Toegangsbeveiliging Uitvoering
Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Toegangsbeveiliging.
| ID: | TBV_U |
|---|---|
| Normenkader-aspect | |
| Versie: | 2.4 |
| Status: | Actueel |
| Indeling | |
| Beveiligingsaspect: |
 |
| Invalshoek: | |
Meer lezenbewerken
- → BIO Thema-uitwerking Toegangsbeveiliging
- → Alle normenkaders
- → Beveiligingsaspecten
- → Invalshoeken
- → ISOR
Doelstellingbewerken
De doelstelling van het uitvoeringsdomein in deze BIO Thema-uitwerking is het zorgen dat de toegang tot terreinen, gebouwen, ruimten, applicaties en data is ingericht volgens de specifieke beleidsuitgangspunten van de organisatie (en/of organisatieonderdelen) en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld met het (autorisatie)beleid.
Risico'sbewerken
Wanneer een adequate toegangsbeveiliging tot terreinen, gebouwen, ruimten en informatiefaciliteiten ontbreekt, is het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.
Objecten, controls en maatregelen
Binnen het uitvoeringsdomein worden specifieke inrichtings- en beveiligingsobjecten over toegangsbeveiliging beschreven. Per object is een control gedefinieerd en zijn conformiteitsindicatoren uitgewerkt. Binnen het uitvoeringsdomein worden de in tabel 2 vermelde objecten uitgewerkt. De rood gemarkeerde objecten komen voor in de BIO. De wit gemarkeerde zijn betrokken uit andere best practices.
Principes uit de BIO Thema Toegangsbeveiliging binnen dit aspectbewerken
| ID | Principe | Criterium |
|---|---|---|
| TBV_U.01 | Registratieprocedure | De volledige levenscyclus van identiteiten (personen en systemen) behoort te worden beheerd. |
| TBV_U.02 | Toegangsverleningsprocedure | Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. |
| TBV_U.03 | Inlogprocedure | Er behoren beveiligde authenticatietechnologieen en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging. |
| TBV_U.04 | Wachtwoordenbeheer | De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt. |
| TBV_U.05 | Speciale toegangsrechtenbeheer | Het toewijzen en het gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd. |
| TBV_U.06 | Functiescheiding | Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden. |
| TBV_U.07 | Autorisatie | De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging. |
| TBV_U.08 | Autorisatievoorzieningen | Voor autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen beschikbaar zijn, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten. |
| TBV_U.09 | Fysieke toegangsbeveiliging | Beveiligde zones behoren te worden beschermd door passende toegangsbeveiligings-maatregelen en toegangspunten. |
Normen uit de BIO Thema Toegangsbeveiliging binnen dit aspectbewerken
| ID | Stelling | Norm |
|---|---|---|
| TBV_U.01.01 | Er is een sluitende formele registratie-, wijzigings- en afmeldprocedure voor het beheren van gebruikersidentificaties. | Een sluitende formele registratie- en afmeldprocedure |
| TBV_U.01.02 | Het gebruiken van groepsaccounts is niet toegestaan, tenzij de proceseigenaar dit motiveert, vastlegt en afstemt met de CISO. | Groepsaccounts niet toegestaan tenzij |
| TBV_U.01.03 | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden geregistreerd, gecontroleerd en goedgekeurd. | Autorisaties worden gecontroleerd |
| TBV_U.01.04 | Gebruikers worden met juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know- en need-to-have-principes). | Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen |
| TBV_U.01.05 | Een bevoegdhedenmatrix is beschikbaar waarmee gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. | Systeemprivileges op basis van een bevoegdhedenmatrix |
| TBV_U.02.01 | De procedure voor het toewijzen of intrekken van fysieke en logische toegangsrechten aan de geauthenticeerde identiteit van een entiteit omvat:
| Uitsluitend toegang na autorisatie |
| TBV_U.02.02 | Het maken en aanpassen van accounts met bijzondere rechten wordt gemonitord. Indien deze wijzigingen ongeautoriseerd zijn, is dit een informatiebeveiligingsincident en wordt als zodanig vastgelegd en afgehandeld. | Risicoafweging voor functiescheiding en toegangsrechten |
| TBV_U.02.03 | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Een risicoafweging bepaalt of dit sneller moet. | Beoordelen van toegangsrechten |
| TBV_U.03.01 |
| Afstemming van authenticatiemechanismen en inlogprocedures op classificatie en minimalisatie van onbevoegde toegang |
| TBV_U.03.02 | Ingeval krachtige verificatie en authenticatie van de identiteit is vereist, behoren andere authenticatiemethoden dan wachtwoorden te worden gebruikt, zoals digitale certificaten, chipkaarten, tokens of biometrische middelen. | Sterke authenticatie met certificaten, chipkaarten, tokens of biometrie bij hoge verificatievereisten |
| TBV_U.03.03 | Voor toegang tot essentiële informatiesystemen wordt multifactorauthenticatie (MFA) toegepast, gebaseerd op een combinatie van meerdere factoren (bijv. kennis, bezit en biometrie). | Multifactorauthenticatie voor toegang tot essentiële informatiesystemen |
| TBV_U.03.04 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden en voor hoelang de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Risicoafweging en registratie van netwerktoegang voor externe leveranciers |
| TBV_U.04.01 | Multi-factorauthenticatie (MFA) wordt toegepast bij het primaire aanloggen op de digitale werkomgeving, bij accounts voor via het internet bereikbare voorzieningen en accounts die beheerrechten hebben en in andere situaties waar uit de risicoanalyse blijkt dat dit een passende oplossing is. MFA wordt toegepast in deze twee vormen:
| Toepassing van MFA in wachtwoordloze en wachtwoordgebonden vormen voor digitale werkomgeving, internetdiensten en beheerdersaccounts |
| TBV_U.04.02 | De organisatie biedt aan alle medewerkers een wachtwoordmanager of vergelijkbare oplossing aan. | Beschikbaarstelling van een wachtwoordmanager voor alle medewerkers |
| TBV_U.04.03 | De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen | Geautomatiseerde afdwinging van wachtwoordeisen |
| TBV_U.05.01 | Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het beleid voor toegangsbeveiliging. | Beheer van speciale toegangsrechten via een autorisatieprocedure conform toegangsbeveiligingsbeleid |
| TBV_U.05.02 |
| Identificatie, beperking en scheiding van speciale toegangsrechten op basis van need-to-know en need-to-use |
| TBV_U.05.03 | De toegewezen of gebruikte speciale bevoegdheden worden in opzet, bestaan en werking minimaal ieder kwartaal beoordeeld. | Kwartaalgewijze beoordeling van toegewezen speciale bevoegdheden in opzet, bestaan en werking |
| TBV_U.06.01 | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. | Scheiding tussen beheertaken en gebruikstaken |
| TBV_U.06.02 | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Eenduidige toewijzing van beheers- en wijzigingsverantwoordelijkheden aan specifieke beheerdersrollen |
| TBV_U.06.03 | Een risicoafweging bepaalt waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. | Risicoafweging als basis voor functiescheiding en toewijzing van toegangsrechten |
| TBV_U.06.04 | Rollen, taken en verantwoordelijkheden zijn vastgesteld volgens gewenste functiescheidingen. | Vastlegging van rollen, taken en verantwoordelijkheden conform functiescheiding |
| TBV_U.07.01 | Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen. | Maatregelen voor fysieke en logische isolatie van informatie met specifiek belang |
| TBV_U.07.02 | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Toegang tot informatie met specifiek belang beperkt tot taakvereisten |
| TBV_U.07.03 | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt met juiste rollen en verantwoordelijkheden. | Toegangsbeveiligingsbeleid voor beperking van toegang via rollen en verantwoordelijkheden |
| TBV_U.08.01 | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Formele vaststelling van ondersteunende middelen voor autorisatiebeheer |
| TBV_U.08.02 | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Registratie van interne en externe gebruikers in het personeelsinformatiesysteem vóór toegangsverlening |
| TBV_U.08.03 | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Registratie van alle natuurlijke personen die gebruik maken van applicaties |
| TBV_U.08.04 | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Functionaliteiten voor toekenning, inzage en beheer van autorisaties per applicatie |
| TBV_U.09.01 | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken |
| TBV_U.09.02 | De aankomst- en vertrektijden van bezoekers worden geregistreerd in een fysiek of elektronisch logboek. | Toegang tot beveiligingszones beperkt tot geautoriseerde personen |
| TBV_U.09.03 | Alle medewerkers, contractanten en andere externen dragen een bepaalde vorm van zichtbare identificatie en stellen onmiddellijk het beveiligingspersoneel op de hoogte als zij bezoekers zonder begeleiding en personen die geen zichtbare identificatie dragen, tegenkomen. | Zichtbare identificatieplicht en meldingsplicht bij onbegeleide of ongeïdentificeerde personen |
| TBV_U.09.04 | In geval van concrete beveiligingsrisico’s worden waarschuwingen, volgens onderlinge afspraken, verzonden aan de relevante collega’s binnen het beveiligingsdomein van de overheid. | Waarschuwingen bij concrete beveiligingsrisico's verzonden aan relevante collega's binnen het overheidsbeveiligingsdomein |
| TBV_U.09.05 | Aan personeel van leveranciers die ondersteunende diensten verlenen wordt alleen indien noodzakelijk, beperkte toegang te worden verleend tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken. Deze toegang behoort te zijn gebaseerd op autorisatie en te worden gemonitord. | Beperkte en gemonitorde toegang voor leverancierspersoneel tot beveiligde gebieden op basis van autorisatie |
| TBV_U.10.01 | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet |
| TBV_U.10.02 | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen |
| TBV_U.10.03 | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd |
| TBV_U.10.04 | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties |
| TBV_U.11.01 | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen |
| TBV_U.11.02 | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Aankomst- en vertrektijden van bezoekers worden geregistreerd |
| TBV_U.11.03 | Medewerkers, contractanten en externen dragen zichtbare identificatie. | Medewerkers en contractanten en externen dragen zichtbare identificatie |
| TBV_U.11.04 | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten |
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
Gewijzigd:
20 maart 2026 12:45:16
Verplichting: Informatief
Beheerregime:
Fase: Ontwikkelfase
28 mei 2018 16:16:55
20 maart 2026 12:45:16
42
Informatief
2 februari 2026
