheer SoGP, ISO, NIST
12. 9.2.3. U Speciale toegangsrechten beheer SoGP, ISO, NIST
13. 12.1.4. U Functiescheiding SoGP, ISO, NIST
14. 9.2.4. U Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie (Id. & Auth.) NORANederlandse Overheid ReferentieArchitectuur, Patroon Identity Management (IM)
15. 9.4.1. U Autorisatie NORANederlandse Overheid ReferentieArchitectuur, Patroon IM en AM
16. SA U Toegangsvoorzieningsfaciliteiten NORANederlandse Overheid ReferentieArchitectuur, Patroon Access Management
17 . 11.1.2. U Fysieke toegangsbeveiliging ISO
18. SA C Beoordelingsrichtlijnen en procedures Aanvulling
19. 9.2.5. C Beoordeling toegangsrechten NORANederlandse Overheid ReferentieArchitectuur, Patron Access Management
20. 12.4.1. C Gebeurtenissen registreren (Logging en Monitoring) NORANederlandse Overheid ReferentieArchitectuur, Patroon SIEM en Logging
21. SA C Beheersingsorganisatie toegangsbeveiliging Aanvulling
BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten LTV_BIJL4 Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:13
Tabel 3: Aandachtspunten ten aanzien van objecten
Objecten Baseline Opmerking/Thema
Gedeelde Autorisatie NIST Opm: Niet geadresseerd in TB
Sessie NIST Opm: Niet geadresseerd in TB
Labelen NIST, ISO Opm: Niet geadresseerd in TB
Speciale systeemhulpmiddelen ISO Opm: Niet geadresseerd in TB
Toegangsbeveiliging op (programma-) broncode ISO Opm: Niet geadresseerd in TB
Draadloze Toegangsverbinding NIST, ISO Thema: Werkplek
Remote Access NIST, ISO Thema: Werkplek
Externe connectie NIST, ISO Thema: Werkplek
Toegang Mobiele Apparatuur NIST, ISO Thema: Werkplek
Overige
Verantwoordelijkheden gebruikers ISO 9.3. Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet!
Inlogprocedures U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren?
Verantwoordelijkheden gebruikers ISO 9.3 Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet!
Wachtwoordenbeheer U.05 Missen daar niet de rest van de ISO 9.4.3.-indicatoren?
Verwijzingen naar practices opnemen
BIO Thema Toegangsbeveiliging - Inleiding LTV_INL Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:17 In dit document wordt het thema toegangbeveiliging uitgewerkt. Hierbij heeft de werkgroep BZK het document ‘Logische toegangbeveiliging’ dat door ADR en UWV/CIP in een samenwerkingsverband was opgesteld als uitgangspunt gehanteerd. Het betrof een pilot om het theoretisch SIVA-raamwerk in praktijk te brengen alsmede het opleveren van een vaktechnisch verantwoord normenkader voor het BIR-thema ‘Logische toegangbeveiliging’. De resultaten van de pilot zijn destijds bij de opdrachtgevers van ADR, de vaktechnische commissie van ADR, het BIR coördinatoren overleg van BZK en op een PiVB/Norea seminar gepresenteerd.

Toegangbeveiliging

Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organistatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak., anders loopt de organisatie het risico dat haar data misbruikt wordt, wat kan leiden tot boetes, imago schade en klantenverlies. toegangbeveiliging omvat logsiche- en fysieke toegangbeveiliging.

Logische toegangbeveiliging is het geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen van een organisatie. De uitwerking van dit thema is gericht op identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van personen voor systemen die op een bepaalde locatie staan met vaste medewerkers.

Fysieke toegangbeveiliging is het geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten van het rekencentrum.


Dit document geeft inzicht in een thematische opzet van een referentiekader van het thema Logische toegangbeveiliging. De uitwerking vindt plaats vanuit het BIO en ISO 27000 (2013). We hanteren in het vervolg een algemener term ‘toegangbeveiliging’.

Scope en Begrenzing

In het algemeen is toegangbeveiliging gerelateerd aan toegang tot: terreinen, gebouwen en ruimtes, gebruikers, informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken. In dit document ligt de focus op toegangsbeveiling met betrekking tot terreinen, gebouwen en ruimtes (fysieke toegang), eindgebruikers en informatiesystemen (logische toegang). De overige toegangbeveiligingsonderdelen (toegang tot besturingssytemen, -netwerken, -mobiele computers, en telewerken) zullen separaat worden behandeld.

