Toegangsbeveiliging Beleid

Exporteer naar RDF

Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.

Deze informatie is onderdeel van BIO Thema-uitwerking Toegangsbeveiliging.

Normenkader-aspect
ID:	TBV_B
Versie:	2.1
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:

Meer lezen

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangsbeveiliging als geheel te doen functioneren en zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatie)doelstellingen.

In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.

Risico's[bewerken]

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de toegang tot ICT-voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangsbeveiliging.

Objecten, controls en maatregelen

De objecten die in de Baseline Informatiebeveiliging Overheid (BIO) in het beleidsdomein een rol spelen zijn toegangsbeveiligingsbeleid en cryptografie. Dit zijn de geel gemarkeerde objecten uit afbeelding 'Overzicht objecten voor toegangsbeveiliging in het beleidsdomein'.

Overzicht objecten voor toegangsbeveiliging in het beleidsdomein

Deze afbeelding geeft verder een overzicht en de ordening van objecten. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst) ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect[bewerken]

ID	Principe	Criterium
TBV_B.01	Toegangsbeveiligingsbeleid	Een toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
TBV_B.02	Eigenaarschap toegangsbeveiliging	Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.
TBV_B.03	Beveiligingsfunctie	Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.
TBV_B.04	Cryptografie toegangsbeveiliging	Ter bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
TBV_B.05	Beveiligingsorganisatie toegangsbeveiliging	De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
TBV_B.06	Toegangsbeveiligingsarchitectuur	De organisatie behoort met organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect[bewerken]

ID	Stelling	Norm
TBV_B.01.01	Het toegangvoorzieningsbeleid: is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingsbeleid; stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.	Eisen aan het Toegangvoorzieningsbeleid
TBV_B.01.02	Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.	Aandacht voor wetgeving en verplichtingen
TBV_B.01.03	Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties.	Standaard gebruikersprofielen
TBV_B.01.04	Informatiespreiding en autorisatie tot informatie worden uitgevoerd met need-to-know- en need-to-use- principes.	Toepassen van need-to-know en need-to-use principes
TBV_B.01.05	Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).	Het autorisatiebeheer is procesmatig ingericht
TBV_B.02.01	Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).	Het eigenaarschap is specifiek toegekend
TBV_B.02.02	De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.	De eigenaar beschikt over kennis, middelen, mensen en autoriteit
TBV_B.02.03	De eigenaar is verantwoordelijk voor: het identificeren van risico’s voor het toegangsbeveiligingssysteem door een informatielevenscyclus; het beveiligd inrichten van het toegangsbeveiligingssysteem; het onderhouden en het evalueren van het toegangsbeveiligingssysteem; het ondersteunen van beveiligingsreviews.	Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen
TBV_B.02.04	De eigenaar is verantwoordelijk voor: het inventariseren van bedrijfsmiddelen; het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop met bedrijfsregels en toegangsbeveiliging; het passend classificeren en beschermen van bedrijfsmiddelen; het procesmatig verwijderen van bedrijfsmiddelen.	Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen
TBV_B.03.01	De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: Human Resource Management (HRM), Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid.	De rollen binnen de beveiligingsfunctie zijn benoemd
TBV_B.03.02	De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem.	Het toegangbeveiligingssysteem wordt periodiek geevalueerd
TBV_B.04.01	Authenticatie-informatie wordt beschermd door middel van versleuteling.	Authenticatie-informatie wordt beschermd door middel van versleuteling
TBV_B.04.02	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: Wanneer cryptografie ingezet wordt. Wie verantwoordelijk is voor de implementatie. Wie verantwoordelijk is voor het sleutelbeheer. Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast. De wijze waarop het beschermingsniveau vastgesteld wordt. Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.	Het cryptografiebeleid stelt eisen
TBV_B.04.03	Cryptografische toepassingen voldoen aan passende standaarden van het Forum Standaardisatie.	Cryptografische toepassingen
TBV_B.04.04	De sterkte van de cryptografie wordt waar mogelijk gebaseerd op de actuele adviezen van het NCSC.	Sterkte van de cryptografie
TBV_B.05.01	De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.	De beveiligingsorganisatie heeft een formele positie
TBV_B.05.02	De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.	Verantwoordelijkheden zijn beschreven en toegewezen
TBV_B.05.03	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix.	Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd
TBV_B.05.04	De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.	Functionarissen zijn benoemd
TBV_B.05.05	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.	Verantwoordings- en rapportagelijnen zijn vastgesteld
TBV_B.05.06	De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.	Frequentie en eisen voor rapportages
TBV_B.06.01	De technische inrichting van de toegangsbeveiliging is met organisatorische eisen vormgegeven aangaande: de uniformiteit en flexibiliteit van authenticatiemechanismen; de rechten voor beheeraccounts; de identificatie- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen; autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.	De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen
TBV_B.06.02	De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.	Er is een toegangbeveiligingsarchitectuur