BIO thema Toegangbeveiliging - Remotion · best practices, zoals: SoGP, NIST en Cobit en de BIO...

BIO thema Toegangbeveiliging

1-3-2019

BIO thema Toegangbeveiliging 1.0 Blz.: 2 van 39

Inhoud

1. INLEIDING 5

1.1 CONTEXT TOEGANGBEVEILIGING 5

1.2 DOEL VAN TOEGANGBEVEILIGING 5

1.3 SCOPE EN BEGRENZING VAN TOEGANGBEVEILIGING 5

1.4 GLOBALE SCHEMATISCHE WEERGAVE TOEGANGBEVEILIGING 6

1.5 OPZET THEMA TOEGANGBEVEILIGING 7

1.6 STRUCTUUR VAN HET THEMA TOEGANGBEVEILIGING 8

2. IDENTIFICATIE TOEGANGBEVEILIGING OBJECTEN 10

2.1 DE ORGANISATIE VAN TOEGANGBEVEILIGING OBJECTEN 10

2.1.1 Vaststellen van generieke objecten. 10 2.1.2 Definiëring/omschrijving van generieke objecten. 11

2.2 OBSERVATIE BIJ DE EXERCITIE VAN HET IDENTIFICEREN VAN OBJECTEN UIT ISO 12

2.3 TOEGANGBEVEILIGING OBJECTEN GEPROJECTEERD OP BUC EN GESORTEERD NAAR IFGS 13

2.4 OBJECTEN BINNEN BUC-DOMEINEN EN GERELATEERD AAN SIVA BASISELEMENTEN 14

3. BELEID DOMEIN 15

3.1 DOELSTELLING 15

3.2 RISICO’S 15

3.3 BELEIDSOBJECTEN EN NORMEN 15

B.01 Toegangbeveiliging beleid 16 B.02 Eigenaarschap bedrijfsmiddelen 16 B.03 Beveiligingsfunctie 17 B.04 Cryptografie 17 B.05 Beveiligingsorganisatie 18 B.06 Toegangbeveiliging architectuur 18

4. UITVOERING DOMEIN 20

4.1 DOELSTELLING 20

4.2 RISICO’S 20

4.3 INRICHTINGS- EN BEVEILIGINGSCOMPONENTEN 20

U.01 Registratieprocedure 21 U.02 Toegangverlening procedure 22 U.03 Inlogprocedure 22 U.04 Autorisatieproces 22 U.05 Wachtwoordbeheer 23 U 06Speciale toegangrechten beheer 24 U.07 Functiescheiding 24 U 08Geheime authenticatie-informatie 25 U.09 Autorisatie 25 U.10 Autorisatievoorziening faciliteiten 26 U.11 Fysieke toegangbeveiliging 26

5. CONTROL DOMEIN 28

5.1 DOELSTELLING 28

5.2 5.2 RISICO’S 28

5.3 5.3 CONTROL OBJECTEN EN NORMEN 28

C.01 Beoordelingsrichtlijnen en procedures 28 C.02 Beoordeling toegangrechten 29 C.03 Gebeurtenissen registreren (logging en monitoring) 30 C.04 Beheersorganisatie toegangbeveiliging 31

BIJLAGE 1: GEÏDENTIFICEERDE OBJECTEN INGEDEELD NAAR IFGS AFBEELDING TOEVOEGEN 32

1-3-2019


BIJLAGE 2: DOELSTELLING EN RISICO PER OBJECT 33

BELEID DOMEIN 33

UITVOERING DOMEIN 34

CONTROL DOMEIN 36

BIJLAGE 3: EEN SCENARIO VOOR TOEGANGBEVEILIGING 37

1-3-2019


Colofon

Onderwerp : BIO Thema Toegangbeveiliging

Datum : 1-3-2019

Versie : Concept 1.0

Uitgebracht aan : Voorzitter Werkgroep BZK: Henk Wesselink

Directeur: CIP: Ad Reuijl

Documentbeheer BIO Thema Toegangbeveiliging

Naam Organisatie

Jaap van der Veen Belastingdienst

Ton Voogt ICT architects

Wiekram Tewarie UWV/CIP

Rene Reith Provincie Zuid Holland

Paul Coret Hoog Heemraad Delfland

Rob de Lange

Jan Breeman UWV/CIP

Historie en versie

Versie Datum Doel Naam Status

0.1 Initieel CIP document ADR/UWV Werkdocument

0.2 Opzet BIO document Jaap van der Veen, Wiekram Tewarie Werkdocument

0.3 Review Ton Voogt

0.4 Review Rene Reith Werkdocument

0.5 Review Rob de Lange Werkdocument

0.5.1 Review CIP/Domeingroep GN Werkdocument

0.5.7 Review Johan van der Meer Werkdocument

0.6 Review Rene Reith, Rob de Lange, Paul Coret Werkdocument

0.9 Aanpassingen Jaap van der Veen, Wiekram Tewarie Werkdocument

0.91 Aanpassingen Jaap van der Veen, Wiekram Tewarie,

Rene Reith, Paul Coret

Werkdocument



Werkdocument



Werkdocument

0.96 Aanpassingen Wiekram Tewarie, Jan Breeman Werkdocument

1.0 Conceptversie 1.0 Jan Breeman Concept

1-3-2019


1. Inleiding

Dit document is een referentiekader voor het thema toegangbeveiliging en is geënt op controls uit

best practices, zoals: SoGP, NIST en Cobit en de BIO (Baseline Informatiebeveiliging Rijk). De

uitwerking is gebaseerd op de ISO 270xx (2013) en de BIO. We hanteren in het vervolg de meer

algemene term ‘Toegangbeveiliging’

1.1 Context toegangbeveiliging

Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en

medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van

cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze

informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data

misbruikt wordt, wat kan leiden tot boetes, imagoschade en klantenverlies.

Toegangbeveiliging omvat logische- en fysieke toegangbeveiliging.

Logische toegangbeveiliging is een geheel van richtlijnen, procedures en beheersingsprocessen en

systemen die noodzakelijk zijn voor het verschaffen van toegang tot

informatiesystemen van een organisatie.

De uitwerking van dit thema is gericht op identificatie, authenticatie en

autorisatie van vaste medewerkers voor systemen die op een bepaalde

locatie staan.

Fysieke toegangbeveiliging is een geheel van richtlijnen, procedures en beheersingsprocessen en

systemen die noodzakelijk zijn voor het verschaffen van fysieke

toegang tot gebouwen en ruimten.

De uitwerking van dit thema is gericht op de fysieke toegang tot het

rekencentrum en bijbehorende gebouwen en terrein.

Hier een figuur,waarin toegang wordt gepositioneerd in de architectuurstack (komt in elk thema terug)

1.2 Doel van toegangbeveiliging

Dit thema is opgesteld om zowel voor de interne als de externe leverancier over een instrument te

laten beschikken gericht op de implementatie van applicaties in de technische omgeving van de

leverancier of van de klant zelf.

Het thema geeft hiermee inzicht in de kwaliteitszorg die de leverancier dient toe te passen, en wat de

klant kan verwachten, bij het opleveren van nieuwe software. Het geeft tegelijkertijd de verplichte

activiteiten weer van de klant. Hiernaast kan het als instrument dienen voor het geven van inzicht in

het beveiliging- en beheersingniveau van de ontwikkelen onderhoudorganisatie van de leverancier.

1.3 Scope en begrenzing van toegangbeveiliging

Toegangsbeveiliging is gerelateerd aan toegang tot: terreinen, gebouwen en ruimtes, gebruikers,

informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken. In dit document

ligt de focus op toegangsbeveiliging met betrekking tot terreinen, gebouwen en ruimtes (fysieke

toegang), eindgebruikers en informatiesystemen (logische toegang). Specifieke, apparaat gebonden

mechanismen voor toegangbeveiliging, zoals toegang tot besturingssytemen, -netwerken, -mobiele

computers, en telewerken zullen in andere thema’s worden behandeld.

1-3-2019


1.4 Schematische weergave toegangbeveiliging

Toegangbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen en

registratiesystemen ten behoeve van het betrouwbaar gebruik van informatiesystemen. De essentiële

elementen van toegangbeveiliging wordt in onderstaande afbeelding weergegeven, waarna deze

elementen voor de duidelijkheid kort worden toegelicht op basis van de driedeling: Beleid domein,

Uitvoering domein en Control domein. De domeinindeling wordt kort toegelicht in hoofdstuk 4.

Moderne, gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar

de basiselementen voor de toegang zijn dezelfde.

Beleid domein

Randvoorwaarden Het bewerken en gebruiken van gegevens moet voldoen aan inrichting en

beveiligingsvoorwaarden van de organisatie in de vorm van toegangbeleid.

In het beleid moeten eisen zijn opgenomen, zoals need to know (least privilege),

permission based, detectie, detectie en protectie en functiescheiding. Dit dient de

lagere echelons duidelijk te maken waarom dit beleid uitgevoerd wordt of uitgevoerd

gaat worden.

Uitvoering domein

Actoren De typen actoren zijn ingedeeld in: beschikkende, uitvoerende en

beherende/controlerende actoren.

Beschikkende actoren;

dit zijn directies, (beveiliging-)managers, architecten die beleid en of

architectuur voorschriften ten aanzien van logische toegangvoorziening

uitvaardigen en toezien dat dit beleid en deze voorschriften worden

geïmplementeerd en worden nageleefd.

Uitvoerende actoren;

dit zijn personen of systemen.

Personen zijn medewerkers van een organisatie van wie gegevens op basis van

de toedeling aan een kostenplaats en de door hen te vervullen rollen in een

Doel-systeem

(Applicaties)

Gebruiker

Functie rollen beheer

Accountregistratie

Personeel en Organisatie

Medewerker beheer

Afdeling

Autorisatie-regsitratie

Rollen/Profielen/Taken

Personeelregistratie

PersoneelsysteemAccount

registratiesysteemAutorisatiebeheer-

systeem

Provsio-ning

AutorisatieprocesGebruikers-

beheer

Gegevens-eigenaar

Beleidsdomein (randvoorwaarden)

Beheersingsdomein

Uitvoeringsdomein

Fysieke toegangsbeveiliging Ruimten Gebouwen

Logische toegangsbeveiliging

Afbeelding 1: Weergave van de belangrijkste elementen voor toegangbeveiliging

1-3-2019


registratiesysteem voor de toegangvoorziening vastgelegd worden.

Systemen raadplegen gegevens of voeren geautoriseerde handelingen uit via

systeemautorisaties.

Beherende/ controlerende actoren;

dit zijn actoren die voor het beheer van de IT-systemen zorgen en hiermee

zorgen zij aangaande logische toegangvoorziening mede voor het in stand

houden van een bepaald niveau van beveiliging.

Richtlijnen Richtlijnen zijn concrete voorschriften en/of aanwijzingen voor de organisatorische,

technische inrichting van het registratiesysteem. Richtlijnen kunnen concretiseringen

van een beleid zijn voor de totale vormgeving van het toegangbeveiligingssysteem.

Procedures Procedures zijn vast omschreven stappen op basis waarvan handelingen moeten

worden uitgevoerd.

Processen Processen betreft het uitvoeren van activiteiten op basis van vooraf vastgestelde

stappen of fasen, die logisch met elkaar samenhangen, om een bepaald

toegangbeheersing-doel te bereiken.

Registratie-

systemen

Een registratiesysteem is een applicatie om toegangprofielen van medewerkers of

systemen, inclusief hun identificatie/authenticatie en autorisatiegegevens vast te

leggen.

Identificatie-

mechanisme

Met identificatiemechanismes kan de identiteit van een medewerker of systeem

worden bepaald.

Authenticatie-

mechanisme

Met authenticatiemechanismes wordt de identiteit waarvoor een medewerker of

systeem zich uitgeeft geverifieerd.

Autorisatie Autorisatie betreft het toekennen van rechten aan actoren (medewerkers, systemen

en processen), met deze rechten krijgen de actoren (via processen) toegang tot

bepaalde gegevens en functies. Autorisatie baseert zich op autorisatieprofielen

waarin gedefinieerd is welke actor toegang heeft tot bepaalde gegevens en functies.

Informatie-

systemen

Een informatiesysteem is een samenhangend geheel van gegevensverwerkende

activiteiten, mensen, opgeslagen kennis, middelen, methoden, procedures,

richtlijnen, afspraken, gegevensverzamelingen, apparatuur, programmatuur,

documentatie, tijd en geld ten behoeve van een geformaliseerde

informatieverzorging op een specifiek gebied.

Informatiesystemen zijn doelsystemen, zoals een applicatie, ten behoeve van de

ondersteuning van primaire processen en waartoe actoren toegang krijgen.

Control domein

Beoordelings-

richtlijnen en

procedures

Voor het evalueren van vastgestelde randvoorwaarden en uitvoeringscomponenten

zijn beoordelingsrichtlijnen vastgesteld.

Toegangbeveiliging behelst het geheel van fysieke, organisatorische en technische maatregelen die

ervoor zorgen dat actoren activiteiten kunnen uitvoeren conform hun functieprofielen. Hiermee wordt

een beveiligd en een beheerst toegangomgeving gecreëerd.

1.5 Opzet thema Toegangbeveiliging

Het thema Toegangbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Objecten

en Structuur.

De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende

criteria zullen worden behandeld (Zie hoofdstuk 7, 8 en 9). De vaststelling en omschrijvingen

van de objecten worden behandeld in hoofdstuk 2.

