Autorisatie

ID: LTV_U.09 Beveiligingsprincipe Status: Actueel Publicatiedatum: 29 jan 2018 Redactionele wijzigingsdatum: 29 jan 2018 Indeling Beveiligingsaspect: Uitvoering Invalshoek: Gedrag Verwante principes → BIO Thema Toegangbeveiliging → Binnen dit normenkader èn beveiligingsaspect → Alle Normenkaders → Alle Beveiligingsprincipes → Alle Normen → Beveiligingsaspecten → ISOR

Voor de betiteling ‘Beperking toegang tot informatie’ is gekozen om het object “Autorisatie’ te gebruiken omdat het beter aansluit op een van toegangsmechanismen, identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen. Na het identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatieproces krijgen gebruikers/beheerders verdere specifieke toegang tot informatiesystemen voor gebruik of voor beheerdoeleinden. De toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit de het toegangsbeleid.

Criterium

'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.

Doelstelling

Risico

Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. worden aangebracht.

Indeling binnen ISOR

Dit beveiligingsprincipe:

• is gericht op Beveiligingsaspect Uitvoering
  
• valt binnen de IFGS-indeling IFGS Gedrag
  

ℹ️(Klik om uitleg open/dicht te klappen)

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.4.1, NEN-ISO/IEC 27002 9.4.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
LTV_U.09.01	toegang	Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen.	Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
LTV_U.09.02	informatie	Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak.	Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
LTV_U.09.03	systeemfuncties	Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen.	Beheerdersfuncties in toepassingen zijn voorzien van hebben extra beschermin
LTV_U.09.04	toegangsbeleid	Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.	Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
LTV_U.09.05	toegangsbeleid	Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie.	Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid