Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 2 van 39
Inhoud
1. INLEIDING 5
1.1 CONTEXT TOEGANGBEVEILIGING 5
1.2 DOEL VAN TOEGANGBEVEILIGING 5
1.3 SCOPE EN BEGRENZING VAN TOEGANGBEVEILIGING 5
1.4 GLOBALE SCHEMATISCHE WEERGAVE TOEGANGBEVEILIGING 6
1.5 OPZET THEMA TOEGANGBEVEILIGING 7
1.6 STRUCTUUR VAN HET THEMA TOEGANGBEVEILIGING 8
2. IDENTIFICATIE TOEGANGBEVEILIGING OBJECTEN 10
2.1 DE ORGANISATIE VAN TOEGANGBEVEILIGING OBJECTEN 10
2.1.1 Vaststellen van generieke objecten. 10 2.1.2 Definiëring/omschrijving van generieke objecten. 11
2.2 OBSERVATIE BIJ DE EXERCITIE VAN HET IDENTIFICEREN VAN OBJECTEN UIT ISO 12
2.3 TOEGANGBEVEILIGING OBJECTEN GEPROJECTEERD OP BUC EN GESORTEERD NAAR IFGS 13
2.4 OBJECTEN BINNEN BUC-DOMEINEN EN GERELATEERD AAN SIVA BASISELEMENTEN 14
3. BELEID DOMEIN 15
3.1 DOELSTELLING 15
3.2 RISICO’S 15
3.3 BELEIDSOBJECTEN EN NORMEN 15
B.01 Toegangbeveiliging beleid 16 B.02 Eigenaarschap bedrijfsmiddelen 16 B.03 Beveiligingsfunctie 17 B.04 Cryptografie 17 B.05 Beveiligingsorganisatie 18 B.06 Toegangbeveiliging architectuur 18
4. UITVOERING DOMEIN 20
4.1 DOELSTELLING 20
4.2 RISICO’S 20
4.3 INRICHTINGS- EN BEVEILIGINGSCOMPONENTEN 20
U.01 Registratieprocedure 21 U.02 Toegangverlening procedure 22 U.03 Inlogprocedure 22 U.04 Autorisatieproces 22 U.05 Wachtwoordbeheer 23 U 06Speciale toegangrechten beheer 24 U.07 Functiescheiding 24 U 08Geheime authenticatie-informatie 25 U.09 Autorisatie 25 U.10 Autorisatievoorziening faciliteiten 26 U.11 Fysieke toegangbeveiliging 26
5. CONTROL DOMEIN 28
5.1 DOELSTELLING 28
5.2 5.2 RISICO’S 28
5.3 5.3 CONTROL OBJECTEN EN NORMEN 28
C.01 Beoordelingsrichtlijnen en procedures 28 C.02 Beoordeling toegangrechten 29 C.03 Gebeurtenissen registreren (logging en monitoring) 30 C.04 Beheersorganisatie toegangbeveiliging 31
BIJLAGE 1: GEÏDENTIFICEERDE OBJECTEN INGEDEELD NAAR IFGS AFBEELDING TOEVOEGEN 32
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 3 van 39
BIJLAGE 2: DOELSTELLING EN RISICO PER OBJECT 33
BELEID DOMEIN 33
UITVOERING DOMEIN 34
CONTROL DOMEIN 36
BIJLAGE 3: EEN SCENARIO VOOR TOEGANGBEVEILIGING 37
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 4 van 39
Colofon
Onderwerp : BIO Thema Toegangbeveiliging
Datum : 1-3-2019
Versie : Concept 1.0
Uitgebracht aan : Voorzitter Werkgroep BZK: Henk Wesselink
Directeur: CIP: Ad Reuijl
Documentbeheer BIO Thema Toegangbeveiliging
Naam Organisatie
Jaap van der Veen Belastingdienst
Ton Voogt ICT architects
Wiekram Tewarie UWV/CIP
Rene Reith Provincie Zuid Holland
Paul Coret Hoog Heemraad Delfland
Rob de Lange
Jan Breeman UWV/CIP
Historie en versie
Versie Datum Doel Naam Status
0.1 Initieel CIP document ADR/UWV Werkdocument
0.2 Opzet BIO document Jaap van der Veen, Wiekram Tewarie Werkdocument
0.3 Review Ton Voogt
0.4 Review Rene Reith Werkdocument
0.5 Review Rob de Lange Werkdocument
0.5.1 Review CIP/Domeingroep GN Werkdocument
0.5.7 Review Johan van der Meer Werkdocument
0.6 Review Rene Reith, Rob de Lange, Paul Coret Werkdocument
0.9 Aanpassingen Jaap van der Veen, Wiekram Tewarie Werkdocument
0.91 Aanpassingen Jaap van der Veen, Wiekram Tewarie,
Rene Reith, Paul Coret
Werkdocument
0.93 Aanpassingen Jaap van der Veen, Wiekram Tewarie,
Rene Reith, Paul Coret
Werkdocument
0.94 Aanpassingen Jaap van der Veen, Wiekram Tewarie,
Rene Reith, Paul Coret
Werkdocument
0.96 Aanpassingen Wiekram Tewarie, Jan Breeman Werkdocument
1.0 Conceptversie 1.0 Jan Breeman Concept
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 5 van 39
1. Inleiding
Dit document is een referentiekader voor het thema toegangbeveiliging en is geënt op controls uit
best practices, zoals: SoGP, NIST en Cobit en de BIO (Baseline Informatiebeveiliging Rijk). De
uitwerking is gebaseerd op de ISO 270xx (2013) en de BIO. We hanteren in het vervolg de meer
algemene term ‘Toegangbeveiliging’
1.1 Context toegangbeveiliging
Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en
medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van
cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze
informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data
misbruikt wordt, wat kan leiden tot boetes, imagoschade en klantenverlies.
Toegangbeveiliging omvat logische- en fysieke toegangbeveiliging.
Logische toegangbeveiliging is een geheel van richtlijnen, procedures en beheersingsprocessen en
systemen die noodzakelijk zijn voor het verschaffen van toegang tot
informatiesystemen van een organisatie.
De uitwerking van dit thema is gericht op identificatie, authenticatie en
autorisatie van vaste medewerkers voor systemen die op een bepaalde
locatie staan.
Fysieke toegangbeveiliging is een geheel van richtlijnen, procedures en beheersingsprocessen en
systemen die noodzakelijk zijn voor het verschaffen van fysieke
toegang tot gebouwen en ruimten.
De uitwerking van dit thema is gericht op de fysieke toegang tot het
rekencentrum en bijbehorende gebouwen en terrein.
Hier een figuur,waarin toegang wordt gepositioneerd in de architectuurstack (komt in elk thema terug)
1.2 Doel van toegangbeveiliging
Dit thema is opgesteld om zowel voor de interne als de externe leverancier over een instrument te
laten beschikken gericht op de implementatie van applicaties in de technische omgeving van de
leverancier of van de klant zelf.
Het thema geeft hiermee inzicht in de kwaliteitszorg die de leverancier dient toe te passen, en wat de
klant kan verwachten, bij het opleveren van nieuwe software. Het geeft tegelijkertijd de verplichte
activiteiten weer van de klant. Hiernaast kan het als instrument dienen voor het geven van inzicht in
het beveiliging- en beheersingniveau van de ontwikkel- en onderhoudorganisatie van de leverancier.
1.3 Scope en begrenzing van toegangbeveiliging
Toegangsbeveiliging is gerelateerd aan toegang tot: terreinen, gebouwen en ruimtes, gebruikers,
informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken. In dit document
ligt de focus op toegangsbeveiliging met betrekking tot terreinen, gebouwen en ruimtes (fysieke
toegang), eindgebruikers en informatiesystemen (logische toegang). Specifieke, apparaat gebonden
mechanismen voor toegangbeveiliging, zoals toegang tot besturingssytemen, -netwerken, -mobiele
computers, en telewerken zullen in andere thema’s worden behandeld.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 6 van 39
1.4 Schematische weergave toegangbeveiliging
Toegangbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen en
registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële
elementen van toegangbeveiliging wordt in onderstaande afbeelding weergegeven, waarna deze
elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleid domein,
Uitvoering domein en Control domein. De domeinindeling wordt kort toegelicht in hoofdstuk 4.
Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar
de basiselementen voor de toegang zijn dezelfde.
Beleid domein
Randvoorwaarden Het bewerken en gebruiken van gegevens moet voldoen aan inrichting en
beveiligingsvoorwaarden van de organisatie in de vorm van toegangbeleid.
In het beleid moeten eisen zijn opgenomen, zoals need to know (least privilege),
permission based, detectie, detectie en protectie en functiescheiding. Dit dient de
lagere echelons duidelijk te maken waarom dit beleid uitgevoerd wordt of uitgevoerd
gaat worden.
Uitvoering domein
Actoren De typen actoren zijn ingedeeld in: beschikkende, uitvoerende en
beherende/controlerende actoren.
Beschikkende actoren;
dit zijn directies, (beveiliging-)managers, architecten die beleid en of
architectuur voorschriften ten aanzien van logische toegangvoorziening
uitvaardigen en toezien dat dit beleid en deze voorschriften worden
geïmplementeerd en worden nageleefd.
Uitvoerende actoren;
dit zijn personen of systemen.
Personen zijn medewerkers van een organisatie van wie gegevens op basis van
de toedeling aan een kostenplaats en de door hen te vervullen rollen in een
Doel-systeem
(Applicaties)
Gebruiker
Functie rollen beheer
Accountregistratie
Personeel en Organisatie
Medewerker beheer
Afdeling
Autorisatie-regsitratie
Rollen/Profielen/Taken
Personeelregistratie
PersoneelsysteemAccount
registratiesysteemAutorisatiebeheer-
systeem
Provsio-ning
AutorisatieprocesGebruikers-
beheer
Gegevens-eigenaar
Beleidsdomein (randvoorwaarden)
Beheersingsdomein
Uitvoeringsdomein
Fysieke toegangsbeveiliging Ruimten Gebouwen
Logische toegangsbeveiliging
Afbeelding 1: Weergave van de belangrijkste elementen voor toegangbeveiliging
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 7 van 39
registratiesysteem voor de toegangvoorziening vastgelegd worden.
Systemen raadplegen gegevens of voeren geautoriseerde handelingen uit via
systeemautorisaties.
Beherende/ controlerende actoren;
dit zijn actoren die voor het beheer van de IT-systemen zorgen en hiermee
zorgen zij aangaande logische toegangvoorziening mede voor het in stand
houden van een bepaald niveau van beveiliging.
Richtlijnen Richtlijnen zijn concrete voorschriften en/of aanwijzingen voor de organisatorische,
technische inrichting van het registratiesysteem. Richtlijnen kunnen concretiseringen
van een beleid zijn voor de totale vormgeving van het toegangbeveiligingssysteem.
Procedures Procedures zijn vast omschreven stappen op basis waarvan handelingen moeten
worden uitgevoerd.
Processen Processen betreft het uitvoeren van activiteiten op basis van vooraf vastgestelde
stappen of fasen, die logisch met elkaar samenhangen, om een bepaald
toegangbeheersing-doel te bereiken.
Registratie-
systemen
Een registratiesysteem is een applicatie om toegangprofielen van medewerkers of
systemen, inclusief hun identificatie/authenticatie en autorisatiegegevens vast te
leggen.
Identificatie-
mechanisme
Met identificatiemechanismes kan de identiteit van een medewerker of systeem
worden bepaald.
Authenticatie-
mechanisme
Met authenticatiemechanismes wordt de identiteit waarvoor een medewerker of
systeem zich uitgeeft geverifieerd.
Autorisatie Autorisatie betreft het toekennen van rechten aan actoren (medewerkers, systemen
en processen), met deze rechten krijgen de actoren (via processen) toegang tot
bepaalde gegevens en functies. Autorisatie baseert zich op autorisatieprofielen
waarin gedefinieerd is welke actor toegang heeft tot bepaalde gegevens en functies.
Informatie-
systemen
Een informatiesysteem is een samenhangend geheel van gegevensverwerkende
activiteiten, mensen, opgeslagen kennis, middelen, methoden, procedures,
richtlijnen, afspraken, gegevensverzamelingen, apparatuur, programmatuur,
documentatie, tijd en geld ten behoeve van een geformaliseerde
informatieverzorging op een specifiek gebied.
Informatiesystemen zijn doelsystemen, zoals een applicatie, ten behoeve van de
ondersteuning van primaire processen en waartoe actoren toegang krijgen.
Control domein
Beoordelings-
richtlijnen en
procedures
Voor het evalueren van vastgestelde randvoorwaarden en uitvoeringscomponenten
zijn beoordelingsrichtlijnen vastgesteld.
Toegangbeveiliging behelst het geheel van fysieke, organisatorische en technische maatregelen die
ervoor zorgen dat actoren activiteiten kunnen uitvoeren conform hun functieprofielen. Hiermee wordt
een beveiligd en een beheerst toegangomgeving gecreëerd.
1.5 Opzet thema Toegangbeveiliging
Het thema Toegangbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Objecten
en Structuur.
De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende
criteria zullen worden behandeld (Zie hoofdstuk 7, 8 en 9). De vaststelling en omschrijvingen
van de objecten worden behandeld in hoofdstuk 2.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 8 van 39
De objecten worden vervolgens gestructureerd door middel van een lagenstructuur. Deze
structuur wordt behandeld in hoofdstuk 3. Figuur 2 geeft een globale schets van de gehanteerde
structuur. Details over afleiding van objecten en de gehanteerde structuur wordt geschetst in
het toelichtingdocument; een standaard methodiek waarmee BIO-thema’s worden opgesteld.
Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en
toepassingssystematiek’.
1.6 Structuur van het thema toegangbeveiliging De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij de beoordeling van een
thema, zoals de toegangbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen
(objecten) de omgeving van toegangbeveiliging precies bestaat. Zonder een beeld over de samenhang
tussen de objecten is het moeilijk om de juiste normen uit BIO te selecteren.
Voor de noodzakelijke beeldvorming van de omgeving van toegangbeveiliging hebben we eerst de
relaties van de noodzakelijke onderdelen schematisch, in Figuur 3, weergegeven. De componenten
zijn onderverdeeld in lagen.
Beleid domein
Dit domein bevat algemene conditionele zaken met betrekking tot inrichting van de
Toegangbeveiliging, zoals toegangbeleid. Het bevat ook andere conditionele en rand voorwaardelijke
aspecten die van toepassing zijn op de overige lagen binnen het Uitvoering domein en het Control
domein. Het bevat in het algemeen o.a. de objecten: informatiebeveiliging beleid, encryptie, strategie
en vernieuwing, organisatiestructuur en architectuur.
Uitvoering domein
Dit domein omvat verschillende objecten van de te implementeren maatregel. Deze
implementatieobjecten zijn georganiseerd langs de volgende lagen:
Proces laag - Binnen deze laag zijn vanuit een organisatorische en procedurele invalshoek
componenten vastgelegd. De van belang zijnde componenten zijn: Gebruiker, Rol, Profiel en
Taak. De relatie tussen deze componenten kan gelezen worden als:
- een gebruiker heeft een rol;
- op basis van deze rol wordt zijn/haar profiel bepaald;
- op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar
taak kan uitvoeren.
Toegangvoorzieninglaag – Dit is de laag waarin wordt vastgelegd op basis van welke middelen
gebruikers en beheerders toegang krijgen tot applicaties. Dit wordt vastgelegd in termen van
identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers,
‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangeisen
voldoen.
Applicatielaag - De gebruikersgegevens, de rollen en profielen worden vastgelegd in
registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit
afhankelijk van het type organisatie.
Registratie van:
Personeel
Systemen
Registratie van:
Identiteiten
Rollen en profielen
Autorisaties
Gebruik van:
Toepassingen
(Informatiesystemen)
Uitvoeringsdomein
Logische toegangsbeveiliging
Fysieke toegangsbeveiliging
Ruimten Gebouwen
Beleidsdomein (Randvoorwaarden, o.a
Toegangsbeleid
Control domein
(Beheersingprocessen)
Afbeelding 2: Globale opzet logische en fysieke beveiliging
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 9 van 39
Opslag – Geeft de verschillende registraties weer die onder meer worden gebruikt voor analyse
doeleinden.
Systeemlaag – Binnen deze laag wordt aangegeven dat de identificatie/authenticatie via
workstation wordt aangeboden. Binnen deze omgeving worden ten aanzien van het
accountmanagement bepaalde eisen gesteld.
Control domein
Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangbeveiliging
wordt beheerst en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van
aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn
voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de
beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde
beleid maar ook op implementatie van Toegang zelf. In Figuur 3 wordt de hiervoor uitgelegde
domeinenstructuur geïllustreerd.
Beheerder
Uitvoeringsdomein: Implementatie van Toegangsbeveiliging
Controldomein : Service management processen LTV
uit scope in scope
Network
Services
actief op
Systemen/server
Externe
gebruiker
communicatie via
Identificatie, Authenticatie en Autorisatie
Interne
gebruiker
Toegangsvoor-
zieningslaag
Platformlaag
Netwerk laag
Acc.pw
Provisioning
Proceslaag
Registratie
systeem
Applicatie-
DataRegistratie
data
Middleware/
Dataopslag laag
Applicatielaag
Rollebeheer Autorisatieprofielen Taakrollen
Remote
Toegang
Applicatie
Beleidsdomein : randvoorwaarden en condities
Fysieke laag Fysieke toegang ruimten/gebouwen
Figuur 3: Schematische weergave van de componenten van het logische toegangbeveiliging systeem in een drielagenstructuur
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 10 van 39
2. Identificatie toegangbeveiliging objecten
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden en zijn afgeleid
van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid
en Controleerbaarheid (BIVC). De objecten zijn vervolgens ingedeeld in de drie domeinen: Beleid,
Uitvoering en Control.
Vragen die hierbij een rol hebben gespeeld zijn:
welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij de inrichting
van toegangbeveiliging en wat is de consequentie bij afwezig hiervan?
welke elementen spelen vanuit de optiek van BIVC een rol bij de inrichting van
toegangbeveiliging en wat is de consequentie bij afwezig hiervan?
welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van
toegangbeveiliging en wat is de consequentie bij afwezig hiervan?
2.1 De organisatie van toegangbeveiliging objecten
2.1.1 Vaststellen van generieke objecten.
Onderstaande tabel geeft een overzicht van de initieel vastgestelde ‘Praktijkobjecten en de Generieke
objecten. De blauwe objecten zijn overkoepelend en gelden voor alle, zo niet de meeste thema’s.
Beleid domein
Nr. ISO/BIO Objecten
B.01 9.1.1 Toegangbeleid
B02 8.1.2 Eigendom van bedrijfsmiddelen
B.03 6.1.21 Coördineren van de beveiliging
Uit analyse Toegangbeveiliging organisatie
Uit analyse Toegangbeveiliging architectuur
B.04 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
B.05 Uit analyse Beveiligingsorganisatie
B.06 9.1.1 Toegangbeleid
Uitvoering domein
Nr. ISO/BIO Objecten
U.01 9.2.1 Registratie en afmelden van gebruikers
U.02 9.2.2 Gebruikers toegang verlenen
U.03 9.4.2 Beveiligde inlogprocedure
U.04 Uit analyse Autorisatieproces
U.05 9.4.3 Systeem voor wachtwoordbeheer
U.06 9.2.3 Beheer van speciale toegangrechten
U.07 12.1.4 Functiescheiding
U.08 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers
U.09 9.4.1 Beperken van toegang tot informatie
U.10 Uit analyse Autorisatievoorziening faciliteiten
U.11 11.1.2 Fysieke toegangbeveiliging
Control domein
Nr. ISO/BIO Objecten
C.01 uit analyse Beoordelingsrichtlijnen en procedures
C.02 9.2.5 Beoordeling toegangrechten
C.03 12.4.1 Gebeurtenissen registratie
C.04 Uit analyse Beheersorganisatie toegangbeveiliging
Tabel 1 Overzicht van praktijk objecten uit baselines en de afgeleide generieke objecten.
1 Dit onderwerp is uit ISO 27000 (2013) verwijderd. Vanuit SoGP is dit alsnog in dit kader opgenomen.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 11 van 39
2.1.2 Definiëring/omschrijving van de objecten.
Onderstaande tabel geeft een beschrijving van de geïdentificeerde objecten.
Generieke objecten Omschrijvingen van de gekozen elementen
Beleidsdomein
1. Toegangbeveiliging
beleid
Het resultaat van een besluitvorming waarmee het voor de3 toegangvoorziening
verantwoordelijke (top)management van een organisatie heeft vastgelegd op welke
wijze, in welk tijdsbestek en met welke middelen haar doelstelling bereikt moet worden
en hoe met onzekere factoren moet worden omgegaan.
2. Eigenaarschap
bedrijfsmiddelen
Actoren aan wie bedrijfsmiddelen zijn toegewezen en die verantwoordelijk zijn gesteld
voor classificatie, bescherming, positionering en betrouwbare, beveiligde inrichting
hiervan.
Coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen,
muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in
samenwerking met andere functionarissen (RACI).
3. Beveiligingsfunctie
(SoGP)
Een specialistische functie om de beveiligingsdoelstellingen te bereiken en waaraan een
autoriteit en verantwoordelijkheden zijn gekoppeld voor het – in relatie tot de
beveiliging - coördineren en (laten) verrichten van werkzaamheden.
4. Toegangbeveiliging
organisatie
Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien voor
het beveiligen van toegangvoorzieningen om op doelmatige wijze overeengekomen
toegangbeveiliging doelstellingen te bereiken. Als collectief dragen zij bij aan de
realisatie van de geformuleerde beveiligingdoelstellingen.
5. Toegangbeveiliging
architectuur
Raamwerken of blauwdrukken waarmee wordt aangegeven op welke wijze de
toegangvoorzieningen zijn ingericht, beveiligd en beheerst. Het geeft onder andere aan
hoe gebruikers, vanuit welke locaties, toegang krijgen tot applicaties en technische
componenten.
6. Cryptografie Een coderingstechniek om informatie te beschermen vanuit het oogpunt van
vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.
7. Beveiliging-
organisatie
De organisatie die verantwoordelijk is voor het ondersteunen van het beheer en de
doorontwikkeling van het afsprakenstelsel. De beheerorganisatie controleert of en
bewaakt dat dienstverleners en deelnemers het afsprakenstelsel naleven.
Uitvoeringsdomein
8. Registratieprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen
met betrekking tot het registreren van gebruikers.
9. Toegangverlening
procedure
Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen
met betrekking tot het verlenen van toegang tot bedrijfsmiddelen.
10. Inlogprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen
met betrekking tot het leggen van een verbinding - met een gebruikersnaam en een
wachtwoord - tot een systeem, een netwerk of een afgeschermd deel van een website.
11. Autorisatieproces Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen
met betrekking tot het toekennen van toegangrechten (autorisaties).
12. Wachtwoord beheer Het onderhouden van cq. zorgen voor wachtwoorden.
Wachtwoordbeheer is gerelateerd aan twee aspecten: proces en geheim.
Het aspect proces (beheer) behelst het uitvoeren van met elkaar samenhangen
activiteiten aanzien van het beheer van wachtwoorden.
Het aspect geheim behelst een middel waarmee een gebruiker zich toegang kunnen
verschaffen tot een locatie, systemen en informatie.
13. Speciale
toegangrechten
Het onderhouden van cq. zorgen voor speciale toegangrechten.
Speciale toegangrechten beheer is gerelateerd aan twee aspecten: proces en specifieke
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 12 van 39
beheer recht.
Het aspect proces (beheer) behelst het uitvoeren van activiteiten op basis van vooraf
vastgestelde stappen die logisch met elkaar samenhangen.
Het aspect recht (speciale bevoegdheden) behelst het recht tot het uitvoeren van
specifieke handelingen.
14. Functiescheiding Functiescheiding is een middel om taken en activiteiten binnen bepaalde grenzen te
laten uitvoeren, zodat functionarissen, op basis van rechten/bevoegdheden, niet de
gehele procescyclus kunnen beïnvloeden.
15. Geheime
authenticatie-
informatie
(Identificatie en
Authenticatie)
Identificatie is een middel waarmee een entiteit, aan de hand van een uniek kenmerk
kan aangeven wie hij/zij is (zeggen wie je bent).
Authenticatie is de controle of de entiteit die zich aanmeldt daadwerkelijk de entiteit is
die deze beweert te zijn (het bewijzen wie je ben); dit kan door middel van bijvoorbeeld
een wachtwoord.
NB: Bewust is hier gekozen voor het begrip entiteit, omdat dit zowel kan gaan over
personen als over apparatuur of softwaresystemen
16. Autorisatie Het verlenen van toestemming aan een geauthentiseerde gebruiker om toegang te
krijgen tot een bepaalde dienst om een bepaalde actie uit te voeren
17. Toegangvoorziening
faciliteiten
De technische middelen waarmee ontwerpen passend in architectuur kunnen worden
vormgegeven en waarmee acties, zoals geautomatiseerde tools en of ondersteunende
systemen, effectief kunnen worden ingericht.
18. Fysieke
toegangbeveiliging
Fysiek gecontroleerde toegang van personen met behulp van zoneringmaatregelen.
Control domein
19. Beoordelings-
richtlijnen en
procedures
Richtlijnen geven voorschriften en/of aanwijzingen voor het beoordelen van
beheeractiviteiten.
Procedures geven de handelingen aan, die volgens omschreven stappen moeten worden
uitgevoerd.
20. Beoordeling
toegangrechten
Het onderhouden van cq. zorgen voor de toegangrechten.
Beoordeling toegangrechten is gerelateerd aan twee aspecten: beoordelingsproces en
toegangrechten.
Het aspect beoordelingsproces behelst het uitvoeren van met elkaar samenhangen
activiteiten aanzien van het evalueren van toegangrechten op validiteit of deze nog
voldoen aan de actuele situatie.
Het aspect toegangrechten impliceert een recht om toegang te krijgen, zoals tot een
locatie of systeem.
21. Gebeurtenissen
registreren
(logging en
monitoring)
Het onderhouden van cq. zorgen voor de registratie van gebeurtenissen.
Gebeurtenissen registreren is gerelateerd aan twee aspecten: registratie (loggen) en
bewaken (monitoren).
Het aspect registratie heeft betrekking op handelingen van gebruikers en systemen die
geregistreerd worden in een registratiesysteem voor analyse en controle doeleinden.
Het aspect bewaken van het logische toegangbeveiliging systeem ongeautoriseerde
acties en het analyseren van de geregistreerde acties op onvolkomenheden.
22. Toegangbeveiliging
beheersings-
organisatie
De organisatie die verantwoordelijk is voor het ondersteunen van het beheer en de
doorontwikkeling van het afsprakenstelsel.
De beheerorganisatie controleert of en bewaakt dat dienstverleners en deelnemers het
afsprakenstelsel naleven.
Tabel 2 Overzicht van de definiëring/omschrijving van de geïdentificeerde objecten
2.2 Observatie bij de exercitie van het identificeren van objecten uit ISO
Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig
controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren,
ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 13 van 39
ontwikkelfasen van systeemontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze
fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel
beveiliging controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de
ontwikkelfasen.
2.3 Toegangbeveiliging objecten geprojecteerd op BUC en gesorteerd naar IFGS
Beleid
domein
Nr Objecten Referentie IFGS
B 01 Toegangbeveiligingbeleid ISO27002: 9.1.1 I
B 02 Eigenaarschap bedrijfsmiddelen ISO27002: 8.1.2,
SoGP: PM 1.2
I
B 03 Beveiligingfunctie SoGP F
B.04 Cryptografie ISO27002: 10.1.1,
SoGP: TS 2.2
G
B.05 Beveiligingsorganisatie Additioneel S
B.06 Toegangbeveiliging architectuur Additioneel S
Uitvoering
domein
Nr Objecten Referentie IFGS
U.01 Registratieprocedure ISO27002: 9.2.1 I
U.02 Toegangverlening procedure ISO27002 9.2.2 I
U.03 Inlogprocedures ISO27002: 9.4.2 I
U.04 Autorisatieproces ISO27002: 9.2.6 F
U.05 Wachtwoordbeheer ISO27002: 9.4.3 F
U.06 Speciale toegangrechten beheer ISO27002: 9.2.3 F
U.07 Functiescheiding ISO27002: 6.1.2 F
U.08 Geheime authenticatie-informatie ISO27002: 9.2.4 G
U.09 Autorisatie ISO27002: 9.4.1 G
U.10 Autorisatievoorziening faciliteiten Additioneel S
U.11 Fysieke toegangbeveiliging ISO27002: 11.1.2 F
Control
domein
(beheersing)
Nr Objecten Referentie IFGS
C.01 Beoordelingsprocedure Additioneel I
C.02 Beoordeling toegangrechten ISO27002: 9.2.5 F
C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002: 12.4.1 G
C.04 Beheersingsorganisatie toegangbeveiliging Additioneel S
Tabel 3 Overzicht van toegangbeveiliging objecten ingedeeld naar BUC
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 14 van 39
2.4 Objecten binnen BUC-domeinen vanuit audit-perspectief
Beleid domein
Uitvoering domein
Control domein
Operationeel beleid
Beoordelingsprocedure
Control
domein
Generieke controlobjecten uit BIR 2017 Aanvullende controlobjecten
Proces
Beoordeling toegangs-
rechten (logisch en fysiek)
Intentie Functie Gedrag StructuurDomein
Invals-
hoeken
C.01 C.02
Historie/Events
Gebeurtenissen registrerenC.03
Structuur
Beheersingsorganisatie
Toegangsbeveiliging C.04
Logische en Fysieke toegangsbeveiliging
(Logging en Monitoring)
Operationeelbeleid
Registratieprocedure
Operationeelbeleid
Toegangsverlenings-
procedure
Proces
Wachtwoordenbeheer
Proces
Beheer Speciale
toegangsrechtenUitvoerings-
domein
U.02
Generieke control objecten uit BIR 2017 Aanvullende control objecten
Proces
Autorisatieproces
Intentie Functie Gedrag StructuurDomein
Invals-
hoeken
U.01 U.04
U.05
U.06
Taakvereisten
Functiescheiding U.07
Interactie
Autorisatie U.09
Interactie
Geheime authenticatie-
informatie U.08
Protectie (Barrier)
Fysieke toegangs-
beveiliging U.11
Operationeelbeleid
Inlogprocedure U.03
Faciliteit
Autorisatievoorzienings-
faciliteiten U.10
Logische toegangsbeveiliging
Fysieke toegangsbeveiliging
Generieke beleidobjecten uit ISO/BIO/SoGP/Nist Aanvullende beleidsobjecten
Intentie-invalshoek Structuur-invalshoek
Structuur
Toegangsbeveiligings-organisatie
Functie-invalshoek
Functie
BeveiligingsfunctieInteractie
Cryptografie
Gedrag-invalshoek
Beleid
Toegangsbeveiligings-beleid
Architectuur
Toegangsbeveiligings-architectuur
Eigenaar
Eigenaarschap bedrijfsmiddelen
Beleids-domein
Domein
Invals-hoeken
B.01
B.02
B.03 B.04 B.05
B.06
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 15 van 39
3. Beleid domein
3.1 Doelstelling
De doelstelling van het beleidsdomein is vast te stellen of afdoende randvoorwaarden en condities op
het organisatie- dan wel afdelingsniveau - zijn geschapen om toegangbeveiliging als geheel te doen
functioneren en zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken
(autorisatie) doelstellingen.
In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals
toegangvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden
in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het
autorisatiesysteem moet plaatsvinden.
3.2 Risico’s
Als een door het management uitgevaardigd toegangbeleid ontbreekt, bestaat het risico dat
onvoldoende sturing wordt gegeven aan de veilige inrichting van de toegang tot ICT-voorzieningen en
ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken
van doelstellingen voor toegangbeveiliging.
3.3 Beleidsobjecten en normen
De objecten die uit de BIO in dit domein een rol spelen zijn het toegangvoorziening beleid, de
toegangvoorziening architectuur, de beveiligingfunctie en het eigenaarschap van het
toegangbeveiliging systeem.
Afbeelding 4 geeft een overzicht en de ordening hiervan. Voor de identificatie van de objecten en de
ordening is gebruik gemaakt van IFGS-basiselementen (SIVA).
Beleid
domein
Nr Objecten Referentie
B 01 Toegangbeveiligingsbeleid ISO27002: 9.1.1,
BIO: 9.1.1
B 02 Eigenaarschap bedrijfsmiddelen ISO27002: 8.1.2,
BIO: 8.1.2,
SoGP: PM 1.2
B 03 Beveiligingfunctie SoGP
B.04 Cryptografie ISO27002: 10.1.1
BIO: 10.1.1
SoGP: TS 2.2
B.05 Beveiligingsorganisatie Additioneel
B.06 Toegangbeveiliging architectuur Additioneel
Afbeelding 4: Overzicht van de beleidsobjecten
Generieke beleidobjecten uit ISO/BIR 2017/SoGP/Nist Aanvullende beleidsobjecten
Intentie-invalshoek Structuur-invalshoek
Toegangsbeveiligings-organisatie
Functie-invalshoek
Beveiligingsfunctie Cryptografie
Gedrag-invalshoek
Toegangsbeveiligings-beleid
Toegangsbeveiligings-architectuur
Eigenaarschap bedrijfsmiddelen
Beleids-domein
Domein
Invals-hoeken
B.01
B.02
B.03 B.04 B.05
B.06
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 16 van 39
B.01 Toegangbeveiliging beleid
Het toegangbeveiliging beleid maakt deel uit van het informatiebeveiliging beleid en geeft regels en
voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten
waar ICT middelen zich bevinden en voor toegang tot de informatie en informatie verwerkende
faciliteiten zelf, bijvoorbeeld toegang voor gebruikers tot applicaties en toegang voor beheerders tot
ICT-componenten. Het toegangbeveiliging beleid beschrijft onder andere de manier waarop de
klantorganisatie omgaat met identiteit- en toegangbeheer.
Opgemerkt wordt, dat de control ‘toegangbeveiliging beleid’ niet gaat over een diepgaande
beoordeling van het toegangbeveiliging beleid, maar dat het beleid een redelijke richting dient te
geven voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein.
B.01 Toegangbeveiliging beleid ISO27002: 9
Control Een toegangbeveiliging beleid moet worden vastgesteld, gedocumenteerd
en beoordeeld op basis van bedrijfseisen en informatiebeveiliging eisen.
Conformiteitsindicatoren en Maatregelen
toegang-
beveiliging
beleid
1. Het toegangvoorziening beleid: ISO27002: 9.1.1,
BIO: 9.1.1,
NIST is consistent aan de vigerende wet en regelgeving en het
informatiebeveiliging beleid;
komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen,
vaststellen/goedkeuren, communiceren, implementeren, evalueren en
aanpassen;
stelt eisen voor beheer van toegangrechten in een distributie- en
netwerkomgeving die alle beschikbare verbindingen herkent.
bedrijfseisen 2. Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan
relevante wetgeving en eventuele contractuele verplichtingen. ISO27002: 9.1.1
3. Er zijn standaard gebruikersprofielen met toegangrechten voor
veelvoorkomende rollen in de organisaties. ISO27002: 9.1.1
informatie-
beveiliging
eisen
4. Informatiespreiding en autorisatie tot informatie wordt uitgevoerd op basis
van need-to-know en need-to-use principes. ISO27002: 9.1.1
5. Het autorisatiebeheer is procesmatig ingericht. (zoals aanvragen,
toekennen, controleren, implementeren, intrekken/beëindigen en periodiek
beoordelen).
ISO27002: 9.1.1
B.02 Eigenaarschap bedrijfsmiddelen
Om de toegang tot bedrijfsmiddelen, zoals toegangbeveiligingssysteem en overige fysieke
bedrijfsmiddelen, betrouwbaar in te richten, is het van belang het eigenaarschap van bedrijfsmiddelen
goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan zijn toegekende
verantwoordelijkheid het toegangbeveiliging systeem en conform de hieraan gestelde eisen kan
inrichten.
B.02 Eigenaarschap bedrijfsmiddelen ISO27002: 8,
SoGP: PM1.2
Control Het eigenaarschap en de verantwoordelijkheden voor logische
bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen
moeten zijn vastgelegd.
Conformiteitsindicatoren en Maatregelen
eigenaar-
schap
1. Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke
functionarissen (bijvoorbeeld business manager).
ISO27002: 8.1.2,
BIO 8.1.2,
SoGP: PM1.2
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 17 van 39
2. De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en
mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren
t.a.v. de inrichting van het toegangbeveiliging systeem.
SoGP: PM1.2
verantwoor-
delijkheden
voor
logisch e
bedrijfs-
middelen
3. De eigenaar is verantwoordelijk voor:
het beveiligd inrichten van het toegangbeveiliging systeem;
het onderhouden en het evalueren van het toegangbeveiliging
systeem het identificeren van risico’s ten aanzien van
toegangbeveiliging systeem op basis van Informatie life-cycle;
het ondersteunen van beveiliging reviews.
SoGP: PM1.2
verantwoor-
delijkheden
voor fysieke
bedrijfs-
middelen
4. De eigenaar is verantwoordelijk voor:
het inventariseren van bedrijfsmiddelen;
het definiëren van toegangbeperkingen voor bedrijfsmiddelen en het
uitvoeren van controle hierop op basis van bedrijfsregels en
toegangbeveiliging;
het passend classificeren en beschermen van bedrijfsmiddelen;
het procesmatig verwijderen van bedrijfsmiddelen.
ISO27002: 8.1.2
B.03 Beveiligingsfunctie
De organisatie beschikt over veel middelen en informatie die beveiligd moeten worden. Hiervoor
moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De
functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van
toegangbeveiliging binnen de gehele organisatie, waaronder het toegangbeveiliging systeem.
B.03 Beveiligingsfunctie SoGP
Control Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die
verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de
gehele organisatie.
Conformiteitsindicatoren en Maatregelen
beveiligings-
functie
1. De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken
en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, proceseigenaar,
autorisatiebeheerder en CISO, beveiligingsambtenaar (BVA).
SoGP
2. De functionarissen binnen de beveiligingsfunctie moeten periodiek het
toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van
business initiatieven voor het toegangbeveiligingssysteem.
SoGP
B.04 Cryptografie
Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid,
authenticiteit, onweerlegbaarheid en authenticatie. Voor toegangbeveiliging is het van cruciaal belang
dat geheime authenticatie-informatie, zoals wachtwoorden en PIN-codes, worden beschermd tijdens
de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde
om aan geheime authenticatie-informatie het gewenste vertrouwen te ontlenen. Met dit beleid de
organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v.
versleuteling van gegevens.
B.04 Cryptografie
ISO27002:
10.1.1,
SoGP: TS2.2
Control Ter bescherming van authenticatie-informatie moet een beleid voor het
gebruik van cryptografische beheersmaatregelen worden ontwikkeld en
geïmplementeerd.
Conformiteitsindicatoren en Maatregelen
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 18 van 39
authenticatie
informatie
1. Authenticatie-informatie wordt beschermd door middel van versleuteling
crypto-
grafische
beheers-
maatregelen
2. In het cryptografiebeleid zijn minimaal de volgende onderwerpen
uitgewerkt:
a. het bewaren van geheime authenticatie-informatie tijdens verwerking,
transport en opslag;
b. wie verantwoordelijk is voor de implementatie;
c. wie verantwoordelijk is voor het sleutelbeheer;
d. welke normen als basis dienen voor cryptografie en de wijze waarop
de normen van het forum standaardisatie worden toegepast;
e. de wijze waarop het beschermingsniveau vastgesteld wordt;
f. bij interdepartementale communicatie wordt het beleid centraal
vastgesteld.
BIO: 10.1.1
3. Cryptografische toepassingen voldoen aan passende standaarden.
B.05 Beveiligingsorganisatie
De beveiligingsorganisatie ziet toe op het naleven van het informatiebeveiliging beleid; waar nodig
grijpt de beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen
een beveiligingsorganisatie hierin heeft, wordt vooraf expliciet benoemd en vastgesteld; ook moet
vaststaan hoe de rapporteringlijnen zijn uitgestippeld.
B.05 Beveiligingsorganisatie Additioneel
Control De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin
de organisatorische positie, de taken, verantwoordelijkheden en
bevoegdheden (TVB) van de betrokken functionarissen en de
rapportagelijnen zijn vastgesteld.
Conformiteitsindicatoren en Maatregelen
organisato-
rische positie
1. De beveiligingsorganisatie heeft een formele positie binnen de gehele
organisatie.
functionaris-
sen
2. De belangrijkste functionarissen (stakeholders) voor Beveiligingsorganisatie
zijn benoemd en de relaties tussen hen zijn door middel van een
organisatieschema inzichtelijk gemaakt.
taken,
verantwoor-
delijkheden
en bevoegd-
heden
3. De organisatie heeft de verantwoordelijkheden voor het definiëren,
coördineren en evalueren van de Beveiligingsorganisatie beschreven en
toegewezen aan specifieke functionarissen.
4. De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een
autorisatiematrix.
rapportage-
lijnen
5. De verantwoordings- en rapporteringslijnen tussen de betrokken
functionarissen zijn vastgesteld.
Trust Services
6. De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. Trust Services
B.06 Toegangbeveiliging architectuur
De toegangbeveiliging architectuur is een blauwdruk waarmee wordt aangegeven op welke wijze
gebruikers toegang krijgen tot applicaties en overige ICT-componenten. Een datamodel op het
entiteiten niveau maakt hier onderdeel van uit. Hierbij zijn rollen van gebruikers en beheerders op
basis van een bepaald structuur, zoals RBAC- of ABAC-modellen, beschreven.
Met betrekking tot het ontwerp van de toegang tot applicaties wordt hieronder aandacht besteed aan
een aantal onderwerpen waarmee bij het ontwerp van de toegangbeveiliging architectuur rekening
moet worden gehouden, zoals:
ontwerp van identiteit- en toegangbeheer;
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 19 van 39
inrichting toegangbeheer;
eisen en behoeften ten aanzien van gebruikersidentificatie en –authenticatie;
gebruik van uniforme authenticatie mechanismen;
gebruik van platformaccounts met beperkte rechten;
audit van uitgedeelde autorisaties.
