Beoordeling toegangsrechten

Uit NORA Online
ISOR:Beoordeling toegangsrechten
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangsbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm:

  • Het voeren van controle activiteiten op de registratie van toegangsrechten;
  • het uitbrengen van rapportages aan het management.


Criterium

Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.

Doelstelling

Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • De koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.

Risico

Het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.2.5, NEN-ISO/IEC 27002 9.2.5

Onderliggende normen

IDConformiteitsindicatorStellingPagina
LTV_C.02.01toegangsrechtenAlle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02toegangsrechtenToegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld.Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03toegangsrechtenAutorisaties voor speciale toegangsrechten worden vaker beoordeeld.Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04toegangsrechtenDe beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Beoordelingsrapportage bevat vermelding van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05toegangsrechtenDe opvolging van bevindingen is gedocumenteerd.De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06beoordelenHet beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen).Het beoordelen vindt plaats op basis van een formeelproces
LTV_C.02.07beoordelenEen functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging.Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08beoordelenDe taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd.Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd