Handreiking

Beleid logische toegangsbeveiliging

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

2

Colofon Naam document

Handreiking Beleid logische toegangsbeveiliging

Versienummer

2.0

Versiedatum

Apri l 2019

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)

Tenzi j anders vermeld, i s dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk

Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende

voorwaarden: Al le rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel

zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te

verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;

3. Publ icaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven

onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voo rzien van de in deze paragraaf

vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van

Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaring

De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan

de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden

of na latigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade

ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aan

De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

http://creativecommons.org/licenses/by-nc-sa/4.0

3

Wijzigingshistorie

Versie Datum Wijziging / Actie

1.0 Jul i 2014

1.0.1 Jul i 2016 Taskforce BID verwijderd, GBA vervangen door BRP en

contactgegevens IBD aangepast

2.0 Apri l 2019 BIO update

Over de IBD De IBD is een gezamenlijk initiatief van a lle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor a lle

Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is

voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij

hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig

kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere

overheidslagen, met vi tale sectoren en met leveranciers. Al le Nederlandse gemeenten kunnen gebruikmaken van de

producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

Leeswijzer Dit product i s een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is

eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor a lle Nederlandse overheden.

Doel Het doel van dit document is een handreiking te bieden voor het opstellen en implementeren van logische

toegangsbeleid. Dit door een beschrijving te geven van logische toegang met daarbij aanwijzingen hoe een gemeente

di t in de praktijk kan uitvoeren.

Doelgroep Dit document is van belang voor het management van de gemeente, de systeemeigenaren, applicatiebeheerders en de

ICT-afdeling.

Relatie met overige producten • Baseline Informatiebeveiliging Overheid (BIO)

• Informatiebeveiligingsbeleid van de gemeente

• Handreiking Toegangsbeleid

• Wachtwoordbeleid

• Logging beleid

• Telewerkbeleid

• Dataclassificatie

• Informatiebeveiligingsbeleid

Verwi jzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)

6.1.2 Scheiding van taken.

9.1.1 Beleid voor toegangsbeveiliging.

4

9.2.1 Registratie en afmelden van gebruikers.

9.2.1.1 Sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties.

9.2.1.2 Gebruik van groepsaccounts is niet toegestaan zonder motivatie en vastlegging.

9.2.2 Gebruikers toegang verlenen.

9.2.2.1 Er i s uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris.

9.2.2.2 Ris icoafweging voor functiescheiding en toegangsrechten.

9.2.2.3 Mandaatregister met bevoegdheden voor het verlenen van toegangsrechten.

9.2.3 Beheren van speciale toegangsrechten.

9.2.3.1 De ui tgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.

9.2.4 Beheer van geheime authenticatie-informatie van gebruikers.

9.2.5 Beoordeling van toegangsrechten van gebruikers.

9.2.5.2 De opvolging van bevindingen is gedocumenteerd en wordt behandeld als beveiligingsincident.

9.2.5.3 Al le uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.

9.2.6 Toegangsrechten intrekken of aanpassen.

9.3.1 Geheime authenticatie-informatie gebruiken.

9.3.1.1 Medewerkers worden ondersteund in het beheren van hun wachtwoorden middels wachtwoordkluis.

9.4.1 Beperking toegang tot informatie.

9.4.1.1 Maatregelen fysiek en/of logisch isoleren van informatie met specifiek belang.

9.4.1.2 Gebruikers kunnen alleen die informatie inzien/verwerken die ze nodig hebben.

9.4.2 Beveiligde inlogprocedures.

9.4.2.1 Toegang vanuit onvertrouwde zone naar vertrouwde zone gebeurd op tweefactor authenticatie.

9.4.2.2 Ris icoafweging voor externe leveranciers voor toegang tot netwerk.

9.4.5 Toegangsbeveiliging op programmabroncode.

11.2.9 ‘Clear desk’- en ‘clear screen’-beleid.

11.2.9.1 Een onbeheerde werkplek in een ongecontroleerde omgeving i s altijd vergrendeld.

11.2.9.2 Automatische schermbeveiliging na 15 minuten inactiviteit.

11.2.9.3 Sessies met een remote desktop worden na 15 minuten inactiviteit vergre ndeld.

11.2.9.4 Systemen die chipcardtoken gebruiken worden bij verwijderen van de token automatisch vergrendeld.

Wat is er veranderd ten opzichte van de BIG?

Er zi jn een aantal verplichte maatregelen bijgekomen: 9.2.1.2, 9.2.2.3, 9.3.1.1, 9.4.2.2

Daarnaast zijn een aantal maatregelen iets strenger opgeschreven.

5

Inhoudsopgave

1. Inleiding .............................................................................................................................. 6 1.1. Het belang van logische toegangsbeveiliging ............................................................................6

2. Logische toegangsbeveiliging............................................................................................. 7 2.1. Definitie .................................................................................................................................7 2.2. Doelstelling ............................................................................................................................7 2.3. Maatregelen...........................................................................................................................8

3. Beleid logische toegangsbeveiliging ................................................................................ 11 3.1. Algemeen ............................................................................................................................. 11 3.2. Controleren .......................................................................................................................... 18 3.3. Checklist logische toegangsbeveiliging ................................................................................... 20

BIJLAGE 1: Voorbeeld beleid logische toegangsbeveiliging gemeente . 22

BIJLAGE 2: Voorbeeld autorisatieprocedure tot ................................ 25

BIJLAGE 3: Voorbeeld procedure ontbreken voldoende functiescheiding ........................... 27

BIJLAGE 4: Voorbeeld overzicht van informatiesystemen ..................................................... 29

BIJLAGE 5: Voorbeeld autorisatieoverzichten ........................................................................ 30

BIJLAGE 6: Voorbeeld autorisatie aanvraagformulier ....................... 33

BIJLAGE 7: Literatuur/bronnen ..........................................................................................