Geheime authenticatie-informatie

Uit NORA Online
ISOR:Authenticatie-informatie
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Definitie

Een middel waarmee een entiteit aan de hand van een uniek kenmerk kan aangeven wie hij is (zeggen wie je bent). Authenticatie is de controle of de entiteit die zich aanmeldt daadwerkelijk de entiteit is die deze beweert te zijn (bewijzen wie je bent). Dit kan met bijvoorbeeld een wachtwoord. NB: Bewust is hier gekozen voor het begrip 'entiteit', omdat dit zowel kan gaan over personen als over apparatuur of softwaresystemen.

Toelichting

Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten worden gereguleerd door de toegangsmechanismen gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Deze mechanismen moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan. Het delen van toegangssleutels tot informatie kan en mag nooit worden afgedwongen.


Criterium

Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Doelstelling

Het bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevens in het systeem.

Risico

Er kan misbruik van gegevens door onbevoegden worden gemaakt.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO 2019 9.2.4

Onderliggende normen

IDConformiteitsindicatorStelling
TBV_U.08.01 Authenticatie-informatie

Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.

TBV_U.08.02 Authenticatie-informatie

Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld.

TBV_U.08.03 Beheersproces

Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden.

TBV_U.08.04 Beheersproces

Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.