Toegangbeveiliging Beleidsdomein

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Beleid / (Doorverwezen vanaf ISOR:BIO Thema Toegangbeveiliging Beleid)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.

Meer lezen

BIO Thema Toegangsbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten binnen toegangbeveiliging

De objecten die uit de BIO in dit domein een rol spelen zijn toegangvoorzieningsbeleid, eigenaarschap toegangbeveiligingssysteem, beveiligingfunctie en toegangsvoorzieningsarchitectuur. Onderdstaande figuur geeft een overzicht en de ordening hiervan. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van IFGS basiselementen (SIVA).

Overzicht van de objecten voor toegangbeveiliging in het Beleid domein

Risico

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de toegang tot ICT voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangbeveiliging.

Doelstelling

De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangbeveiliging als geheel te doen functioneren zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) doelstellingen. In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (bijv.: Toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDprincipeCriterium
LTV_B.01Toegangbeveiliging(voorzienings)beleidEen toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02Eigenaarschap van bedrijfsmiddelenHet eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03Beveiligingsfunctie toegangbeveiligingEen gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04Cryptografie bij authenticatieTer bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05BeveiligingsorganisatieDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06Toegangbeveiliging(voorzienings)architectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDStellingNorm
LTV_B.01.01Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast.Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes.Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem.De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit
LTV_B.02.03De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
  • Verantwoordelijkheidvoor de beveiliging van de logische componenten
    LTV_B.02.04De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Verantwoordelijkheid voor de beveiliging van de fysieke componenten
    LTV_B.03.01De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA).Eisen aan de rollen binnen de beveiligingsfunctie
    LTV_B.03.02De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.Periodieke evluatie van het toegangbeveiligingssysteem
    LTV_B.04.01Authenticatie-informatie wordt beschermd zijn door middel van versleuteling.Authenticatie-informatie is versleuteld
    LTV_B.04.02In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

    a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

    f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
    Uitwerking van het cryptografiebeleid voor authenticatie
    LTV_B.04.03Crypografische toepassingen voldoen aan passende standaarden.Eisen aan Crypografische toepassingen voldoen aan passende standaarden
    LTV_B.05.01De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.Positie van Beveiligingsorganisatie
    LTV_B.05.02De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Organisatieschema met de belangrijkste functionarissen
    LTV_B.05.03De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
    LTV_B.05.04De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
    LTV_B.05.05De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
    LTV_B.05.06De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.De frequentie en de eisen voor de inhoudelijke rapportages
    LTV_B.06.01Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
    • de uniformiteit en flexibiliteit van authenticatiemechanismen;
    • de rechten voor beheeraccounts;
    • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
    • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
    Vormgeving van de technische inrichting van de toegangbeveiliging
    LTV_B.06.02De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
    LTV_B.06.03De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven.Het beschrijven van de IAA beveiligingsmaatregelen
    LTV_B.06.04De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven.Beschrijving van de onderlinge samenhang tussen technische componenten