Opzet thema toegangbeveiliging

Het thema toegangbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Objecten en Structuur. De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld (Zie hoofdstuk 7, 8 en 9). De vaststelling en omschrijvingen van de objecten worden behandeld in hoofdstuk 2. De objecten worden vervolgens gestructureerd door middel van een lagenstructuur. Deze structuur wordt behandeld in hoofdstuk 3. Figuur 1 geeft een globale schets van de gehanteerde structuur. Details over afleiding van objecten en de gehanteerde structuur wordt geschetst in het Toelichtingsdocument; een standaard methodiek waarmee BIO-thema’s worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.

”Globale opzet logische en fysieke beveiliging”
BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging LTV_OBJ Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 17 mei 2019 08:57:48
BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen LTV_BIJL1 Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:18 # Beleid domein
”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Beleid domein”
  1. Uitvoering domein
    ”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control domein”
  2. Control domein
    ”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Uitvoering domein”
BIO Thema Toegangsbeveiliging - Structuur van het thema Toegangbeveiling LTV_STR Hoofdstuk normenkader BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:21 De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij de beoordeling van een thema, zoals de toegangbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het moeilijk om de juiste normen uit BIO te selecteren.

Voor de noodzakelijke beeldvorming van de omgeving van toegangbeveiliging hebben we eerst de relaties van de noodzakelijke onderdelen schematisch, in Figuur 3, weergegeven. De componenten zijn onderverdeeld in lagen.

Beleidsdomein – Dit domein bevat algemene conditionele zaken met betrekking tot inrichting van de toegangbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en rand voorwaardelijke aspecten die van toepassing zijn op de overige lagen binnen het uitvoeringsdomein en het control domein. Het bevat in het algemeen o.a. de objecten: informatiebeveiligingsbeleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen..

Uitvoeringsdomein – Dit domein omvat verschillende objecten van de te implementeren maatregel. Deze implementatieobjecten zijn georganiseerd langs de volgende lagen:

  1. Proces laag - Binnen deze laag zijn vanuit een organisatorische en procedurele invalshoek componenten vastgelegd. De van belang zijnde componenten zijn: Gebruiker, Rol, Profiel en Taak. De relatie tussen deze componenten kan gelezen worden als:
    1. een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem heeft een rol;
    2. op basis van deze rol wordt zijn/haar profiel bepaald;
    3. op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren.
  2. Toegangsvoorziening laag - Dit is de laag waarin wordt vastgelegd op basis van welke middelen gebruikers en beheerders toegang krijgen tot applicaties. Dit wordt vastgelegd in termen van identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen.
  3. Applicatie laag - De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie.
  4. Opslag - Geeft de verschillende registraties weer die onder meer worden gebruikt voor analyse doeleinden.
  5. Systeem laag - Binnen deze laag wordt aangegeven dat de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen./authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. via workstation worden aangeboden. Binnen deze omgeving worden ten aanzien van het accountmanagement bepaalde eisen gesteld.

Controldomein - Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangbeveiliging wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van toegang zelf. In ondersdtaande figuur wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.

”Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een drielagenstructuur”
Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld LTV_C.02.02 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:53 Control Functie Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. toegangsrechten
Verantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen LTV_U.07.05 Norm Functiescheiding BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:01 Uitvoering Functie Verantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol. verantwoordelijkheden
Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid LTV_U.09.05 Norm Autorisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:49 Uitvoering Gedrag Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie. toegangsbeleid
Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk LTV_C.04.02 Norm Toegangsbeveiliging beheers(ings)organisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:38 Control Structuur De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. functionarissen
Verantwoordelijkheidvoor de beveiliging van de logische componenten LTV_B.02.03 Norm Eigenaarschap van bedrijfsmiddelen BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:02 Beleid Intentie De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
verantwoordelijkheden logisch middelen
Slechts na autorisatie door een bevoegde functionaris.wordt toegang verleend tot informatiesystemen LTV_U.02.01 Norm Toegangsverlening procedure BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:38 Uitvoering Intentie Toegang tot informatiesystemen wordt uitsluiten verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. gebruikers toegangsverleningsprocedure
Periodiek worden controles uitgevoed op alle uitgegeven autorisaties LTV_U.04.04 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:31 Uitvoering Functie Door de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd. formeel autorisatieproces
De organisatie beschikt over een beschrijving van de relevante controleprocessen LTV_C.01.01 Norm Toegangsbeveiliging beoordelingsprocedure BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:55 Control Intentie De organisatie beschikt over een beschrijving van de relevante controleprocessen. procedures
Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld LTV_C.03.04 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:29 Control Gedrag Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. beoordelen
Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie LTV_U.09.01 Norm Autorisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:25 Uitvoering Gedrag Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen. toegang
Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes LTV_B.01.04 Norm Toegangbeveiliging(voorzienings)beleid BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:42 Beleid Intentie Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. informatiebeveiligingseisen
Uitwisseling van persoonsgerelateerde beveiligingsinformatie LTV_U.11.05 Norm Fysieke toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:59 Uitvoering Functie Hiervoor wordt nog een tekst aangeleverd bevoegd personeel
Controle van aanvraag en toegewezen autorisatieniveau ’s voor gebruik van informatiesystemen LTV_U.01.04 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:48 Uitvoering Intentie De aanvraag van autorisaties op het gebruik van informatie systemen en de toegewezen autorisatieniveau ’s worden gecontroleerd. formele procedures
Organisatieschema met de belangrijkste functionarissen LTV_B.05.02 Norm Beveiligingsorganisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:31 Beleid Structuur De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. functionarissen
Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd LTV_C.02.08 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:43 Control Functie De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. beoordelen
Verplichte geheimhoudingsverklaring van gebruikersals onderdeel van de arbeidsvoorwaarden LTV_U.08.04 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:03 Uitvoering Gedrag Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden. beheersproces
Authenticatie-informatie is versleuteld LTV_B.04.01 Norm Cryptografie bij authenticatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:26 Beleid Gedrag Authenticatie-informatie wordt beschermd zijn door middel van versleuteling. authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie
De risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen LTV_U.03.03 Norm Inlogprocedures BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:56 Uitvoering Intentie De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. Inlogprocedure
Vormgeving van de technische inrichting van de toegangbeveiliging LTV_B.06.01 Norm Toegangbeveiliging(voorzienings)architectuur BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:05 Beleid Structuur Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
technische inrichting
Wachtwoordlengte complexiteit toegestane inlogpogingen en blokkadetijdsduur LTV_U.05.01 Norm Wachtwoorden beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:09 Uitvoering Functie Als geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

Het aantal inlogpogingen is maximaal 10.

