Beoordeling toegangsrechten

Uit NORA Online
ISOR:Beoordeling toegangsrechten
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm:

  • Het voeren van controle activiteiten op de registratie van toegangsrechten;
  • het uitbrengen van rapportages aan het management.


Criterium

Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.

Doelstelling

Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • De koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.

Risico

Het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.2.5, NEN-ISO/IEC 27002 9.2.5

Onderliggende normen

ID Conformiteitsindicator Stelling Pagina
LTV_C.02.01 toegangsrechten Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02 toegangsrechten Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03 toegangsrechten Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04 toegangsrechten De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05 toegangsrechten De opvolging van bevindingen is gedocumenteerd. De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06 beoordelen Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). Het beoordelen vind plaats op basis van een formeelproces
LTV_C.02.07 beoordelen Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08 beoordelen De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen