Toegangbeveiliging Uitvoeringdomein

Uit NORA Online
ISOR:BIO Thema Toegangsbeveiliging Uitvoering
Ga naar: navigatie, zoeken

Thema Toegangbeveiliging - Overzicht van de objecten in het uitvoeringsdomein

De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Toegangsbeveiliging.

Meer lezen

BIO Thema Toegangsbeveiliging
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Uitvoering objecten en normen

Binnen het Uitvoeringsdomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Toegangsbeveiliging beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Toegangsbeveiliging. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Overzicht van de objecten voor toegangbeveiliging in het Uitvoering domein”

ISOR:Toegangsbeveiliging - Voor het Uitvoeringsdomein uitgewerkte Beveiligingsobjecten

Thema Toegangbeveiliging - Overzicht van de objecten gerelateerd aan SIVA-basiselementen in het Uitvoering domein

Risico

Wanneer een adequate toegangsbeveiliging tot ruimten en informatiefaciliteiten ontbreekt, dan bestaat het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.

Doelstelling

De doelstelling van het uitvoeringsdomein in dit thema is te waarborgen dat de toegang tot terreinen, ruimten, applicaties en data is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld op basis van het (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) beleid.

Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDprincipeCriterium
LTV_U.06Speciale toegangsrechten beheerHet toewijzen en het gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
TVZ_U.01RegistratieprocedureEen formele registratie en afmeldprocedure moet worden geïmplementeerd om toewijzing van 'toegangsrechten mogelijk te maken.
TVZ_U.02Toegangsverlening procedureEen formele gebruikers toegangverleningsprocedure (GTV) moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
TVZ_U.03InlogproceduresAls het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. met behulp van een beveiligde inlogprocedure.
TVZ_U.04AutorisatieprocesEen formeel autorisatieproces moet geïmplementeerd zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.
TVZ_U.05Wachtwoorden beheerSystemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
TVZ_U.07FunctiescheidingConflicterende taken en 'verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
TVZ_U.08Authenticatie-informatieHet toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
TVZ_U.09Autorisatie'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.
TVZ_U.10AutorisatievoorzieningsfaciliteitenTer ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals een personeelsregistratiesysteem, een autorisatiebeheer systeem en autorisatiefaciliteiten beschikbaar zijn.
TVZ_U.11Fysieke toegangbeveiligingBeveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspect

IDStellingNorm
TVZ_U.01.01Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (van eerste registratie tot en met de beëindiging).Voor alle gebruikers wordt een sluitende formele registratie- en afmeldprocedure toegepast
TVZ_U.01.02Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.Het gebruik van groepsaccounts is - tenzij gemotiveerd en vastgelegd door de proceseigenaar - niet toegestaan
TVZ_U.01.03De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.De aanvraag van autorisaties en de toegewezen autorisatieniveaus worden gecontroleerd
TVZ_U.01.04Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties ( need-to-know en need-to-have principes).Gebruikers worden op basis van juiste functierollen geautoriseerd voor het gebruik van applicaties
TVZ_U.01.05Een bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig hebben voor de uitoefening van hun taken.Een bevoegdhedenmatrix is beschikbaar en toegepast voor het toekennen van systeemprivileges
TVZ_U.02.01Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris.Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatie door een bevoegde functionaris
TVZ_U.02.02Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Het toepassen van functiescheiding en toegangsrechten wordt op basis van een risicoafweging bepaald
TVZ_U.02.03Een actueel mandaatregister is aanwezig, waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen.Uit een actueel mandaatregister blijkt wie toegangsrechten en functieprofielen mogen verlenen
TVZ_U.03.01Als vanuit een niet-vertrouwde zone toegang wordt verleend naar een vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..Toegang vanuit een niet naar een wel vertrouwde zone vindt plaats op basis van minimaal 2-factor authenticatie
TVZ_U.03.02Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt.Vooraf aan het verlenen van toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaakt
TVZ_U.03.03De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.Met een risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen
TVZ_U.04.01Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties.Een formeel proces voor het aanvragen, verwerken en archiveren van autorisaties wordt toegepast
TVZ_U.04.02Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris.Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht
TVZ_U.04.03De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd.Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd
TVZ_U.04.04Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatie verwerkende faciliteiten ingetrokken.Bij beëindigen van dienstverband worden de toegangsrechten ingetrokken
TVZ_U.04.05Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.Verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband
TVZ_U.04.06Toegangsrechten tot informatie en informatie verwerkende bedrijfsmiddelen en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren.Afhankelijk van risicofactoren worden toegangsrechten al voor het dienstverband eindigt of wijzigt ingetrokken
TVZ_U.05.01Als geen gebruik wordt gemaakt van 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., dan:
  • is de wachtwoordlengte minimaal 8 posities en complex van samenstelling;
  • vervalt vanaf een wachtwoordlengte van 20 posities de complexiteitseis;
  • is het aantal inlogpogingen maximaal 10;
  • is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen vastgelegd.
Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie
TVZ_U.05.02In situaties waar geen 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd
TVZ_U.06.01Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures.Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures
TVZ_U.06.02Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use).Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken
TVZ_U.06.03Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
TVZ_U.07.01Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast
TVZ_U.07.02Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen.Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen
TVZ_U.07.03Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken.Een scheiding is aangebracht tussen beheertaken en gebruikstaken
TVZ_U.07.04Verantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol.Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol
TVZ_U.07.05Maatregelen zijn getroffen waarmee onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen wordt waargenomen of wordt voorkomen.Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen
TVZ_U.08.01Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
TVZ_U.08.02Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld.Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld
TVZ_U.08.03Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden.Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden
TVZ_U.08.04Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens
TVZ_U.09.01Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak.Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken
TVZ_U.09.02Beheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen.Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen
TVZ_U.09.03Het toegangsbeveiliging beleid geeft o.a. aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden
TVZ_U.09.04Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie.Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie
TVZ_U.10.01Iedere applicatie die valt onder het autorisatiebeheer proces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet
TVZ_U.10.02Alle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen
TVZ_U.10.03Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
TVZ_U.10.04Iedere applicatie die valt onder het autorisatiebeheer proces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties
TVZ_U.11.01Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.Toegang tot beveiligingszones of gebouwen is slechts toegankelijk voor geautoriseerde personen
TVZ_U.11.02Aankomst en vertrektijden van bezoekers worden geregistreerd.Aankomst- en vertrektijden van bezoekers worden geregistreerd
TVZ_U.11.03Medewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..Medewerkers en contractanten en externen dragen zichtbare identificatie
TVZ_U.11.04Personeel van externe partijen die ondersteunende diensten verlenen, wordt voor zover noodzakelijk alleen beperkte toegang verleend tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten; deze toegang moet worden goedgekeurd en bewaakt.Personeel van externe partijen wordt beperkte toegang verleend tot beveiligde gebieden en faciliteiten