Autorisatie

Beveiligingsprincipe
ID:	LTV_U.09
Status:	Actueel
Publicatiedatum:	29 jan 2018
Redactionele wijzigingsdatum:	29 jan 2018
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Voor de betiteling ‘Beperking toegang tot informatie’ is gekozen om het object “Autorisatie’ te gebruiken omdat het beter aansluit op een van toegangsmechanismen, identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen. Na het identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatieproces krijgen gebruikers/beheerders verdere specifieke toegang tot informatiesystemen voor gebruik of voor beheerdoeleinden. De toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit de het toegangsbeleid.

Criterium

'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.

Doelstelling

Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.

Risico

Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een worden aangebracht.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Uitvoering
valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.4.1, NEN-ISO/IEC 27002 9.4.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
LTV_U.09.01	toegang	Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen.	Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
LTV_U.09.02	informatie	Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak.	Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
LTV_U.09.03	systeemfuncties	Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen.	Beheerdersfuncties in toepassingen hebben extra bescherming
LTV_U.09.04	toegangsbeleid	Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.	Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
LTV_U.09.05	toegangsbeleid	Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie.	Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid