Registratieprocedure

Uit NORA Online
ISOR:Registratieprocedure
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

De oorspronkelijke titel in ISO en BIO is: “Registratie en afmelden van gebruikers”. Het onderwerp “Registratie en afmelden van gebruikers” duidt op het daadwerkelijk registreren en afmelden van gebruikers. De inhoud van de norm legt feitelijk de nadruk op “Procedures” die bij het registreren en afmelden noodzakelijk zijn. Vandaar dat nu gekozen is voor de titel: ‘Registratieprocedures’ waarmee een gecontroleerde toegang voor bevoegde gebruikers worden geboden vanaf het moment van intake, registratie tot en met de beëindiging. Ze beschrijven dus de gehele levenscyclus van de gebruikerstoegang. Een onderdeel van de procedures is dat er gebruikers geregistreerd moeten worden.

Het registreren van gebruikers geldt zowel bij logische als bij fysieke beveiliging. De noodzakelijke fysieke beveiliging procedure is gericht op zowel interne als externe medewerkers.

Bij uitbestede diensten geldt dat de provider zowel de logische als de fysieke beveiligingsmaatregelen treft voor de beveiliging van de ICT-dienstverlening aan de klant.


Criterium

Een formele registratie- en afmeldprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.

Doelstelling

Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.

Risico

Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.2.1

Onderliggende normen

IDConformiteitsindicatorStellingPagina
TVZ_U.01.01formele registratie en afmeldprocedureEr is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (van eerste registratie tot en met de beëindiging).Voor alle gebruikers wordt een sluitende formele registratie- en afmeldprocedure toegepast
TVZ_U.01.02Formele registratie en afmeldprocedureHet gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.Het gebruik van groepsaccounts is - tenzij gemotiveerd en vastgelegd door de proceseigenaar - niet toegestaan
TVZ_U.01.03formele registratie en afmeldprocedureDe aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.De aanvraag van autorisaties en de toegewezen autorisatieniveaus worden gecontroleerd
TVZ_U.01.04toegangsrechtenGebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know en need-to-have principes).Gebruikers worden op basis van juiste functierollen geautoriseerd voor het gebruik van applicaties
TVZ_U.01.05toegangsrechtenEen bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig hebben voor de uitoefening van hun taken.Een bevoegdhedenmatrix is beschikbaar en toegepast voor het toekennen van systeemprivileges