Toegangbeveiliging Beleidsdomein

Uit NORA Online
ISOR:Toegangbeveiliging Beleidsdomein (Doorverwezen vanaf ISOR:BIO Thema Toegangbeveiliging Beleid)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Toegangbeveiliging.

Meer lezen

BIO Thema Toegangbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten binnen toegangbeveiliging

De objecten die uit de BIO in dit domein een rol spelen zijn toegangvoorzieningsbeleid, eigenaarschap toegangbeveiligingssysteem, beveiligingfunctie en toegangsvoorzieningsarchitectuur. Onderdstaande figuur geeft een overzicht en de ordening hiervan. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van IFGS basiselementen (SIVA).

Overzicht van de objecten voor toegangbeveiliging in het Beleid domein

Risico

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de toegang tot ICT voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangbeveiliging.

Doelstelling

De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangbeveiliging als geheel te doen functioneren zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) doelstellingen. In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (bijv.: Toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.

Principes uit de BIO Thema Toegangbeveiliging binnen dit aspect

ID principe Criterium
LTV_B.01 Toegangbeveiliging(voorzienings)beleid Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02 Eigenaarschap van bedrijfsmiddelen Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03 Beveiligingsfunctie toegangbeveiliging Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04 Cryptografie bij authenticatie Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05 Beveiligingsorganisatie De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06 Toegangbeveiliging(voorzienings)architectuur De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.

Normen uit de BIO Thema Toegangbeveiliging binnen dit aspect

ID Stelling Norm
LTV_B.01.01 Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02 Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03 Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04 Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05 Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01 Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02 De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem. De eigenaar heeft de beschikking over noodzakelijke kennis middelen en mensen en autoriteit
LTV_B.02.03 De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
Verantwoordelijkheidvoor de beveiliging van de logische componenten
LTV_B.02.04 De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
Verantwoordelijkheid voor de beveiliging van de fysieke componenten
LTV_B.03.01 De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA). Eisen aan de rollen binnen de beveiligingsfunctie
LTV_B.03.02 De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. Periodieke evluatie van het toegangbeveiligingssysteem
LTV_B.04.01 Authenticatie-informatie wordt beschermd zijn door middel van versleuteling. Authenticatie-informatie is versleuteld
LTV_B.04.02 In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
Uitwerking van het cryptografiebeleid voor authenticatie
LTV_B.04.03 Crypografische toepassingen voldoen aan passende standaarden. Eisen aan Crypografische toepassingen voldoen aan passende standaarden.
LTV_B.05.01 De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. Positie van Beveiligingsorganisatie
LTV_B.05.02 De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Organisatieschema met de belangrijkste functionarissen
LTV_B.05.03 De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
LTV_B.05.04 De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. De Autorisatiematrix met de beschrijving van de taken verantwoordelijkheden en bevoegdheden
LTV_B.05.05 De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
LTV_B.05.06 De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. De frequentie en de eisen voor de inhoudelijke rapportages
LTV_B.06.01 Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
Vormgeving van de technische inrichting van de toegangbeveiliging
LTV_B.06.02 De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
LTV_B.06.03 De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven. Het beschrijven van de IAA beveiligingsmaatregelen
LTV_B.06.04 De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven. Beschrijving van de onderlinge samenhang tussen technische componenten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen