BIO Thema Toegangsbeveiliging Beleid

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Beleid
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.

Meer lezen

BIO Thema Toegangsbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten binnen toegangbeveiliging

De objecten die uit de BIO in dit domein een rol spelen zijn het toegangsvoorziening beleid, de toegangsvoorziening architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., de beveiligingsfunctie en het eigenaarschap van het toegangbeveiligingssysteem. Onderstaande afbeelding geeft een overzicht en de ordening hiervan. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van IFGS-basiselementen (SIVA).

”Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein”
Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein


Risico

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de toegang tot ICT-voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangsbeveiliging.

Doelstelling

De doelstelling van het Beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau - zijn geschapen om toegangsbeveiliging als geheel te doen functioneren en zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) doelstellingen.

In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals toegangsvoorziening, applicatie, Operating Systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDprincipeCriterium
TVZ_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
TVZ_B.02Eigenaarschap bedrijfsmiddelenHet eigenaarschap en de verantwoordelijkheden voor logische bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen moeten zijn vastgelegd.
TVZ_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.
TVZ_B.04CryptografieTer bescherming van authenticatie-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd.
TVZ_B.06ToegangsbeveiligingsarchitectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDStellingNorm
TVZ_B.01.01Het toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beleid;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
TVZ_B.01.02Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.Aandacht aan relevante wetgeving en contractuele verplichtingen
TVZ_B.01.03Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisatie.Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
TVZ_B.01.04Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes.Toepassen van need-to-know en need-to-use principes
TVZ_B.01.05Autorisatiebeheer is procesmatig ingericht (zoals aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).Het autorisatiebeheer is procesmatig ingericht
TVZ_B.02.01Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
TVZ_B.02.02De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit
TVZ_B.02.03De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangsbeveiliging systeem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s ten aanzien van toegangsbeveiliging systeem op basis van InformatieBetekenisvolle gegevens. life-cycle;
  • het ondersteunen van beveiliging reviews.
  • Verantwoordelijkheden voor de logische bedrijfsmiddelen
    TVZ_B.02.04De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangsbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Verantwoordelijkheden voor de fysieke bedrijfsmiddelen
    TVZ_B.03.01De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, proceseigenaar, autorisatiebeheerder, CISO en beveiligingsambtenaar (BVA).De rollen binnen de beveiligingsfunctie moeten zijn benoemd
    TVZ_B.03.02De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.Het toegangbeveiligingssysteem wordt periodiek geevalueerd
    TVZ_B.04.01Authenticatie-informatie wordt beschermd door middel van versleuteling.Authenticatie-informatie wordt beschermd door middel van versleuteling
    TVZ_B.04.02Het cryptografiebeleid stelt eisen ten aanzien van:
  • de verantwoordelijkheid voor de implementatie en sleutelbeheer;
  • het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag;
  • de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • Het cryptografiebeleid stelt eisen
    TVZ_B.05.01De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.Positie van beveiligingsorganisatie
    TVZ_B.05.02De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Organisatieschema met de belangrijkste functionarissen
    TVZ_B.05.03De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Toewijzen van verantwoordelijkheden voor de taken van de beveiligingsorganisatie
    TVZ_B.05.04De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
    TVZ_B.05.05De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
    TVZ_B.05.06De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.De frequentie en de eisen voor de inhoudelijke rapportages
    TVZ_B.06.01De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
  • de uniformiteit en flexibiliteit van authenticatie-mechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatie-mechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
  • De technische inrichting van de toegangbeveiliging is vormgegeven op basis van de organisatorische eisen
    TVZ_B.06.02De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur