Toegang IT-diensten en data

Uit NORA Online
ISOR:Toegang tot IT-diensten en data
Ga naar: navigatie, zoeken
Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Omvat processen en middelen voor het toekennen en bewaken van toegangsrechten tot Cloud Service Consumer (CSC)-data en bedrijfsprocessen.

Objecttoelichting

Toegang tot data en bedrijfsprocessen van alle mogelijke gebruikers zowel de CSC als de Cloud Service Provider (CSP) wordt uitsluitend met identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.


Criterium

Gebruikers behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek bevoegd zijn.

Doelstelling

Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen.

Risico

Misbruik en verlies van (gevoelige) gegevens.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.1.2

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_U.10.01 Gebruikers

De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:

  • Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan.
  • Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
CLD_U.10.02 Gebruikers

Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend:

  • tot data met het least privilege-principe;
  • tot data met het need-to-know principe;
  • met multi-factorauthenticatie;
  • verleend tot data en applicatieve functies via technische maatregelen.
CLD_U.10.03 Gebruikers

Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data.

CLD_U.10.04 Bevoegd

Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.

CLD_U.10.05 Bevoegd

Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.