Toegangsbeveiliging Control

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Control / (Doorverwezen vanaf ISOR:BIO Thema Toegangbeveiliging Control)
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.

Meer lezen

BIO Thema Toegangsbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Control objecten

Het beoordelen van de logische en fysieke toegangsrechten richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie vast te stellen of het registratiesysteem betrouwbaar is. Binnen dit specifieke Control domein zouden de volgende onderwerpen van belang kunnen zijn bij het beoordelen van gebruikersautorisatie:

”Overzicht van toegangbeveiligingsobjecten binnen het Control domein”
Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Control domein


Risico

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.

Doelstelling

De doelstelling van het Control domein is te zorgen dat en/of vast te stellen of:

  • de toegangsbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
  • het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.

Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDprincipeCriterium
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
TVZ_C.01Beoordelingsrichtlijnen en proceduresOm het gebruik van toegangbeveiligingsvoorzieningen te (kunnen) controleren, moeten procedures zijn vastgesteld.
TVZ_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
TVZ_C.03Gebeurtenissen registreren (logging en monitoring)Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
TVZ_C.04Beheersorganisatie toegangsbeveiligingDe eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben, waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDStellingNorm
LTV_C.03.04Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen.Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.04.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
TVZ_C.01.01De organisatie beschikt over procedures voor het controleren van toegangbeveiligingssystemen en registraties (log-data).De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties
TVZ_C.01.02De organisatie beschikt over een beschrijving van de relevante controleprocessen.De organisatie beschikt over een beschrijving van de relevante controleprocessen
TVZ_C.01.03De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie.De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus
TVZ_C.01.04De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren.De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management
TVZ_C.02.01Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
TVZ_C.02.02Toegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld.Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
TVZ_C.02.03Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld.Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld
TVZ_C.02.04De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden.De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd
TVZ_C.02.05De opvolging van bevindingen is gedocumenteerd.De opvolging van bevindingen is gedocumenteerd.
TVZ_C.02.06Het beoordelen vind plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.Het beoordelen vind plaats op basis van een formeel proces
TVZ_C.02.07Een functionaris is verantwoordelijke voor het controleren van de organisatorische en de technische inrichting van toegangsbeveiliging.Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting
TVZ_C.03.01Een log-regel bevat de vereiste gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (zoals: afleidbaarheid naar natuurlijke persoon, de gebeurtenis, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).Een log-regel bevat de vereiste gegevens
TVZ_C.03.02Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers enz.).Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
TVZ_C.03.03De informatie verwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een SIEM en/of SOC, die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen zodat aanvallen kunnen worden gedetecteerd.De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC
TVZ_C.03.04Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen.Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld
TVZ_C.03.05De SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd.De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd
TVZ_C.03.06Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteitenregister bijgehouden.Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden.
TVZ_C.03.07De logbestanden worden gedurende een overeengekomen periode bewaard ten behoeve van toekomstig onderzoek en toegangscontrole.De logbestanden worden gedurende een overeengekomen periode bewaard
TVZ_C.04.01De samenhang van de processen wordt door middel van een processtructuur vastgelegd.De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd
TVZ_C.04.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
TVZ_C.04.03De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd