BIO Thema Toegangsbeveiliging - het beleidsdomein
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.
Meer lezen |
Objecten, controls en maatregelen
De objecten die in de BIO in dit domein een rol spelen zijn toegangsbeveiligingsbeleid en cryptografie. Dit zijn de geel gemarkeerde objecten uit afbeelding 4. Afbeelding 4 geeft een overzicht en de ordening van objecten. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst) ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur (IFGS).
Risico
Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de toegang tot ICT-voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangsbeveiliging.
Doelstelling
De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangsbeveiliging als geheel te doen functioneren en zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen)doelstellingen.
In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.
Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect
ID | principe | Criterium |
---|---|---|
TVZ_B.01 | Toegangsbeveiligingsbeleid | Een toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen. |
TVZ_B.02 | Eigenaarschap toegangsbeveiligingssysteem | Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd. |
TVZ_B.03 | Beveiligingsfunctie | Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie. |
TVZ_B.04 | Cryptografie | Ter bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. |
TVZ_B.05 | Beveiligingsorganisatie Toegangsbeveiliging | De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. |
TVZ_B.06 | Toegangsbeveiligingsarchitectuur | De organisatie behoort op basis van de organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd. |
Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect
ID | Stelling | Norm |
---|---|---|
TVZ_B.01.01 | Het toegangvoorzieningsbeleid:
| Eisen aan het Toegangvoorzieningsbeleid |
TVZ_B.01.02 | Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. | Aandacht voor wetgeving en verplichtingen |
TVZ_B.01.03 | Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. | Standaard gebruikersprofielen |
TVZ_B.01.04 | Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes. | Toepassen van need-to-know en need-to-use principes |
TVZ_B.01.05 | Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Het autorisatiebeheer is procesmatig ingericht |
TVZ_B.02.01 | Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers). | Het eigenaarschap is specifiek toegekend |
TVZ_B.02.02 | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem. | De eigenaar beschikt over kennis, middelen, mensen en autoriteit |
TVZ_B.02.03 | De eigenaar is verantwoordelijk voor:
| Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen |
TVZ_B.02.04 | De eigenaar is verantwoordelijk voor:
| Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen |
TVZ_B.03.01 | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid. | De rollen binnen de beveiligingsfunctie zijn benoemd |
TVZ_B.03.02 | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem. | Het toegangbeveiligingssysteem wordt periodiek geevalueerd |
TVZ_B.04.01 | Authenticatie-informatie wordt beschermd door middel van versleuteling. | Authenticatie-informatie wordt beschermd door middel van versleuteling |
TVZ_B.04.02 | Het cryptografiebeleid stelt eisen ten aanzien van:
| Het cryptografiebeleid stelt eisen |
TVZ_B.05.01 | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | De beveiligingsorganisatie heeft een formele positie |
TVZ_B.05.02 | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Verantwoordelijkheden zijn beschreven en toegewezen |
TVZ_B.05.03 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix. | Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd |
TVZ_B.05.04 | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Functionarissen zijn benoemd |
TVZ_B.05.05 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Verantwoordings- en rapportagelijnen zijn vastgesteld |
TVZ_B.05.06 | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Frequentie en eisen voor rapportages |
TVZ_B.06.01 | De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
| De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen |
TVZ_B.06.02 | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. | Er is een toegangbeveiligingsarchitectuur |