Geheime authenticatie-informatie

Uit NORA Online
ISOR:Authenticatie-informatie
Naar navigatie springen Naar zoeken springen
Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Geheime informatie waarmee een natuurlijke persoon of een digitaal systeem zijn identiteit kan aantonen.

Objecttoelichting

Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten wordt gereguleerd door de toegangsmechanismen ‘gebruikersidentificatie’ (zoals een gebruikersaccount) en ‘authenticatie’ (zoals een wachtwoord). Deze mechanismen moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hiermee vertrouwelijk om te gaan. Het delen van toegangssleutels tot informatie dient altijd te worden vermeden.


Criterium

Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Doelstelling

Het zorgen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem.

Risico

Onbevoegden misbruiken gegevens.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.2.4

Onderliggende normen

IDConformiteitsindicatorStelling
TBV_U.08.01 Authenticatie-informatie

Elke gebruiker wordt geïdentificeerd met een identificatiecode.

TBV_U.08.02 Authenticatie-informatie

Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld.

TBV_U.08.03 Beheersproces

Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden.

TBV_U.08.04 Beheersproces

Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.