De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
wachtwoorden
Autorisaties voor speciale toegangsrechten worden vaker beoordeeld LTV_C.02.03 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:30 Control Functie Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. toegangsrechten
Waarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen LTV_U.07.06 Norm Functiescheiding BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:07 Uitvoering Functie Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen of voorkomen. onbedoeld
De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd LTV_C.04.03 Norm Toegangsbeveiliging beheers(ings)organisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:58 Control Structuur De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. taken verantwoordelijkheden en bevoegdheden
Verantwoordelijkheid voor de beveiliging van de fysieke componenten LTV_B.02.04 Norm Eigenaarschap van bedrijfsmiddelen BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:01 Beleid Intentie De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
verantwoordelijkheden fysieke middelen
Functiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging LTV_U.02.02 Norm Toegangsverlening procedure BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:09 Uitvoering Intentie Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. gebruikers toegangsverleningsprocedure
Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband LTV_U.04.05 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:24 Uitvoering Functie Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken. toegangsrechten
De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen LTV_C.01.02 Norm Toegangsbeveiliging beoordelingsprocedure BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:56 Control Intentie De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. procedures
Toepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging LTV_U.07.01 Norm Functiescheiding BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:56 Uitvoering Functie Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. gescheiden
De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management LTV_C.03.05 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:51 Control Gedrag De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. beoordelen
Het autorisatiebeheer is procesmatig ingericht LTV_B.01.05 Norm Toegangbeveiliging(voorzienings)beleid BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:17 Beleid Intentie Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). informatiebeveiligingseisen
Extern personeel krijgt na formele toestemming en voor zover noodzakelijk beperkte toegang LTV_U.11.06 Norm Fysieke toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:06 Uitvoering Functie Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk, beperkte toegang tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. bevoegd personeel
Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties LTV_U.01.05 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:14 Uitvoering Intentie Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd tot het gebruik van applicaties. toegangsrechten
Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie LTV_B.05.03 Norm Beveiligingsorganisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:57 Beleid Structuur De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. taken verantwoordelijkheden en bevoegdheden
Speciale toegangsrechten worden toegewezen o.b.v. risico afweging richtlijnen en procedures LTV_U.06.01 Norm Speciale toegangsrechten beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:41 Uitvoering Functie Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging en richtlijnen en procedures. toewijzen
Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie LTV_U.08.05 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:46 Uitvoering Gedrag Gebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen. beheersproces
Beveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen LTV_U.11.01 Norm Fysieke toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:46 Uitvoering Functie Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn. beveiligde gebieden
Uitwerking van het cryptografiebeleid voor authenticatie LTV_B.04.02 Norm Cryptografie bij authenticatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:58 Beleid Gedrag In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
cryptografische beheersmaatregelen
Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur LTV_B.06.02 Norm Toegangbeveiliging(voorzienings)architectuur BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:23 Beleid Structuur De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. toegangbeveiligingsarchitectuur
Waar geen two-factor authenticatie mogelijk is minimaal 1/2-jaarlijks vernieuwen van wachtwoord LTV_U.05.02 Norm Wachtwoorden beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:06 Uitvoering Functie In situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. wachtwoorden
Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden LTV_C.02.04 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 31 juli 2019 11:49:58 Control Functie De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. toegangsrechten
Formeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer LTV_U.10.01 Norm Autorisatievoorzieningsfaciliteiten BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:06 Uitvoering Gedrag Door een verantwoordelijke is formeel vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer. autorisatievoorzieningsmiddelen
De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd LTV_C.04.04 Norm Toegangsbeveiliging beheers(ings)organisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:57 Control Structuur De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. taken verantwoordelijkheden en bevoegdheden
Het mandaatregister is actueel en toont wie bevoegdheden heeft LTV_U.02.03 Norm Toegangsverlening procedure BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:19 Uitvoering Intentie Uit een actueel mandaatregister blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen. gebruikerstoegangsverleningsprocedure
De Autorisatiematrix met de beschrijving van de taken verantwoordelijkheden en bevoegdheden LTV_B.05.04 Norm Beveiligingsorganisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:50 Beleid Structuur De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. taken verantwoordelijkheden en bevoegdheden
Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten LTV_U.04.06 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:10 Uitvoering Functie De verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband. toegangsrechten
Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties LTV_C.01.03 Norm Toegangsbeveiliging beoordelingsprocedure BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:33 Control Intentie De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren. procedures
Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden LTV_U.07.02 Norm Functiescheiding BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:28 Uitvoering Functie Niemand in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. of proces mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden. gescheiden
Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken LTV_U.09.02 Norm Autorisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:13 Uitvoering Gedrag Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak. informatie
Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden LTV_C.03.06 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:47 Control Gedrag Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden. beoordelen
Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes LTV_U.01.06 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:29 Uitvoering Intentie Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes. toegangsrechten
Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening LTV_U.06.02 Norm Speciale toegangsrechten beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:46 Uitvoering Functie Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know , need to use). toegangsrechten
Eisen aan de autorisatie-logregels LTV_C.03.01 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:03 Control Gedrag Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
log-bestanden
Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie LTV_U.08.06 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:42 Uitvoering Gedrag Tijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt. beheersproces
Eisen aan het Toegangvoorzieningsbeleid LTV_B.01.01 Norm Toegangbeveiliging(voorzienings)beleid BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:04 Beleid Intentie Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
toegangbeveiligingbeleid
Registatie van aankomst en vertrektijden van bezoekers. LTV_U.11.02 Norm Fysieke toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:34 Uitvoering Functie Aankomst en vertrektijden van bezoekers worden geregistreerd. passende toegangbeveiliging
Sluitende formele registratie- en afmeldprocedure voor alle gebruikers. LTV_U.01.01 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:39 Uitvoering Intentie Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers. formele procedures
Eisen aan Crypografische toepassingen voldoen aan passende standaarden. LTV_B.04.03 Norm Cryptografie bij authenticatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:02 Beleid Gedrag Crypografische toepassingen voldoen aan passende standaarden. cryptografische beheersmaatregelen
Het autorisatie beheerproces LTV_U.04.01 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:16 Uitvoering Functie Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties. formeel autorisatieproces
Het beschrijven van de IAA beveiligingsmaatregelen LTV_B.06.03 Norm Toegangbeveiliging(voorzienings)architectuur BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:18 Beleid Structuur De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven. toegangbeveiligingsarchitectuur
Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd LTV_U.05.03 Norm Wachtwoorden beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:21 Uitvoering Functie Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd. wachtwoorden
De opvolging van bevindingen is gedocumenteerd LTV_C.02.05 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:54 Control Functie De opvolging van bevindingen is gedocumenteerd. toegangsrechten
Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode LTV_U.08.01 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:05 Uitvoering Gedrag Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie
Toegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem LTV_U.10.02 Norm Autorisatievoorzieningsfaciliteiten BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:44 Uitvoering Gedrag Alle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. personeelsregistratiesysteem
Eisen aan de rollen binnen de beveiligingsfunctie LTV_B.03.01 Norm Beveiligingsfunctie toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:04 Beleid Functie De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA). beveiligingsfunctie
De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen LTV_B.05.05 Norm Positie van Beveiligingsorganisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:59 Beleid Structuur De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. rapportagelijnen
I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast LTV_U.04.07 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:21 Uitvoering Functie Bij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast. toegangsrechten
Rollen taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld LTV_U.07.03 Norm Functiescheiding BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:37 Uitvoering Functie Rollen, taken en verantwoordelijkheden zijn vastgesteld conform de gewenste functiescheidingen. gescheiden
Beheerdersfuncties in toepassingen zijn voorzien van hebben extra beschermin LTV_U.09.03 Norm Autorisatie BIO Thema Toegangsbeveiliging 31 juli 2019 11:53:09 Uitvoering Gedrag Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen. systeemfuncties
De logbestanden worden gedurende een overeengekomen periode bewaard LTV_C.03.07 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:54 Control Gedrag De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. bewaard
Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen LTV_B.02.01 Norm Eigenaarschap van bedrijfsmiddelen BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:02 Beleid Intentie Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). eigenaarschap
Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang LTV_U.01.07 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:58 Uitvoering Intentie Een bevoegdhedenmatrix is beschikbaar op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van zijn taken. toegangsrechten
Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties LTV_U.06.03 Norm Speciale toegangsrechten beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:45 Uitvoering Functie Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en beheerfuncties. toegangsrechten
Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken LTV_C.03.02 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:00 Control Gedrag Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.). log-bestanden
Niet germakkelijk e raden geheime authenticatie-informatie is uniek toegekend aan een persoon LTV_U.08.07 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 31 juli 2019 11:30:28 Uitvoering Gedrag Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden. beheersproces
Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen LTV_B.01.02 Norm Toegangbeveiliging(voorzienings)beleid BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:22 Beleid Intentie Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. bedrijfseisen
Medewerkers en contractanten en externen dragen zichtbare identificatie. LTV_U.11.03 Norm Fysieke toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:26 Uitvoering Functie Medewerkers en contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. passende toegangbeveiliging
Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd LTV_U.01.02 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:12 Uitvoering Intentie Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. formele procedures
O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend LTV_U.04.02 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:30 Uitvoering Functie Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris. formeel autorisatieproces
Beschrijving van de onderlinge samenhang tussen technische componenten LTV_B.06.04 Norm Toegangbeveiliging(voorzienings)architectuur BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:42 Beleid Structuur De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven. toegangbeveiligingsarchitectuur
Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden LTV_U.05.04 Norm Wachtwoorden beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:26 Uitvoering Functie Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd. wachtwoorden
Het beoordelen vind plaats op basis van een formeelproces LTV_C.02.06 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:18 Control Functie Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). beoordelen
Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen LTV_U.08.02 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:27 Uitvoering Gedrag Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel. authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie
Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd LTV_U.10.03 Norm Autorisatievoorzieningsfaciliteiten BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:23 Uitvoering Gedrag Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. autorisatiebeheersysteem
Periodieke evluatie van het toegangbeveiligingssysteem LTV_B.03.02 Norm Beveiligingsfunctie toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:32 Beleid Functie De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. beveiligingsfunctie
Toegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie LTV_U.03.01 Norm Inlogprocedures BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:46 Uitvoering Intentie Als vanuit een onvertrouwde zone toegang wordt verleend tot een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Inlogprocedure
De frequentie en de eisen voor de inhoudelijke rapportages LTV_B.05.06 Norm Organisatieschema met de belangrijkste functionarissen BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:52 Beleid Structuur De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. rapportagelijnen
Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken LTV_U.04.08 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:54 Uitvoering Functie Toegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren. toegangsrechten
Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld LTV_C.02.01 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:24 Control Functie Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. toegangsrechten
Sheiding is aangebracht tussen beheertaken en overige gebruikstaken LTV_U.07.04 Norm Functiescheiding BIO Thema Toegangsbeveiliging 31 juli 2019 10:56:55 Uitvoering Functie Er is een scheiding tussen beheertaken en overige gebruikstaken, waarbij onder andere:
  • Gebruikstaken alleen mogelijk zijn wanneer ingelogd is als standaard gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem;
  • Beheertaken alleen uitgevoerd kunnen worden met een beheerders account (gebruikersnaam en wachtwoord);
  • Controletaken worden uitgevoerd door specifieke functionarissen.
taken
Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden LTV_U.09.04 Norm Autorisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:20 Uitvoering Gedrag Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. toegangsbeleid
De eigenaar heeft de beschikking over noodzakelijke kennis middelen en mensen en autoriteit LTV_B.02.02 Norm Eigenaarschap van bedrijfsmiddelen BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:51 Beleid Intentie De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem. eigenaarschap
De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld LTV_U.06.04 Norm Speciale toegangsrechten beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:58 Uitvoering Functie De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.
De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC LTV_C.03.03 Norm Gebeurtenissen registreren BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:53 Control Gedrag De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. gebruikersactiviteiten
Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen LTV_B.01.03 Norm Toegangbeveiliging(voorzienings)beleid BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:43 Beleid Intentie Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. bedrijfseisen
Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s LTV_U.11.04 Norm Fysieke toegangbeveiliging BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:04 Uitvoering Functie In geval van concrete beveiligingsrisico’s wordt conform onderlinge afspraken een waarschuwing verzonden aan de relevante collega’s binnen het beveiligingsdomein. bevoegd personeel
Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven LTV_U.01.03 Norm Registratieprocedure “Registratie van gebruikers” BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:36 Uitvoering Intentie De procedures beschrijven alle fasen van de levenscyclus van de gebruikerstoegang en de relaties tussen de autorisatieprocessen (eerste registratie en beëindiging). formele procedures
Positie van Beveiligingsorganisatie LTV_B.05.01 Norm Beveiligingsorganisatie BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:33 Beleid Structuur De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. organisatorische positie
Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten LTV_U.04.03 Norm Autorisatieproces BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:00 Uitvoering Functie De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd. formeel autorisatieproces
Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar overige 6 maanden LTV_U.05.05 Norm Wachtwoorden beheer BIO Thema Toegangsbeveiliging 10 mei 2019 16:37:16 Uitvoering Functie Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden. wachtwoorden
Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging LTV_C.02.07 Norm Beoordeling toegangsrechten BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:39 Control Functie Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. beoordelen
Authenticartie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden LTV_U.08.03 Norm Geheime authenticatie-informatie (IA) BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:25 Uitvoering Gedrag Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden. authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie
Applicaties hebben functionaliteit om autorisaties toe te kennen in te zien en te beheren LTV_U.10.04 Norm Autorisatievoorzieningsfaciliteiten BIO Thema Toegangsbeveiliging 10 mei 2019 16:36:24 Uitvoering Gedrag Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren. autorisatiefaciliteiten
Voorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaak LTV_U.03.02 Norm Inlogprocedures BIO Thema Toegangsbeveiliging 10 mei 2019 16:38:05 Uitvoering Intentie Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Inlogprocedure
BIO Thema Toegangsbeveiliging LTV Normenkader BIO Thema Toegangsbeveiliging 7 augustus 2019 13:04:39 # BIO Thema Toegangsbeveiliging - Inleiding
  1. BIO Thema Toegangsbeveiliging - Objecten voor toegangbeveiliging
  2. BIO Thema Toegangsbeveiliging/Structuur van het thema Toegangangsbeveiling
  3. BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen
  4. BIO Thema Toegangsbeveiliging - Doelstelling en risico per object
  5. BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging
  6. BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten
  7. BIO Thema Toegangsbeveiliging - Verbindingsdocument
BIO Thema Toegangsbeveiliging Beleid LTV_B Normenkader-aspect BIO Thema Toegangsbeveiliging 7 augustus 2019 13:04:43 ==Objecten binnen toegangbeveiliging== De objecten die uit de BIO in dit domein een rol spelen zijn toegangvoorzieningsbeleid, eigenaarschap toegangbeveiligingssysteem, beveiligingfunctie en toegangsvoorzieningsarchitectuur. Onderdstaande figuur geeft een overzicht en de ordening hiervan. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van IFGS basiselementen (SIVA). De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangbeveiliging als geheel te doen functioneren zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) doelstellingen. In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (bijv.: Toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden. Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de toegang tot ICT voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangbeveiliging. Beleid
BIO Thema Toegangsbeveiliging Uitvoering LTV_U Normenkader-aspect 7 augustus 2019 13:05:08 ==Uitvoering objecten en normen==

