Autorisatieproces

Uit NORA Online
Ga naar: navigatie, zoeken
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft een vastgelegde manier van handelen voor het toekennen van toegangsrechten.

Objecttoelichting

De Baseline Informatiebeveiliging Overheid (BIO)-control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in Een scenario voor Toegangsbeveiliging.


Criterium

Een formeel autorisatieproces dient geïmplementeerd te zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.

Doelstelling

Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.

Risico

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SA1.2.1

Onderliggende normen

IDConformiteitsindicatorStelling
TBV_U.04.01 Formeel autorisatieproces

Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties.

TBV_U.04.02 Formeel autorisatieproces

Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris.

TBV_U.04.03 Formeel autorisatieproces

De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.

TBV_U.04.04 Toegangsrechten

Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken.

TBV_U.04.05 Toegangsrechten

Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.

TBV_U.04.06 Toegangsrechten

Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren.