Geheime authenticatie-informatie (IA)

Uit NORA Online
ISOR:Geheime authenticatie-informatie (IA)
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangsbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten, wordt gereguleerd door het toegangsmechanisme: gebruikersidentificatie (bijv. useraccount) en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (bijv. password). Dit mechanisme moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen, ontvangen gebruikers authenticatieinformatie. De gebruikers behoren hier vertrouwelijk mee om te gaan.


Criterium

Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.

Doelstelling

Bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem.

Risico

Er kan misbruik van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd door onbevoegden worden gemaakt.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.2.4, NEN-ISO/IEC 27002 9.2.4

Onderliggende normen

IDConformiteitsindicatorStellingPagina
LTV_U.08.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieElke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
LTV_U.08.02authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieBij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel.Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen
LTV_U.08.03authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieBij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.Authenticatie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden
LTV_U.08.04beheersprocesEen onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden.Verplichte geheimhoudingsverklaring van gebruikers als onderdeel van de arbeidsvoorwaarden
LTV_U.08.05beheersprocesGebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen.Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie
LTV_U.08.06beheersprocesTijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt.Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie
LTV_U.08.07beheersprocesGeheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden.Niet gemakkelijk te raden geheime authenticatie-informatie is uniek toegekend aan een persoon