Toegangsbeveiliging - het control-domein

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Control
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.

Meer lezen

BIO Thema Toegangsbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten, controls en maatregelen

Het beoordelen van de logische en fysieke toegangsrechten richt zich op het naleven van de verplichtingen die voortkomen uit wet- en regelgeving en door de organisatie zelf gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens de directie, vast te stellen of het registratiesysteem betrouwbaar is.
Binnen dit specifieke control-domein zijn de objecten in onderstaande afbeelding van belang bij het beoordelen van gebruikersautorisatie. De blauw gemarkeerde objecten komen voor in de BIO.

”Afbeelding 6: Overzicht toegangsbeveiligingsobjecten in het control-domein”
Afbeelding 6: Overzicht toegangsbeveiligingsobjecten in het control-domein


Risico

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.

Doelstelling

De doelstelling van het control-domein is te zorgen dat en/of vast te stellen of:

  • de toegangsbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties;
  • het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd.

Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDprincipeCriterium
TVZ_C.01Beoordelingsrichtlijnen en proceduresOm het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld.
TVZ_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.
TVZ_C.03Gebeurtenissen registreren (logging en monitoring)Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
TVZ_C.04Beheersorganisatie toegangsbeveiligingDe eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDStellingNorm
TVZ_C.01.01De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data).De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties
TVZ_C.01.02De organisatie beschikt over een beschrijving van de relevante controleprocessen.De organisatie beschikt over een beschrijving van de relevante controleprocessen
TVZ_C.01.03De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie.De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus
TVZ_C.01.04De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren.De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management
TVZ_C.02.01Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
TVZ_C.02.02Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld.Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
TVZ_C.02.03Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld.Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld
TVZ_C.02.04De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden.De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd
TVZ_C.02.05De opvolging van bevindingen is gedocumenteerd.De opvolging van bevindingen is gedocumenteerd.
TVZ_C.02.06Het beoordelen vindt plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.Het beoordelen vind plaats op basis van een formeel proces
TVZ_C.02.07Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging.Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting
TVZ_C.03.01Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).Een log-regel bevat de vereiste gegevens
TVZ_C.03.02Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals: wachtwoorden, inbelnummers enz.).Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
TVZ_C.03.03De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een SIEM en/of SOC, die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd.De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC
TVZ_C.03.04Nieuw ontdekte dreigingen (aanvallen) worden binnen de geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen.Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld
TVZ_C.03.05De SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd.De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd
TVZ_C.03.06Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteitenregister bijgehouden.Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden.
TVZ_C.03.07De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole.De logbestanden worden gedurende een overeengekomen periode bewaard
TVZ_C.04.01De samenhang van de processen wordt met een processtructuur vastgelegd.De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd
TVZ_C.04.02De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
TVZ_C.04.03De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd