Toegangsbeveiliging Beleid

Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.

Deze informatie is onderdeel van BIO Thema-uitwerking Toegangsbeveiliging.

Normenkader-aspect
ID:	TBV_B
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:

Meer lezenbewerken

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Doelstellingbewerken

De doelstelling van het beleidsdomein is het identificeren en beschrijven van de conditionele elementen die voorwaardelijk zijn voor het inrichten, beveiligen en beheersen van toegangsbeveiliging. De hierbij van belang zijnde beveiligingsobjecten zijn uitgewerkt in controls en gerelateerde maatregelen.

In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals toegangsvoorziening, applicatie, operating system en netwerk) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders aan, waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.

Risico'sbewerken

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, is het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de toegang tot ICT-voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangsbeveiliging.

Objecten, controls en maatregelen

De onderwerpen die specifiek voor toegangsbeveiliging in het beleidsdomein een rol spelen, zijn vermeld in tabel 1. Is een cel geel gekleurd, dan komt de bijbehorende control voor in de BIO. Betreft het een wit gemarkeerde cel, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking. Tabel 1 geeft ook een overzicht en ordening van objecten naar de invalshoeken Intentie, Functie, Gedrag en Structuur (IFGS).

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspectbewerken

ID	Principe	Criterium
TBV_B.01	Toegangsbeveiligingsbeleid	Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.
TBV_B.02	Inventarislijst en eigenaarschap	De organisatie heeft inzicht en grip op welke informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van verantwoordelijkheden en eigenaren, binnen de organisatie gebruikt worden.
TBV_B.03	Beveiligingsfunctie	Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.
TBV_B.04	Cryptografie	Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.
TBV_B.05	Beveiligingsorganisatie	Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerp-specifieke beleidsregels.
TBV_B.06	Toegangsbeveiligingsarchitectuur	De organisatie behoort met organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspectbewerken

ID	Stelling	Norm
TBV_B.01.01	De regels om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen worden vastgesteld, gedocumenteerd en onderhouden in een toegangsbeveiligingsbeleid.	Eisen aan het Toegangvoorzieningsbeleid
TBV_B.01.02	Bij de bescherming van logische- en fysieke toegang wordt rekening gehouden met relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten.	Aandacht voor wetgeving en verplichtingen
TBV_B.01.03	Er is vastgesteld welke entiteiten welke soort toegang tot informatie en andere gerelateerde bedrijfsmiddelen vereist.	Standaard gebruikersprofielen
TBV_B.01.04	Regels voor informatieverspreiding en -autorisatie, informatiebeveiligingsniveau's en -classificatie zijn vastgesteld, waarbij rekening is gehouden met de 'least privilege', 'need-to-know' en 'need-to-use' principes.	Toepassen van need-to-know en need-to-use principes
TBV_B.01.05	Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).	Het autorisatiebeheer is procesmatig ingericht
TBV_B.01.06	Toegang tot een vertrouwde zone waarin gevoelige overheidsinformatie is opgeslagen, is uitsluitend toegestaan vanaf een apparaat van de organisatie dat voldoet aan de beveiligingseisen of vanuit programmatuur die wordt uitgevoerd binnen een extra beveiligde omgeving.	Toegang tot vertrouwde zones met gevoelige overheidsinformatie uitsluitend via beveiligde apparaten of omgevingen
TBV_B.02.01	Alle informatie en andere gerelateerde bedrijfsmiddelen worden geïdentificeerd en vastgelegd in nauwkeurige, actuele en consistente inventarislijsten, zoals lijsten voor informatie, hardware, software, virtuele machines, faciliteiten, personeel en competenties. Hierbij worden tevens Operationele Technologie (OT), cloud-omgevingen, SaaS-applicaties en andere bedrijfsmiddelen opgenomen die regelmatig zijn verbonden met de netwerkinfrastructuur maar niet onder controle van de organisatie staan.	Inventarisatie van alle bedrijfsmiddelen inclusief OT, cloud en SaaS in actuele en consistente inventarislijsten
TBV_B.02.02	De inventarislijsten worden periodiek beoordeeld en bij wijzigingen bijgewerkt, zodat een betrouwbare basis ontstaat voor risicobeheer, toegangsbeveiliging en de bescherming van kritieke assets.	Periodieke beoordeling en bijwerking van inventarislijsten als basis voor risicobeheer en toegangsbeveiliging
TBV_B.02.03	De bedrijfsmiddelen zijn geclassificeerd in lijn met de classificatie van de informatie die eraan is gerelateerd, zodat de beschermingsmaatregelen consistent zijn met de beveiligingseisen van die informatie.	Classificatie van bedrijfsmiddelen in lijn met de beveiligingseisen van gerelateerde informatie
TBV_B.02.04	Voor elk geïdentificeerd informatie- en gerelateerd bedrijfsmiddel wordt een eigenaar (een persoon of groep) aangewezen die verantwoordelijk is voor het beheer en de beveiliging ervan.	Aanwijzing van eigenaren voor beheer en beveiliging van informatie en bedrijfsmiddelen
TBV_B.02.05	De eigenaar van een bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus en zorgt ervoor dat: het bedrijfsmiddel correct wordt geïnventariseerd en gekoppeld aan ondersteunende componenten; het passend wordt geclassificeerd, beschermd en dat de classificatie periodiek wordt beoordeeld; eisen voor aanvaardbaar gebruik worden vastgesteld; toegangsbeperkingen aansluiten bij de classificatie, doeltreffend zijn en periodiek worden beoordeeld; bedrijfsmiddelen bij verwijdering veilig worden gewist en uit de inventaris worden gehaald; risico's rond het bedrijfsmiddel worden geïdentificeerd en beheerst; ondersteunend personeel wordt begeleid bij het uitvoeren van hun rollen en verantwoordelijkheden.	Verantwoordelijkheden van de eigenaar voor beheer, classificatie, bescherming en risicobeheersing van bedrijfsmiddelen gedurende de levenscyclus
TBV_B.03.01	De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid.	De rollen binnen de beveiligingsfunctie zijn benoemd
TBV_B.03.02	De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van businessinitiatieven voor het toegangsbeveiligingssysteem.	Het toegangbeveiligingssysteem wordt periodiek geevalueerd
TBV_B.04.01	Authenticatie-informatie wordt beschermd door versleuteling.	Authenticatie-informatie wordt beschermd door middel van versleuteling
TBV_B.04.02	De regels voor cryptografie worden vastgelegd in een cryptografiebeleid. In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: Wanneer cryptografie ingezet wordt. Wie verantwoordelijk is voor de implementatie. Wie verantwoordelijk is voor het sleutelbeheer. Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast. De wijze waarop het beschermingsniveau vastgesteld wordt. Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.	Het cryptografiebeleid stelt eisen
TBV_B.04.03	Cryptografische beheersmaatregelen zijn opgenomen in de inventaris van de bedrijfsmiddelen; Voor alle cryptografische beheersmaatregelen is vastgesteld waar ze worden ingezet, wie er voor verantwoordelijk is en hoe ze actueel worden gehouden.	Cryptografische toepassingen
TBV_B.04.04	Cryptografische toepassingen voldoen aan passende standaarden van het Forum Standaardisatie.	Sterkte van de cryptografie
TBV_B.04.05	De sterkte van de cryptografie wordt waar mogelijk gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van de AIVD.	Cryptografische sterkte gebaseerd op actuele adviezen van NCSC en AIVD
TBV_B.05.01	De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.	De beveiligingsorganisatie heeft een formele positie
TBV_B.05.02	De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.	Verantwoordelijkheden zijn beschreven en toegewezen
TBV_B.05.03	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix.	Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd
TBV_B.05.04	De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.	Functionarissen zijn benoemd
TBV_B.05.05	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.	Verantwoordings- en rapportagelijnen zijn vastgesteld
TBV_B.05.06	Eigenaren behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.	Frequentie en eisen voor rapportages
TBV_B.06.01	De technische inrichting van de toegangsbeveiliging is met organisatorische eisen vormgegeven aangaande: de uniformiteit en flexibiliteit van authenticatiemechanismen; de rechten voor beheeraccounts; de identificatie- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen; autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.	De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen
TBV_B.06.02	De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangsbeveiligingsarchitectuur.	Er is een toegangbeveiligingsarchitectuur

Op deze pagina