De formuleringen van een hoofdnorm ten aanzien ‘toegangbeveiliging architectuur’ en de bijbehorende
subnormen zijn afgeleid uit andere baselines en beveiligingsrichtlijn zoals Standard of Good practice
(ISF) en NCSC-richtlijnen voor webapplicaties.
B.06 Toegangbeveiliging architectuur Additioneel
Control De organisatie moet op basis van de organisatorische eisen en wensen de
technische inrichting beschreven hebben en in een toegangbeveiliging
architectuur (TBA) vastgelegd.
Conformiteitsindicatoren en Maatregelen
technische
inrichting
1. De technische inrichting van de toegangbeveiliging is op basis van de
organisatorische eisen vorm gegeven aangaande:
de uniformiteit en flexibiliteit van authenticatie mechanismen;
de rechten voor beheeraccounts;
de identificatie- en authenticatie mechanismen om voldoende sterke
wachtwoorden af te dwingen;
autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen
tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
toegang-
beveiliging
architectuur
2. De inrichting van het identiteit- en toegangbeheer is vastgelegd in een
toegangbeveiliging architectuur.
3. De IAA-beveiligingsmaatregelen die hun weerslag hebben in componenten
van de toegangbeveiliging architectuur zijn benoemd en beschreven.
4. De onderlinge samenhang tussen technische componenten (waaronder
infrastructuur, software, toegangvoorzieningen en firewalls) die bij het
gebruiken en onderhouden van toegangbeveiliging systeem zijn betrokken,
zijn benoemd en beschreven.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 20 van 39
4. Uitvoering domein
4.1 Doelstelling
De doelstelling van het uitvoeringsdomein in dit thema is te waarborgen dat de toegang tot terreinen,
ruimten, applicaties en data is ingericht overeenkomstig specifieke beleidsuitgangspunten van de
bedrijfsonderdelen en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld op
basis van het (autorisatie) beleid.
4.2 Risico’s
Wanneer een adequate toegangbeveiliging tot ruimten en informatiefaciliteiten ontbreekt, dan bestaat
het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat
gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.
4.3 Inrichtings- en beveiligingscomponenten
Binnen het Uitvoeringsdomein worden specifieke inrichtings- en beveiligingsobjecten ten aanzien van
toegangbeveiliging beschreven. Per object worden conformiteitsindicatoren en de desbetreffende
implementatie-elementen uitgewerkt.
Binnen het uitvoeringsdomein worden de in onderstaande afbeelding vermelde onderwerpen
uitgewerkt.
Uitvoering
domein
Nr Objecten Referentie
U.01 Registratieprocedure ISO27002: 9.2.1,
BIO: 9.2.1
U.02 Toegangverlening procedure ISO27002: 9.2.2,
BIO: 9.2.2
U.03 Inlogprocedures ISO27002: 9.4.2,
BIO: 9.4.2
U.04 Autorisatieproces ISO27002: 9.2.6,
BIO: 9.2.6
U.05 Wachtwoordbeheer ISO27002: 9.4.3,
BIO: 9.4.3
U.06 Speciale toegangrechten beheer ISO27002: 9.2.3,
BIO: 9.2.3
U.07 Functiescheiding ISO27002: 6.1.2,
BIO: 6.1.2
U.08 Geheime authenticatie-informatie ISO27002: 9.2.4,
BIO: 9.2.4
U.09 Autorisatie ISO27002: 9.4.1,
BIO: 9.4.1
U.10 Autorisatievoorziening faciliteiten Additioneel
U.11 Fysieke toegangbeveiliging ISO27002: 11.1.2,
BIO: 11.1.2
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 21 van 39
U.01 Registratieprocedure
De oorspronkelijke titel in ISO en BIO is: “Registratie en afmelden van gebruikers”. Het onderwerp
“Registratie en afmelden van gebruikers” duidt op het daadwerkelijk registreren en afmelden van
gebruikers. De inhoud van de norm legt feitelijk de nadruk op “Procedures” die bij het registreren en
afmelden noodzakelijk zijn. Vandaar dat nu gekozen is voor de titel: ‘Registratieprocedures’ waarmee
een gecontroleerde toegang voor bevoegde gebruikers worden geboden vanaf het moment van intake,
registratie tot en met de beëindiging. Ze beschrijven dus de gehele levenscyclus van de
gebruikerstoegang. Een onderdeel van de procedures is dat er gebruikers geregistreerd moeten
worden.
Het registreren van gebruikers geldt zowel bij logische als bij fysieke beveiliging. De noodzakelijke
fysieke beveiliging procedure is gericht op zowel interne als externe medewerkers.
Bij uitbestede diensten geldt dat de provider zowel de logische als de fysieke beveiligingsmaatregelen
treft voor de beveiliging van de ICT dienstverlening aan de klant.
U.01 Registratieprocedure ISO27002: 9.2.1,
BIO 9.2.1
Control Een formele registratie en afmeld procedure moet worden geïmplementeerd
om toewijzing van toegangrechten mogelijk te maken.
Conformiteitsindicatoren en Maatregelen
formele
registratie
en afmeld
procedure
1. Er is een sluitende formele registratie- en afmeldprocedure voor alle
gebruikers.
2. Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt
gemotiveerd en vastgelegd door de proceseigenaar.
3. De procedures beschrijven alle fasen van de levenscyclus van de
gebruikerstoegang en de relaties tussen de autorisatieprocessen.
(Van eerste registratie tot en met de beëindiging).
4. De aanvraag van autorisaties op het gebruik van informatiesystemen en de
toegewezen autorisatieniveaus worden gecontroleerd.
toegang-
rechten
5. Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen)
geautoriseerd voor het gebruik van applicaties.
Registratieprocedure
Toegangsverlenings-
procedureWachtwoordenbeheer
Beheer Speciale
toegangsrechtenUitvoerings-
domein
U.02
Generieke controlobjecten uit BIR 2017 Aanvullende controlobjecten
Autorisatieproces
Intentie Functie Gedrag StructuurDomein
Invals-
hoeken
U.01 U.04
U.05
U.06
Functiescheiding U.07
Autorisatie U.09
Geheime authenticatie-
informatie U.08
Fysieke
toegangsbeveiliging U.11
Inlogprocedure U.03
Autorisatievoorzienings-
faciliteiten U.10
Logische toegangsbeveiliging
Fysieke toegangsbeveiliging
Figuur 5: Overzicht van de toegangsbeveiligingsobjecten.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 22 van 39
6. Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-
have principes.
7. Een bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers
slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig
hebben voor de uitoefening van hun taken.
U.02 Toegangverlening procedure
De toegangverlening procedure omvat een subprocedure op basis waarvan toegangrechten voor alle
gebruikers, voor fysieke en logische toegang tot alle systemen en diensten worden toegewezen en of
ingetrokken.
U.02 Toegangverlening procedure ISO27002: 9.2.2,
BIO 9.2.2
Control Een formele Gebruikers Toegangverlening Procedure (GTV) moet worden
geïmplementeerd om toegangrechten voor alle typen gebruikers en voor
alle systemen en diensten toe te wijzen of in te trekken.
Conformiteitsindicatoren en Maatregelen
gebruikers
toegang-
verlening
procedure
1. Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatie
door een bevoegde functionaris.
2. Op basis van een risicoafweging is bepaald waar en op welke wijze
functiescheiding wordt toegepast en welke toegangrechten worden
gegeven.
3. Een actueel mandaatregister is aanwezig, waaruit blijkt welke personen
bevoegdheden hebben voor het verlenen van toegangrechten dan wel
functieprofielen.
U.03 Inlogprocedure
De inlogprocedure omvat het technisch proces waarbij het toegangbeheersysteem checkt of aan de
vereiste inlogeisen wordt voldaan.
U.03 Inlogprocedure ISO27002: 9.4.2,
BIO 9.4.2
Control Als het beleid voor toegangbeveiliging dit vereist, moet toegang tot
systemen en toepassingen worden beheerst met behulp van een beveiligde
inlogprocedure.
Conformiteitsindicatoren en Maatregelen
beveiligde
inlog
procedure
1. Als vanuit een niet-vertrouwde zone toegang wordt verleend naar een
vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor
authenticatie.
2. Voor het verlenen van toegang tot het netwerk door externe leveranciers
wordt vooraf een risicoafweging gemaakt.
3. De risicoafweging bepaalt onder welke voorwaarden de leveranciers
toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn
toegekend.
U.04 Autorisatieproces
De ISO27002 en BIO control 9.2.6. ‘Toegangrechten intrekken of aanpassen’ stelt eisen aan een
autorisatieproces, dat bestaat uit enkele subprocessen zoals: toekennen (of verlenen), verwerken,
intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties
gestructureerd plaatsvinden. Deze subprocessen zijn gerelateerd aan de fasen: instroom, doorstroom
en uitstroom. Deze subprocessen worden verdere in bijlage 3 beschreven.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 23 van 39
U.04 Autorisatieproces ISO27002: 9.2.6,
BIO 9.2.6
Control Een formeel autorisatieproces moet geïmplementeerd zijn voor het
beheersen van de toegangrechten van alle medewerkers en externe
gebruikers tot informatie en informatie verwerkende faciliteiten.
Conformiteitsindicatoren en Maatregelen
formeel
autorisatie-
proces
1. Er is een formeel proces voor het aanvragen, verwerken, intrekken (of
aanpassen), verwijderen en archiveren van autorisaties.
2. Het verwerken van autorisaties wordt uitgevoerd op basis van een formele
autorisatieopdracht van een bevoegd functionaris.
3. De activiteiten met betrekking tot aanvragen, verwerking en afmelden van
het autorisatieverzoek (succes / foutmelding) worden vastgelegd en
gearchiveerd.
4. Door de verantwoordelijke worden periodiek controles op alle uitgegeven
autorisaties uitgevoerd.
toegang-
rechten
5. Bij beëindigen van dienstverband worden toegangrechten tot informatie en
informatie verwerkende faciliteiten ingetrokken.
ISO
6. Wijzigingen in dienstverband moeten corresponderen met de verstrekte
toegangrechten tot fysieke en logische middelen.
ISO
7. Bij wijzigingen in dienstverband moet, in verband met toegangrechten, de
contracten met desbetreffende medewerkers worden aangepast.
ISO
8. Toegangrechten tot informatie en informatie verwerkende bedrijfsmiddelen
en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of
wijzigt afhankelijk van risicofactoren.
ISO
U.05 Wachtwoordbeheer
Wachtwoorden zijn middelen voor het authentiseren van gebruikers en beheerders. Onderstaande
normen zijn gericht op het authentiseren van personen (gebruikers en beheerders). Voor het
authentiseren van systemen die andere systemen/bedrijfsobjecten e.d. benaderen) zijn soms
stringentere eisen noodzakelijk.
U.05 Wachtwoordbeheer ISO27002: 9.4.3,
BIO: 9.4.3
Control Systemen voor wachtwoordbeheer moeten interactief zijn en sterke
wachtwoorden waarborgen.
Conformiteitsindicatoren en Maatregelen
sterke
wacht-
woorden
1. Als geen gebruik wordt gemaakt van 2 factor authenticatie, dan:
is de wachtwoordlengte minimaal 8 posities en complex van
samenstelling;
vervalt vanaf een wachtwoordlengte van 20 posities de
complexiteitseis;
is het aantal inlogpogingen maximaal 10;
is de tijdsduur dat een account wordt geblokkeerd na overschrijding
van het aantal keer foutief inloggen vastgelegd.
2. In situaties waar geen 2-factor authenticatie mogelijk is, wordt minimaal
halfjaarlijks het wachtwoord vernieuwd.
3. Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd (zie ook
NEN/ISO27002: 9.3.1.2).
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 24 van 39
4. Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een
maximale geldigheidsduur van een werkdag en moeten bij het eerste
gebruik worden gewijzigd.
5. Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een
maximale geldigheidsduur van een jaar; daar waar het beleid niet
toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden.
U 06 Speciale toegangrechten beheer
Beheerders hebben voor bepaalde activiteiten speciale systeem bevoegdheden nodig om hun beheer
activiteiten uit te voeren. De activiteiten die met zulke bevoegdheden kunnen worden uitgevoerd,
kunnen diep ingrijpen in het systeem. Daarom moet hier voorzichtig mee om worden gegaan en zijn
hiervoor procedurele maatregelen noodzakelijk.
U.06 Speciale toegangrechten beheer ISO27002: 9.2.3,
BIO: 9.2.3
Control Het toewijzen en het gebruik van speciale toegangrechten moeten worden
beperkt en beheerst.
Conformiteitsindicatoren en Maatregelen
toewijzen 1. Het toewijzen van speciale toegangrechten vindt plaats op basis van risico
afweging, richtlijnen en procedures.
speciale
toegang-
rechten
2. Gebruikers hebben toegang tot speciale toegangrechten voor zover dat voor
de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-
use).
3. Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van
applicaties en beheerfuncties.
beheerst 4. Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal
beoordeeld.
U.07 Functiescheiding
In het autorisatie proces gaat het om zowel taken van verschillende typen eindgebruikers en
beheerders. Het toegangbeleid dient regels en voorschriften te geven voor de organisatorische en
technische inrichting van de toegang tot ICT-voorzieningen, bijvoorbeeld applicatie (gebruikers) en
ICT-componenten (beheerders).
Het toegangvoorziening beleid beschrijft onder andere de manier waarop de organisatie omgaat met
identiteit- en toegangbeheer. De nodige eisen worden gesteld aan functiescheiding om een effectief en
consistent gebruikersbeheer, identificatie, authenticatie en toegangcontrole mechanismen voor heel
de organisatie te waarborgen. Daarvoor worden hieronder de nodige controls en indicatoren vermeld.
U.07 Functiescheiding ISO27002: 6.1.2,
BIO: 6.2.1
Control Conflicterende taken en verantwoordelijkheden moeten worden gescheiden
om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de
bedrijfsmiddelen van de organisatie te verminderen.
Conformiteitsindicatoren en Maatregelen
gescheiden 1. Op basis van risicoafweging wordt bepaald waar en op welke wijze
functiescheiding wordt toegepast en welke toegangrechten worden
gegeven.
2. Niemand in een organisatie of proces mag rechten of bevoegdheden hebben
waarmee de gehele procescyclus te kan worden beïnvloed.
3. Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste
functiescheidingen.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 25 van 39
taken 4. Een scheiding is aangebracht tussen beheertaken en (overige)
gebruikstaken en waarbij onder andere:
gebruikstaken worden uitgevoerd met behulp van
gebruikersaccounts; alleen wanneer is ingelogd als (standaard)
gebruiker met gebruikersnaam en wachtwoord;
beheertaken worden uitgevoerd met behulp van
beheer(ders)accounts; alleen als is aangelogd als beheerder met
gebruikersnaam en wachtwoord;
controletaken worden uitgevoerd door specifieke functionarissen.
verantwoor-
delijkheden
5. Verantwoordelijkheden voor beheer en wijziging van gegevens en
bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen
aan één specifieke (beheerders)rol.
onbedoeld 6. Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde
toegang tot bedrijfsmiddelen wordt waargenomen of wordt voorkomen.
BIO: 6.1.2.1
U 08 Geheime authenticatie-informatie
Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten, wordt gereguleerd
door het toegangmechanisme: gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie
(zoals een wachtwoord). Dit mechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen.
Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie.
De gebruikers behoren hier vertrouwelijk mee om te gaan.
U.08 Geheime authenticatie-informatie ISO27002: 9.2.4,
BIO: 9.2.4
Control Het toewijzen van geheime authenticatie-informatie moet worden beheerst
via een formeel beheersproces.
Conformiteitsindicatoren en Maatregelen
geheime
authenticatie
informatie
1. Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode.
2. Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het
feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld.
3. Bij het interne gebruik van IT- voorzieningen worden gebruikers minimaal
op basis van wachtwoorden geauthentiseerd.
beheers-
proces
4. Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van
gebruikers waarin zij verklaren persoonlijke geheime authenticatie-
informatie geheim te houden.
5. Gebruikers bevestigen en wijzigen na ontvangst de geleverde geheime
(tijdelijke) authenticatie-informatie.
6. Tijdelijke geheime authenticatie-informatie wordt op beveiligde wijze en via
veilige kanalen verstrekt.
7. Geheime authenticatie-informatie is uniek toegekend aan een persoon en
voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van
tekens.
U.09 Autorisatie
Gekozen is voor het object ‘Autorisatie’, omdat dit object beter aansluit op de toegangmechanismen
(identificatie, authenticatie en autorisatie) dan de betiteling ‘Beperking toegang tot informatie’.
Na het ‘identificatie en authenticatie’ proces krijgen gebruikers en beheerders (verdere) specifieke
toegang tot informatiesystemen voor gebruik respectievelijk beheerdoeleinden. Toegangbeperking
wordt gecreëerd door middel van rollen en toegangprofielen welke voortkomen uit het toegangbeleid.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 26 van 39
U.09 Autorisatie ISO27002: 9.4.1,
BIO: 9.4.1
Control Toegang (autorisatie) tot informatie en systeemfuncties (van toepassingen)
moet worden beperkt in overeenstemming met het toegangbeveiliging
beleid.
Conformiteitsindicatoren en Maatregelen
toegang 1. Maatregelen zijn genomen waarmee het fysiek en/of logisch isoleren van
gevoelige informatie wordt gewaarborgd.
informatie 2. Gebruikers kunnen alleen die informatie inzien en verwerken die ze nodig
hebben voor de uitoefening van hun taak.
systeem-
functies
3. Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee
misbruik van rechten wordt voorkomen.
toegang-
beveiliging
beleid
4. Het toegangbeveiliging beleid geeft o.a. aan, dat toegang tot informatie en
tot functies van toepassingssystemen wordt beperkt op basis van juiste
rollen en verantwoordelijkheden.
5. Toegangbeperking is in overeenstemming met het toegangbeveiliging beleid
van de organisatie.
U.10 Autorisatievoorziening faciliteiten
Om autorisatie efficiënt en effectief te kunnen inrichten zijn technische autorisatievoorzieningen, zoals
een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten,
noodzakelijk.
U.10 Autorisatievoorziening faciliteiten Additioneel
Control Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in
aanmerking komende applicaties technische autorisatievoorzieningen, zoals
een personeelsregistratiesysteem, een autorisatie beheersysteem en
autorisatiefaciliteiten, beschikbaar zijn.
Conformiteitsindicatoren en Maatregelen
autorisatie-
voorzie-
ningen
1. Door een verantwoordelijke is formeel vastgesteld welke middelen worden
ingezet binnen het proces autorisatiebeheer.
personeels-
registratie-
systeem
2. Alle interne en externe gebruikers worden vóór de toegang tot de
applicatieomgeving opgenomen in het personeelsinformatiesysteem.
autorisatie
beheer-
systeem
3. Alle natuurlijke personen die gebruik maken van applicaties worden
geregistreerd.
autorisatie-
faciliteiten
4. Iedere applicatie die valt onder het autorisatiebeheer proces heeft
functionaliteit om autorisaties toe te kennen, in te zien en te beheren.
U.11 Fysieke toegangbeveiliging
Fysieke beveiliging kan worden bereikt door het opwerpen van allerlei fysieke barrières rond het
bedrijfsterrein en rond de IT-voorzieningen. Elke barrière creëert zo een beveiligde zone en waarmee
de totale beveiliging wordt versterkt.
Binnen de Huisvesting-IV organisatie moeten beveiligingsniveaus worden gebruikt om gebieden die
IT-voorzieningen bevatten te beschermen. Een beveiligde zone is een gebied binnen een barrière,
zoals muren, of hekken welke alleen met behulp van een toegangpas of via een bemande receptiebalie
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 27 van 39
geopend kan worden. De locatie en sterkte van de barrières worden o.a. bepaald door de resultaten
van de risicoanalyse.
U.11 Fysieke toegangbeveiliging
ISO27002:
11.1.2,
BIO: 11.1.2
Control Beveiligde gebieden moeten worden beschermd door passende
toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel
toegang krijgt.
Conformiteitsindicatoren en Maatregelen
beveiligde
gebieden
1. Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is
slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.
passende
toegang-
beveiliging
2. Aankomst- en vertrektijden van bezoekers worden geregistreerd.
3. Medewerkers, contractanten en externen dragen zichtbare identificatie.
bevoegd
personeel
4. In geval van concrete beveiligingsrisico’s worden waarschuwingen, conform
onderlinge afspraken, verzonden aan relevante collega’s binnen het
beveiligingsdomein van het Rijk.
5. Richtlijn: Protocol uitwisseling van persoonsgerelateerde
beveiligingsinformatie ?????
6. Personeel van externe partijen die ondersteunende diensten verlenen,
wordt voor zover noodzakelijk alleen beperkte toegang verleend tot
beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten;
deze toegang moet worden goedgekeurd en bewaakt.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 28 van 39
5. Control domein
5.1 Doelstelling
De doelstelling van het Control domein is te zorgen dat en/of vast te stellen of:
de toegangbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van
autorisaties;
het juiste beveiligingniveau van de toegangvoorziening wordt gegarandeerd.
Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn
ingericht waarin beheerprocessen zijn vormgegeven.
5.2 5.2 Risico’s
Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de
autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het
naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste
maatregelen worden nageleefd.
5.3 5.3 Control objecten en normen
Het beoordelen van de logische en fysieke toegangrechten van gebruikers richt zich op het naleven
van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf
gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens
de directie vast te stellen of het registratiesysteem betrouwbaar is.
Binnen dit specifieke Control domein zouden de volgende onderwerpen van belang kunnen zijn bij het
beoordelen van gebruikersautorisatie:
Control
domein
(beheersing)
Nr Objecten Referentie
C.01 Beoordelingsrichtlijnen en procedures Additioneel
C.02 Beoordeling toegangrechten ISO27002: 9.2.5,
BIO: 9.2.5
C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002: 12.4.1,
BIO: 12.4.1
C.04 Beheersingsorganisatie toegangbeveiliging Additioneel
Figuur 6: Overzicht van toegangbeveiliging objecten binnen het Control domein
C.01 Beoordelingsrichtlijnen en procedures
De inrichting van de toegangbeveiliging moet beheerst worden. Hiertoe dient periodiek door bepaalde
functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten
dienen ondersteund te worden met procedures en instructies, anders bestaat het risico dat de
resultaten van de controleactiviteiten niet voldoen aan de verwachte eisen. De structuur van de
beheersingsorganisatie geeft de samenhang van de ingerichte processen weer.
Een hoofdnorm en de bijbehorende subnormen worden hieronder vermeld.
Beoordelingsprocedure
Control
domein
Generieke controlobjecten uit BIR 2017 Aanvullende controlobjecten
Beoordeling toegangs-
rechten (logisch en fysiek)
Intentie Functie Gedrag StructuurDomein
Invals-
hoeken
C.01 C.02
Gebeurtenissen registreren
C.03
eheersingsorganisatie
Toegangsbeveiliging C.04
Logische en Fysieke toegangsbeveiliging
(Logging en Monitoring)
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 29 van 39
C.01 Beoordelingsrichtlijnen en procedures Additioneel
Control Om het gebruik van toegangbeveiliging voorzieningen te (kunnen)
controleren moeten procedures te zijn vastgesteld.
Conformiteitsindicatoren en Maatregelen
procedures 1. De organisatie beschikt over procedures voor het controleren van
toegangvoorziening systemen en registraties (log-data).
2. De organisatie beschikt over een beschrijving van de relevante
controleprocessen.
3. De procedures hebben betrekking op controleprocessen die conform een
vastgestelde cyclus zijn ingericht, zoals registratie, statusmeting, bewaking
(monitoring), analyse, rapportage en evaluatie.
4. De procedures schrijven voor dat de resultaten van controleactiviteiten aan
het management gerapporteerd moeten worden om de juiste acties te laten
initiëren.
C.02 Beoordeling toegangrechten
Het is nodig om de (logische en fysieke) toegangrechten van gebruikers regelmatig te beoordelen om
de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen
en wijzigingen van toegangrechten dienen daarom periodiek gecontroleerd te worden, hiertoe dienen
maatregelen te worden getroffen in de vorm van:
Het voeren van controle activiteiten op de registratie van toegangrechten;
het uitbrengen van rapportages aan het management.
Doelstelling
Het vaststellen of:
de autorisaties juist zijn aangebracht in de applicaties;
de wijzigingen en verwijderingen juist zijn uitgevoerd;
de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de
functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbinding
daar aanleiding toe geven.
Risico
Bij het ontbreken van controle op de toegangrechten worden afwijkingen in het autorisatieproces niet
gesignaleerd en kan ongemerkt vervuiling optreden; hierdoor bestaat het risico dat onbevoegden
informatie kunnen inzien en/of manipuleren.
C.02 Beoordeling toegangrechten ISO27002: 9.2.5,
BIO: 9.2.5
Control Eigenaren van bedrijfsmiddelen moeten toegangrechten van gebruikers
regelmatig te beoordelen.
Conformiteitsindicatoren en Maatregelen
toegang-
rechten
1. Alle uitgegeven toegangrechten worden minimaal eenmaal per jaar
beoordeeld.
BIO: 9.2.5
2. Toegangrechten van gebruikers worden na wijzigingen en
functieveranderingen beoordeeld.
ISO27002: 9.2.5
3. Autorisaties voor speciale toegangrechten worden frequenter beoordeeld.
4. De beoordelingsrapportage bevat verbetervoorstellen en wordt
gecommuniceerd met de verantwoordelijken/eigenaren van de systemen
waarin kwetsbaarheden en zwakheden zijn gevonden.
5. De opvolging van bevindingen is gedocumenteerd. BIO: 9.2.5
beoordelen 6. Het beoordelen vind plaats op basis van een formeelproces, zoals: planning,
uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 30 van 39
7. Een functionaris is verantwoordelijke voor het controleren van de
organisatorische- en de technische inrichting van toegangbeveiliging.
8. De taken en verantwoordelijkheden van functionarissen die betrokken zijn
bij het controleproces zijn vastgelegd.
C.03 Gebeurtenissen registreren (logging en monitoring)
Naast het feit dat organisatorische elementen ten aanzien van toegangrechten (rollen) periodiek dient
te worden gecontroleerd, dienen ook de activiteiten van gebruikers periodiek te worden geanalyseerd.
Hiertoe dient gebruik te worden gemaakt van registraties van gebruikersactiviteiten (logging) en dient
tevens regelmatig te worden bewaakt of zich onregelmatigheden in de registraties voordoen
(bewaking). Ook dient periodiek getoetst te worden of de actuele autorisaties nog overeenkomen met
de werkelijke situatie en verder moet het volgende worden beoordeeld:
wijzigingen op autorisaties (vastgelegd in log-bestandeng);
afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).
Doelstelling
Het maakt mogelijk:
eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de
juistheid van de uitgevoerde acties te kunnen vaststellen;
handelingen te herleiden naar individuele personen.
Risico
Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden
vastgesteld wie welke handelingen heeft uitgevoerd.
C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002:
12.4.1,
BIO: 12.4.1 Control Log-bestanden van gebeurtenissen die gebruikersactiviteiten,
uitzonderingen en informatiebeveiliging gebeurtenissen registreren, moeten
worden gemaakt, bewaard en regelmatig te worden beoordeeld.
Conformiteitsindicatoren en Maatregelen
log-
bestanden
1. Een log-regel bevat minimaal:
een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
de gebeurtenis;
zo mogelijk de identiteit van het werkstation of de locatie;
het object waarop de handeling werd uitgevoerd;
het resultaat van de handeling;
de datum en het tijdstip van de gebeurtenis.
2. Een log-regel bevat in geen geval gegevens die de beveiliging kunnen
doorbreken (zoals wachtwoorden, inbelnummers, enz.).
gebruikers-
activiteiten
3. De informatie verwerkende omgeving wordt middels detectievoorzieningen
bewaakt door een SIEM en/of SOC, welke wordt ingezet op basis van een
risico-inschatting en van de aard van de te beschermen gegevens en
informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.
bewaard 4. Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische
kaders gedeeld binnen de overheid middels (geautomatiseerde) threat-
intelligence-sharing mechanismen.
5. De SIEM en/of SOC hebben heldere regels over wanneer een incident aan
het verantwoordelijk management moet worden gerapporteerd.
6. Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de
AVG, een verwerkingsactiviteiten register bijgehouden.
beoordeeld 7. De log-bestanden worden gedurende een overeengekomen periode
bewaard, ten behoeve van toekomstig onderzoek en toegangcontrole.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 31 van 39
C.04 Beheersorganisatie toegangbeveiliging
Voor het adequaat beheersen en beheren van het toegangbeveiliging systeem zou een
beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de
beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn
gepositioneerd.
Doelstelling
Het invullen, coördineren en borgen van de beheersing van het toegangbeveiliging systeem.
Risico
De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiliging systeem niet
optimaal functioneert.
C.04 Beheersorganisatie toegangbeveiliging Additioneel
Control De eigenaar van het toegangbeveiliging systeem en toegangmiddelen moet
een beheersingsorganisatie ingericht hebben waarin de processtructuur, de
taken, verantwoordelijkheden en bevoegdheden van de betrokken
functionarissen zijn vastgesteld.
Conformiteitsindicatoren en Maatregelen
proces-
structuur
1. De samenhang van de processen wordt door middel van een
processtructuur vastgelegd.
functiona-
rissen
2. De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie
zijn benoemd en de relaties tussen hen zijn door middel van een
organisatieschema inzichtelijk gemaakt.
taken,
verantwoor-
delijkheden
en bevoegd-
heden
3. De verantwoordelijkheden voor de beheersprocessen zijn aan een
specifieke functionaris toegewezen en vastgelegd.
4. De taken en verantwoordelijkheden voor de uitvoering van de
beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden
zijn vastgelegd in een autorisatiematrix.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 32 van 39
Bijlage 1: Geïdentificeerde objecten ingedeeld naar IFGS Afbeelding toevoegen
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 33 van 39
Bijlage 2: Doelstelling en risico per object
Beleid domein
B.01 Toegangbeveiliging beleid ISO27002:9.1.1
Control Een beleid voor toegangbeveiliging moet worden vastgesteld, gedocumenteerd en beoordeeld
op basis van bedrijfs- en informatiebeveiliging eisen.
Doelstelling Het beheersen van de toegang tot informatie.
Risico Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare
inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het
inrichten van de beheerorganisatie van de autorisatievoorziening en hierover
verantwoordingrapportage te laten afgeven.
B.02 Eigenaarschap ISO27002,
SoGP PM 1.2
Control Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke
bedrijfsmiddelen) moet zijn vastgelegd.
Doelstelling Het bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem
voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden
ondernomen.
Risico Noodzakelijke beveiligingsacties blijven achterwege.
B.03 Beveiligingsfunctie SoGP: SM 2.1
Control Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor
het bevorderen van toegangbeveiliging binnen de gehele organisatie.
Doelstelling Het bewerkstelligen dat de toegangbeveiliging effectief wordt ingericht.
Risico Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten m.b.t.
toegangbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd, of dat
afwijkingen niet leiden tot corrigerende acties.
B.04 Cryptografie ISO27002: 10.1.1,
BIO: 10.1.1,
SoGP: TS2.2
Control Ter bescherming van authenticatie-informatie moet een beleid voor het gebruik van
cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. (BIO).
Doelstelling Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de
vertrouwelijkheid, authenticiteit en/of integriteit van authenticatie-informatie te beschermen.
Risico Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kunnen
worden, dan is de vertrouwelijkheid en integriteit van data niet data niet te garanderen.
B.05 Beveiligingsorganisatie Additioneel
Control De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de
organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB)
van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
Doelstelling Het invullen, coördineren en borgen van het informatiebeveiliging beleid binnen de
organisatie.
Risico Het informatiebeveiliging beleid komt niet effectief tot uitvoering.
B.06 Toegangvoorziening architectuur Additioneel
Control De organisatie moet op basis van de organisatorische eisen en wensen de technische
inrichting beschreven hebben en in een toegangbeveiliging architectuur (TBA) vastgelegd.
Doelstelling Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten
die een rol spelen bij inrichting- en beheer van het toegangvoorziening domein.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 34 van 39
Risico Onvoldoende inzicht in de technische inrichting en de toegangvoorziening architectuur leidt
tot onvoldoende beheersing van het autorisatie ‘inrichting en beheer’ domein.
Uitvoering domein
U.01 Registratieprocedure ISO27002: 9.2.1,
BIO: 9.2.1
Control Een formele registratie- en afmeldingsprocedure moet worden geïmplementeerd om
toewijzing van toegangrechten mogelijk te maken.
Doelstelling Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en
voorkomen van onbevoegde toegang tot informatiesystemen.
Risico Door het ontbreken van formele procedures voor registraties en afmeldingen kan een
onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat
bewerkingen door onbevoegden plaatsvinden.
U.02 Toegangverlening procedure ISO27002: 9.2.2,
BIO: 9.2.2
Control Een formele Gebruikers Toegang Verlening procedure (GTV) moet worden geïmplementeerd
om toegangrechten voor alle typen gebruikers en voor alle systemen en diensten toe te
wijzen of in te trekken.
Doelstelling Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden.
Risico Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid
over wie welke handelingen mag verrichten.
U.03 Inlogprocedures ISO27002: 9.4.2,
BIO: 9.4.2
Control Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en
toepassingen te worden beheerst door een beveiligde inlogprocedure.
Doelstelling Het voorkomen van niet-geautoriseerde toegang tot bedrijfsinformatie en
informatiesystemen.
Risico Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van
informatiesystemen te voorkomen.
U.04 Autorisatieproces ISO27002: 9.2.6,
BIO: 9.2.6
Control Er moet een formeel autorisatieproces geïmplementeerd zijn voor het beheersen van
toegangrechten van alle medewerkers en externe gebruikers tot informatie en informatie
verwerkende faciliteiten.
Doelstelling Het bewerkstelligen dat enerzijds de integriteit van SOLL en IST wordt bevorderd en
anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.
Risico De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties
krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de
autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.
U.05 Wachtwoorden beheer ISO27002: 9.4.3,
BIO: 9.4.3
Control Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te
waarborgen.
Doelstelling Het bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde)
bedrijfsobjecten krijgen.
Risico Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen
hierdoor schade aan de bedrijfsbelangen veroorzaken.
U.06 Speciale toegangrechten beheer ISO27002: 9.2.3,
BIO: 9.2.3
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 35 van 39
Control Het toewijzen gebruik van speciale toegangrechten moet worden beperkt en beheerst.
Doelstelling Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.
Risico Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen
schade aan de bedrijfsbelangen veroorzaken.
U.07 Functiescheiding ISO27002: 6.1.2,
BIO: 6.1.2
Control Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op
onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te
verminderen.
Doelstelling Het bewerkstelligen dat:
gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen
van de organisatie wordt verminderd;
niemand een gehele procescyclus kan beïnvloeden.
Risico Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een
verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige
taken.
Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of
onopzettelijk wordt gebruikt, gewijzigd of vernietigd.
U.08 Geheime authenticatie-informatie ISO27002: 9.2.4,
BIO: 9.2.4
Control Het toewijzen van geheime authenticatie-informatie moet worden beheerst via een formeel
beheersproces.
Doelstelling Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat
daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het
systeem.
Risico Er kan misbruik van gegevens door onbevoegden worden gemaakt.
U.09 Autorisatie ISO27002: 9.4.1,
BIO: 9.4.1
Control Toegang (autorisatie) tot informatie en systeemfuncties van toepassingen moet worden
beperkt in overeenstemming met het beleid voor toegangbeveiliging.
Doelstelling Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.
Risico Door het niet beperken van toegang tot informatie en functies van toepassingssystemen
kunnen ongewenste wijzigingen in een informatiesysteem worden aangebracht.
U.10 Autorisatievoorziening faciliteiten Additioneel
Control Er moeten technische autorisatievoorzieningen zijn ter ondersteuning van autorisatiebeheer
beschikbaar, een personeelsregistratiesysteem, een autorisatiebeheersysteem,
autorisatiefaciliteiten binnen daartoe in aanmerking komende applicaties.
Doelstelling Het - voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten -
inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren
van gebruikers en autorisaties.
Risico Door het ontbreken van autorisatievoorzieningen is het mogelijk dat vervuiling optreedt bij
het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd,
waardoor onbevoegden toegang hebben tot gegevens.
U.11 Fysieke toegangbeveiliging ISO27002: 11.1.2,
BIO: 11.1.2
Control Beveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor
te zorgen dat alleen bevoegd personeel toegang krijgt.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 36 van 39
Doelstelling Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan
gebouwen of verstoring van informatie plaatsvindt.
Risico Onbevoegden kunnen schade en verstoringen in de computerruimte en aan informatie in de
Huisvesting-IV organisatie teweegbrengen.
Control domein
C.01 Beoordelingsprocedure Additioneel
Control Er moeten procedures te zijn vastgesteld om het gebruik van toegangvoorzieningen te
controleren.
Doelstelling Het bieden van ondersteuning bij het uitvoeren van formele controleactiviteiten.
Risico Onvoldoende mogelijkheden om vast te stellen of de controleactiviteiten gestructureerd
plaatsvinden.
C.02 Beoordeling toegangrechten ISO27002: 9.2.5,
BIO: 9.2.5
Control Eigenaren van bedrijfsmiddelen moeten toegangrechten van gebruikers regelmatig te
beoordelen.
Doelstelling Het vaststellen of:
de autorisaties juist zijn aangebracht in de applicaties;
de wijzigingen en verwijderingen juist zijn uitgevoerd;
de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van
de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en
doelbinding daar aanleiding toe geven.
Risico Het ontbreken van controle op de toegangrechten worden afwijkingen in het
autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat
het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.
C.03 Gebeurtenissen registreren ISO27002: 12.4.1,
BIO: 12.4.1
Control Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en
informatiebeveiliging gebeurtenissen registreren, moeten worden gemaakt, bewaard en
regelmatig te worden beoordeeld.
Doelstelling Het maakt mogelijk:
eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en
achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen,
handelingen te herleiden naar individuele personen.
Risico Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet
worden vastgesteld wie welke handelingen heeft uitgevoerd.
C.04 Beheersingsorganisatie toegangbeveiliging Additioneel
Control De eigenaar van het toegangbeveiligingssysteem en toegangmiddelen moet een
beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken,
verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Doelstelling Invullen, coördineren en borgen van de beheersing van het Toegangbeveiligingssysteem.
Risico De beheersorganisatie is niet effectief ingericht waardoor het Toegangbeveiligingssysteem
niet optimaal functioneert.
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 37 van 39
Bijlage 3: Een scenario voor Toegangbeveiliging
Voor de inrichting en evaluatie van voorzieningen voor toegangbeveiliging, dient de fasering van
figuur 6 te worden gebruikt. Dit geldt zowel interne als externe medewerkers.
Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de
taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de
fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten
regelen.
Tijdens dienstverband (Doorstroom): in deze fase worden werknemers - afhankelijk van hun
functie - via trainingen en opleidingen bewust gemaakt van het omgaan van bedrijfsmiddelen
(o.a. bedrijfsgegevens) en hoe zij om moeten gaan met aspecten aangaande
informatiebeveiliging.
Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor
het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte
bedrijfsmiddelen volgens afgesproken procedure moeten inleveren.
Figuur 7: De relaties tussen de drie fases
Indiensttreding nieuwe medewerkers
Met de verstrekking van de aanstellingsbeschikking komt een medewerker, aangenomen door een
manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangpas (zoals een Rijkspas)
waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke
toegangbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot de logische
ruimtes; oftewel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene
kantoorautomatiseringomgeving, zoals de KA- of de Front-Office omgeving, en specifieke applicaties.
Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke
rechten krijgen.
Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te
voeren als een actieve functionaris; hierbij zijn verschillende afdelingen betrokken zoals:
personeelsafdeling, facilitaire zaken, en ICT afdeling.
Personeelsafdeling,
de personeelsafdeling (ofwel Human Resource Management) zorgt daarbij voor invoering van de
nieuwe medewerker in het personeelsbestand;
Facilitair Bedrijf,
het Facilitair Bedrijf zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een
toegangpas aan (Rijkspas = identificatiemiddel);
Gegevens/proceseigenaar,
de gegevens/proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd
zijn voor uitvoering van welke taken (autorisaties);
ICT-afdeling,
de ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot
benodigde applicaties alsmede het authenticatiemiddel (zoals Rijkspas).
Algemene en specifieke richtlijnen geldend voor:
werknemers en
werkgever
Indienstreding(Instroom)
Specifieke richtlijnen voor: verantwoord laten
functioneren van werknemers,
verantwoord omgaan van bedrijfsmiddelen
Specifieke richtlijnen voor: het beëindigen van het
dienstverband Het inleveren van
bedrijfsmiddelen
Tijdens dienstverband (Doorstroom)
Uitdiensttreding(Uitstroom)
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 38 van 39
Deze stappen staan niet los van elkaar; zij dienen namelijk één gemeenschappelijk doel: Het bieden
van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere
acties vanuit de organisatie voor nodig teneinde de benodigde zaken te regelen om de medewerker in
de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis
moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiliging beleid. Fig.7
geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker.
Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de
medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek
toegangbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een
toegangpas, en een logisch toegangbewijs in de vorm van een account voor toegang tot IV-faciliteiten.
Na het met behulp van de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt
de gebruiker toegang tot applicaties.
Aan het account, het identificatiebewijs van de gebruiker, zijn toegangrechten (autorisaties)
gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft
hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van
Afbeelding 9: Het autorisatieproces
Afbeelding 8: Processtappen en acties bij de indiensttreding (instroom) van een medewerker
1-3-2019
BIO thema Toegangbeveiliging 1.0 Blz.: 39 van 39
wijzigingen van de toeganggegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er
sprake van blokkering van deze gegevens.
De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het
profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer
opgeslagen in het informatiesysteem. Figuur 8 geeft hiervan een overzicht.
Tijdens het dienstverband
Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen op
basis van de bij de indiensttreding verkregen middelen en toegangrechten. Daarvoor moeten fysieke
toegangsystemen, authenticatiesystemen en autorisatiesystemen worden ingericht.
Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een
andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing.
Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het
registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden
gedeactiveerd, de toegangrechten worden aangepast, geblokkeerd of verwijderd.
Uitdiensttreding
Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde
gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van
applicaties moeten worden verwijderd.