Toegang tot IT-diensten en data

Beveiligingsprincipe
ID:	Cloud_U.10
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.

Criterium

Gebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Uitvoering
valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.1.2 en 9.4, Cloud Security Alliance (CSA) Identity & Access Management (IAM)

Onderliggende normen

ID	Conformiteitsindicator	Stelling
Cloud_U.10.01	gebruikers	De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is. technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan; gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) is gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd op basis van functiescheiding. Nood-toegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
Cloud_U.10.02	gebruikers	Onder verantwoordelijkheid van de CSP wordt aan beheerders: toegang tot data wordt verleend op basis van het ‘Least Privilege’ principe; toegang tot data wordt verleend op basis van ‘need-to-know’ principe; toegang verleend op basis van multi-factor authenticatie; toegang verleend tot data en applicatieve functies via technische maatregelen.
Cloud_U.10.03	gebruikers	Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data.
Cloud_U.10.04	bevoegd	Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.
Cloud_U.10.05	bevoegd	Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept.