Beoordeling toegangsrechten

Uit NORA Online
ISOR:Beoordeling van toegangsrechten
Naar navigatie springen Naar zoeken springen
Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Evaluatie van de mate waarin de actuele toegangsrechten nog valide zijn.

Objecttoelichting

Beoordeling toegangsrechten behelst het proces voor het evalueren van toegangsrechten op validiteit en actualiteit.

Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm van:

  • het voeren van controle-activiteiten op de registratie van toegangsrechten;
  • het uitbrengen van rapportages aan het management.


Criterium

Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.

Doelstelling

Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen over functiescheiding, scheiding van handelingen en doelbinding daar aanleiding toe geven.

Risico

Afwijkingen in het autorisatieproces worden niet gesignaleerd. Ongemerkt treedt er vervuiling op. Onbevoegden zien informatie in en/of manipuleren ze.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.2.5

Onderliggende normen

IDConformiteitsindicatorStelling
TBV_C.02.01 Toegangsrechten

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.

TBV_C.02.02 Toegangsrechten

Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld.

TBV_C.02.03 Toegangsrechten

Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld.

TBV_C.02.04 Toegangsrechten

De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden.

TBV_C.02.05 Toegangsrechten

Ongeautoriseerde afwijkingen op of ongeautoriseerde aanpassingen aan uitgegeven toegangsrechten worden beschouwd als beveiligingsgebeurtenis en als zodanig vastgelegd en afgehandeld.

TBV_C.02.06 Beoordelen

Het beoordelen vindt plaats met een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.

TBV_C.02.07 Beoordelen

Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging.