Toegangbeveiliging Controldomein

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Control (Doorverwezen vanaf ISOR:BIO Thema Toegangbeveiliging Control)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Toegangbeveiliging.

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Control objecten en normen

Beoordeling van logische en fysieke toegangsrechten van gebruikers richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie vast te stellen of het registratiesysteem betrouwbaar is. Binnen het specifieke control domein zouden de volgende onderwerpen van belang kunnen zijn bij het beoordelen van gebruikersautorisatie:

”Overzicht van de objecten voor toegangbeveiliging in het Control domein”

Beoordelingsprocedure

De inrichting van de toegangbeveiliging moet beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. worden. Hiertoe dient periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en instructies. Anders bestaat het risico dat deze resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheersingsorganisatie structuur geeft de samenhang van de ingerichte processen weer. Een hoofdnorm en de bijbehorende subnormen worden hieronder vermeld.


Risico

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de naleving van deze omgeving toereikend is ingericht. Tevens kan er niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.

Doelstelling

De doelstelling van het control domein is er voor te zorgen dat en/of vast te stellen of:

  • de toegangbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
  • het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.

Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Toegangbeveiliging binnen dit aspect

ID principe Criterium
LTV_C.01 Toegangsbeveiliging beoordelingsprocedure Er moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.
LTV_C.02 Beoordeling toegangsrechten Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
LTV_C.03 Gebeurtenissen registreren 'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
LTV_C.04 Toegangsbeveiliging beheers(ings)organisatie De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Toegangbeveiliging binnen dit aspect

ID Stelling Norm
LTV_C.01.01 De organisatie beschikt over een beschrijving van de relevante controleprocessen. De organisatie beschikt over een beschrijving van de relevante controleprocessen
LTV_C.01.02 De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
LTV_C.01.03 De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren. Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
LTV_C.02.01 Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02 Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03 Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04 De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05 De opvolging van bevindingen is gedocumenteerd. De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06 Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). Het beoordelen vind plaats op basis van een formeelproces
LTV_C.02.07 Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08 De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
LTV_C.03.01 Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
Eisen aan de autorisatie-logregels
LTV_C.03.02 Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.). Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
LTV_C.03.03 De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
LTV_C.03.04 Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.03.05 De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
LTV_C.03.06 Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden. Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
LTV_C.03.07 De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De logbestanden worden gedurende een overeengekomen periode bewaard
LTV_C.04.02 De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
LTV_C.04.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
LTV_C.04.04 De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen