Beleid logische toegangsbeveiliging 2 Colofon Naam document Handreiking Beleid logische...

download Beleid logische toegangsbeveiliging 2 Colofon Naam document Handreiking Beleid logische toegangsbeveiliging

of 36

  • date post

    05-Sep-2019
  • Category

    Documents

  • view

    22
  • download

    0

Embed Size (px)

Transcript of Beleid logische toegangsbeveiliging 2 Colofon Naam document Handreiking Beleid logische...

  • Handreiking

    Beleid logische toegangsbeveiliging

    Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

  • 2

    Colofon Naam document

    Handreiking Beleid logische toegangsbeveiliging

    Versienummer

    2.0

    Versiedatum

    Apri l 2019

    Versiebeheer

    Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

    Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)

    Tenzi j anders vermeld, i s dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk

    Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende

    voorwaarden: Al le rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel

    zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

    Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te

    verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

    1. De IBD wordt als bron vermeld;

    2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;

    3. Publ icaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven

    onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

    4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voo rzien van de in deze paragraaf

    vermelde mededeling.

    Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van

    Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

    Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

    Rechten en vrijwaring

    De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan

    de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden

    of na latigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade

    ontstaan door de inhoud van de uitgave of door de toepassing ervan.

    Met dank aan

    De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

    http://creativecommons.org/licenses/by-nc-sa/4.0

  • 3

    Wijzigingshistorie

    Versie Datum Wijziging / Actie

    1.0 Jul i 2014

    1.0.1 Jul i 2016 Taskforce BID verwijderd, GBA vervangen door BRP en

    contactgegevens IBD aangepast

    2.0 Apri l 2019 BIO update

    Over de IBD De IBD is een gezamenlijk initiatief van a lle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor a lle

    Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is

    voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij

    hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig

    kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere

    overheidslagen, met vi tale sectoren en met leveranciers. Al le Nederlandse gemeenten kunnen gebruikmaken van de

    producten en de generieke dienstverlening van de IBD.

    De IBD is ondergebracht bij VNG Realisatie.

    Leeswijzer Dit product i s een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is

    eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor a lle Nederlandse overheden.

    Doel Het doel van dit document is een handreiking te bieden voor het opstellen en implementeren van logische

    toegangsbeleid. Dit door een beschrijving te geven van logische toegang met daarbij aanwijzingen hoe een gemeente

    di t in de praktijk kan uitvoeren.

    Doelgroep Dit document is van belang voor het management van de gemeente, de systeemeigenaren, applicatiebeheerders en de

    ICT-afdeling.

    Relatie met overige producten • Baseline Informatiebeveiliging Overheid (BIO)

    • Informatiebeveiligingsbeleid van de gemeente

    • Handreiking Toegangsbeleid

    • Wachtwoordbeleid

    • Logging beleid

    • Telewerkbeleid

    • Dataclassificatie

    • Informatiebeveiligingsbeleid

    Verwi jzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)

    6.1.2 Scheiding van taken.

    9.1.1 Beleid voor toegangsbeveiliging.

  • 4

    9.2.1 Registratie en afmelden van gebruikers.

    9.2.1.1 Sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties.

    9.2.1.2 Gebruik van groepsaccounts is niet toegestaan zonder motivatie en vastlegging.

    9.2.2 Gebruikers toegang verlenen.

    9.2.2.1 Er i s uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris.

    9.2.2.2 Ris icoafweging voor functiescheiding en toegangsrechten.

    9.2.2.3 Mandaatregister met bevoegdheden voor het verlenen van toegangsrechten.

    9.2.3 Beheren van speciale toegangsrechten.

    9.2.3.1 De ui tgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.

    9.2.4 Beheer van geheime authenticatie-informatie van gebruikers.

    9.2.5 Beoordeling van toegangsrechten van gebruikers.

    9.2.5.2 De opvolging van bevindingen is gedocumenteerd en wordt behandeld als beveiligingsincident.

    9.2.5.3 Al le uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.

    9.2.6 Toegangsrechten intrekken of aanpassen.

    9.3.1 Geheime authenticatie-informatie gebruiken.

    9.3.1.1 Medewerkers worden ondersteund in het beheren van hun wachtwoorden middels wachtwoordkluis.

    9.4.1 Beperking toegang tot informatie.

    9.4.1.1 Maatregelen fysiek en/of logisch isoleren van informatie met specifiek belang.

    9.4.1.2 Gebruikers kunnen alleen die informatie inzien/verwerken die ze nodig hebben.

    9.4.2 Beveiligde inlogprocedures.

    9.4.2.1 Toegang vanuit onvertrouwde zone naar vertrouwde zone gebeurd op tweefactor authenticatie.

    9.4.2.2 Ris icoafweging voor externe leveranciers voor toegang tot netwerk.

    9.4.5 Toegangsbeveiliging op programmabroncode.

    11.2.9 ‘Clear desk’- en ‘clear screen’-beleid.

    11.2.9.1 Een onbeheerde werkplek in een ongecontroleerde omgeving i s altijd vergrendeld.

    11.2.9.2 Automatische schermbeveiliging na 15 minuten inactiviteit.

    11.2.9.3 Sessies met een remote desktop worden na 15 minuten inactiviteit vergre ndeld.

    11.2.9.4 Systemen die chipcardtoken gebruiken worden bij verwijderen van de token automatisch vergrendeld.

    Wat is er veranderd ten opzichte van de BIG?

    Er zi jn een aantal verplichte maatregelen bijgekomen: 9.2.1.2, 9.2.2.3, 9.3.1.1, 9.4.2.2

    Daarnaast zijn een aantal maatregelen iets strenger opgeschreven.

  • 5

    Inhoudsopgave

    1. Inleiding .............................................................................................................................. 6 1.1. Het belang van logische toegangsbeveiliging ............................................................................6

    2. Logische toegangsbeveiliging............................................................................................. 7 2.1. Definitie .................................................................................................................................7 2.2. Doelstelling ............................................................................................................................7 2.3. Maatregelen...........................................................................................................................8

    3. Beleid logische toegangsbeveiliging ................................................................................ 11 3.1. Algemeen ............................................................................................................................. 11 3.2. Controleren .......................................................................................................................... 18 3.3. Checklist logische toegangsbeveiliging ................................................................................... 20

    BIJLAGE 1: Voorbeeld beleid logische toegangsbeveiliging gemeente . 22

    BIJLAGE 2: Voorbeeld autorisatieprocedure tot ................................ 25

    BIJLAGE 3: Voorbeeld procedure ontbreken voldoende functiescheiding ........................... 27

    BIJLAGE 4: Voorbeeld overzicht van informatiesystemen ..................................................... 29

    BIJLAGE 5: Voorbeeld autorisatieoverzichten ........................................................................ 30

    BIJLAGE 6: Voorbeeld autorisatie aanvraagformulier ....................... 33

    BIJLAGE 7: Literatuur/bronnen ..........................................................................................