Toegangbeveiliging Control

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Control
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.

Meer lezen

BIO Thema Toegangsbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Control objecten

Binnen het Controldomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Toegangsbeveiliging beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Het beoordelen van de logische en fysieke toegangsrechten richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie vast te stellen of het registratiesysteem betrouwbaar is.

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Toegangsbeveiliging. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

ISOR:Toegangsbeveiliging - Voor het Controldomein uitgewerkte Beveiligingsobjecten


Risico

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.

Doelstelling

De doelstelling van het Controldomein is te zorgen dat en/of vast te stellen of:

  • de toegangsbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
  • het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.

Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDprincipeCriterium
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
TVZ_C.01Beoordeling van toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig te beoordelen.
TVZ_C.01Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
TVZ_C.03Beheersorganisatie toegangbeveiligingDe eigenaar van het toegangsbeveiliging systeem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDStellingNorm
LTVZ_C.02.05De SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijk management moet worden gerapporteerd.De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd
LTV_C.03.04Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen.Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.04.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
LTV_C.04.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
LTV_C.04.04De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
TVZ_C.01.01Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
TVZ_C.01.02Toegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld.Toegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld
TVZ_C.01.03Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld.Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld
TVZ_C.02.01Een logregel bevat de vereiste gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (zoals: afleidbaarheid naar natuurlijke persoon, de gebeurtenis, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).Een logregel bevat de vereiste gegevens
TVZ_C.02.02Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.).Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
TVZ_C.02.03De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt door een SIEM en/of SOC, welke wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt door een SIEM en/of SOC
TVZ_C.02.04Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat-intelligence-sharing mechanismen.Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld
TVZ_C.02.06Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteiten register bijgehouden.Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden.
TVZ_C.02.07De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.De logbestanden worden gedurende een overeengekomen periode bewaard
TVZ_C.03.01De samenhang van de processen wordt door middel van een processtructuur vastgelegd.De samenhang van de toegangbeveiligingbeheerprocessen wordt door middel van een processtructuur vastgelegd
TVZ_C.03.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.De belangrijkste functionarissen voor de beheerorganisatie zijn benoemd en inzichtelijk in een organisatieschema
TVZ_C.03.03De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De taken, verantwoordelijkheden en bevoegdheden aangaande de beheerwerkzaamheden zijn beschreven en vastgelegd