U.01 Registratieprocedure “Registratie van gebruikers”

De oorspronkelijke titel in ISO en BIO is “Registratie en afmelden van gebruikers”. Het onderwerp “Registratie en afmelden van gebruikers” duidt op het daadwerkelijk registreren en afmelden van gebruikers. De inhoud van de norm legt feitelijk de nadruk op “Procedures” die bij het registreren en afmelden noodzakelijk zijn. Vandaar dat nu gekozen is voor de titel: ‘Registratieprocedures’ waarmee een gecontroleerde toegang voor bevoegde gebruikers worden geboden vanaf het mo-ment van intake, registratie tot en met de beëindiging. Ze beschrijven dus de gehele levenscyclus van de gebruikerstoegang. Een onderdeel van de procedures is dat er gebruikers geregistreerd moeten worden. Het registreren van gebruikers geldt zowel bij logische als bij fysieke beveiliging. De noodzakelijke fysieke beveiliging procedure is gericht op zowel interne als externe medewerkers.

Bij uitbestede diensten geldt dat de provider zowel de logische als de fysieke beveiligingsmaatrege-len treft voor de beveiliging van de ICT dienstverlening aan de klant.
Thema Toegangbeveiliging - Overzicht van de objecten gerelateerd aan SIVA-basiselementen in het Uitvoering domein De doelstelling van het uitvoeringsdomein in dit thema is te waarborgen dat de toegang tot terreinen, ruimten, applicaties en data is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld op basis van het (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) beleid. Wanneer een adequate toegangbeveiliging tot ruimten en informatiefaciliteiten ontbreekt, dan bestaat het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren. Uitvoeringsobjecten toegangbeveiliging en Normen.

Binnen het uitvoeringsdomein worden de in onderstaande figuur vermelde onderwerpen uitgewerkt.

”Overzicht van de objecten voor toegangbeveiliging in het Uitvoering domein”
Uitvoering
BIO Thema Toegangsbeveiliging Control LTV_C Normenkader-aspect 7 augustus 2019 13:04:55 ==Control objecten en normen==

Beoordeling van logische en fysieke toegangsrechten van gebruikers richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie vast te stellen of het registratiesysteem betrouwbaar is. Binnen het specifieke control domein zouden de volgende onderwerpen van belang kunnen zijn bij het beoordelen van gebruikersautorisatie:

”Overzicht van de objecten voor toegangbeveiliging in het Control domein”

Beoordelingsprocedure

De inrichting van de toegangbeveiliging moet beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. worden. Hiertoe dient periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en instructies. Anders bestaat het risico dat deze resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheersingsorganisatie structuur geeft de samenhang van de ingerichte processen weer.

Een hoofdnorm en de bijbehorende subnormen worden hieronder vermeld.
De doelstelling van het control domein is er voor te zorgen dat en/of vast te stellen of:
  • de toegangbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
  • het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.
Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.
Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de naleving van deze omgeving toereikend is ingericht. Tevens kan er niet worden vastgesteld dat de gewenste maatregelen worden nageleefd. Control
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen