Toegangbeveiliging Beleidsdomein
Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Beleid
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.
Meer lezen | ||||||||||||||||
Objecten binnen toegangbeveiliging
De objecten die uit de BIO in dit domein een rol spelen zijn toegangvoorzieningsbeleid, eigenaarschap toegangbeveiligingssysteem, beveiligingfunctie en toegangsvoorzieningsarchitectuur. Onderdstaande figuur geeft een overzicht en de ordening hiervan. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van IFGS basiselementen (SIVA).
Risico
Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de toegang tot ICT voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangbeveiliging.
Doelstelling
De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangbeveiliging als geheel te doen functioneren zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) doelstellingen. In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (bijv.: Toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.
Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect
| ID | principe | Criterium |
|---|---|---|
| LTV_B.01 | Toegangbeveiliging(voorzienings)beleid | Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen. |
| LTV_B.02 | Eigenaarschap van bedrijfsmiddelen | Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd. |
| LTV_B.03 | Beveiligingsfunctie toegangbeveiliging | Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie. |
| LTV_B.04 | Cryptografie bij authenticatie | Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. |
| LTV_B.05 | Beveiligingsorganisatie | De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld. |
| LTV_B.06 | Toegangbeveiliging(voorzienings)architectuur | De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd. |
Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect
| ID | Stelling | Norm |
|---|---|---|
| LTV_B.01.01 | Het Toegangvoorzieningsbeleid:
| Eisen aan het Toegangvoorzieningsbeleid |
| LTV_B.01.02 | Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. | Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen |
| LTV_B.01.03 | Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. | Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen |
| LTV_B.01.04 | Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. | Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes |
| LTV_B.01.05 | Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Het autorisatiebeheer is procesmatig ingericht |
| LTV_B.02.01 | Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). | Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen |
| LTV_B.02.02 | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem. | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit |
| LTV_B.02.03 | De eigenaar is verantwoordelijk voor:
| Verantwoordelijkheidvoor de beveiliging van de logische componenten |
| LTV_B.02.04 | De eigenaar is verantwoordelijk voor:
| Verantwoordelijkheid voor de beveiliging van de fysieke componenten |
| LTV_B.03.01 | De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA). | Eisen aan de rollen binnen de beveiligingsfunctie |
| LTV_B.03.02 | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. | Periodieke evluatie van het toegangbeveiligingssysteem |
| LTV_B.04.01 | Authenticatie-informatie wordt beschermd zijn door middel van versleuteling. | Authenticatie-informatie is versleuteld |
| LTV_B.04.02 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt; f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld. | Uitwerking van het cryptografiebeleid voor authenticatie |
| LTV_B.04.03 | Crypografische toepassingen voldoen aan passende standaarden. | Eisen aan Crypografische toepassingen voldoen aan passende standaarden |
| LTV_B.05.01 | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | Positie van Beveiligingsorganisatie |
| LTV_B.05.02 | De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Organisatieschema met de belangrijkste functionarissen |
| LTV_B.05.03 | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie |
| LTV_B.05.04 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden |
| LTV_B.05.05 | De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. | De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen |
| LTV_B.05.06 | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | De frequentie en de eisen voor de inhoudelijke rapportages |
| LTV_B.06.01 | Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
| Vormgeving van de technische inrichting van de toegangbeveiliging |
| LTV_B.06.02 | De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. | Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur |
| LTV_B.06.03 | De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven. | Het beschrijven van de IAA beveiligingsmaatregelen |
| LTV_B.06.04 | De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven. | Beschrijving van de onderlinge samenhang tussen technische componenten |
