Toegang tot IT-diensten en data

Uit NORA Online
ISOR:Toegang tot IT-diensten en data
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)
ID: Cloud_U.10
Beveiligingsprincipe
Versie: 1.0
Status: Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified): 26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.: 26-2-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
Blauw vierkant kader met daarin in wit de G van Gedrag

Gedrag

Verwante principes

BIO Thema Clouddiensten
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.


Criterium

Gebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.1.2 en 9.4, Cloud Security Alliance (CSA) Identity & Access Management (IAM)

Onderliggende normen

IDConformiteitsindicatorStellingPagina
Cloud_U.10.01gebruikersDe CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
  • technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan;
  • gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) is gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd op basis van functiescheiding. Nood-toegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
Bieden toegang tot bevoegde services, IT-diensten en data
Cloud_U.10.02gebruikersOnder verantwoordelijkheid van de CSP wordt aan beheerders:
  • toegang tot data wordt verleend op basis van het ‘Least Privilege’ principe;
  • toegang tot data wordt verleend op basis van ‘need-to-know’ principe;
  • toegang verleend op basis van multi-factor authenticatie;
  • toegang verleend tot data en applicatieve functies via technische maatregelen.
    		• Verlenen toegang aan beheerders
    Cloud_U.10.03gebruikersAlleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data.Krijgen toegang tot IT-diensten en data
    Cloud_U.10.04bevoegdOnder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toekennen bevoegdheden voor gebruikers via formele procedures
    Cloud_U.10.05bevoegdToegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept.Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren


    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Toegang_tot_IT-diensten_en_data&oldid=42254"