1-3-2019


De objecten worden vervolgens gestructureerd door middel van een lagenstructuur. Deze

structuur wordt behandeld in hoofdstuk 3. Figuur 2 geeft een globale schets van de gehanteerde

structuur. Details over afleiding van objecten en de gehanteerde structuur wordt geschetst in

het toelichtingdocument; een standaard methodiek waarmee BIO-thema’s worden opgesteld.

Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en

toepassingssystematiek’.

1.6 Structuur van het thema toegangbeveiliging De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij de beoordeling van een

thema, zoals de toegangbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen

(objecten) de omgeving van toegangbeveiliging precies bestaat. Zonder een beeld over de samenhang

tussen de objecten is het moeilijk om de juiste normen uit BIO te selecteren.

Voor de noodzakelijke beeldvorming van de omgeving van toegangbeveiliging hebben we eerst de

relaties van de noodzakelijke onderdelen schematisch, in Figuur 3, weergegeven. De componenten

zijn onderverdeeld in lagen.

Beleid domein

Dit domein bevat algemene conditionele zaken met betrekking tot inrichting van de

Toegangbeveiliging, zoals toegangbeleid. Het bevat ook andere conditionele en rand voorwaardelijke

aspecten die van toepassing zijn op de overige lagen binnen het Uitvoering domein en het Control

domein. Het bevat in het algemeen o.a. de objecten: informatiebeveiliging beleid, encryptie, strategie

en vernieuwing, organisatiestructuur en architectuur.

Uitvoering domein

Dit domein omvat verschillende objecten van de te implementeren maatregel. Deze

implementatieobjecten zijn georganiseerd langs de volgende lagen:

Proces laag - Binnen deze laag zijn vanuit een organisatorische en procedurele invalshoek

componenten vastgelegd. De van belang zijnde componenten zijn: Gebruiker, Rol, Profiel en

Taak. De relatie tussen deze componenten kan gelezen worden als:

- een gebruiker heeft een rol;

- op basis van deze rol wordt zijn/haar profiel bepaald;

- op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar

taak kan uitvoeren.

Toegangvoorzieninglaag – Dit is de laag waarin wordt vastgelegd op basis van welke middelen

gebruikers en beheerders toegang krijgen tot applicaties. Dit wordt vastgelegd in termen van

identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers,

‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangeisen

voldoen.

Applicatielaag - De gebruikersgegevens, de rollen en profielen worden vastgelegd in

registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit

afhankelijk van het type organisatie.

Registratie van:

Personeel

Systemen

Registratie van:

Identiteiten

Rollen en profielen

Autorisaties

Gebruik van:

Toepassingen

(Informatiesystemen)

Uitvoeringsdomein


Fysieke toegangsbeveiliging

Ruimten Gebouwen

Beleidsdomein (Randvoorwaarden, o.a

Toegangsbeleid

Control domein

(Beheersingprocessen)

Afbeelding 2: Globale opzet logische en fysieke beveiliging

1-3-2019


Opslag – Geeft de verschillende registraties weer die onder meer worden gebruikt voor analyse

doeleinden.

Systeemlaag – Binnen deze laag wordt aangegeven dat de identificatie/authenticatie via

workstation wordt aangeboden. Binnen deze omgeving worden ten aanzien van het

accountmanagement bepaalde eisen gesteld.

Control domein

Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangbeveiliging

wordt beheerst en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van

aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn

voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de

beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde

beleid maar ook op implementatie van Toegang zelf. In Figuur 3 wordt de hiervoor uitgelegde

domeinenstructuur geïllustreerd.

Beheerder

Uitvoeringsdomein: Implementatie van Toegangsbeveiliging

Controldomein : Service management processen LTV

uit scope in scope

Network

Services

actief op

Systemen/server

Externe

gebruiker

communicatie via

Identificatie, Authenticatie en Autorisatie

Interne

gebruiker

Toegangsvoor-

zieningslaag

Platformlaag

Netwerk laag

Acc.pw

Provisioning

Proceslaag

Registratie

systeem

Applicatie-

DataRegistratie

data

Middleware/

Dataopslag laag

Applicatielaag

Rollebeheer Autorisatieprofielen Taakrollen

Remote

Toegang

Applicatie

Beleidsdomein : randvoorwaarden en condities

Fysieke laag Fysieke toegang ruimten/gebouwen

Figuur 3: Schematische weergave van de componenten van het logische toegangbeveiliging systeem in een drielagenstructuur

1-3-2019


2. Identificatie toegangbeveiliging objecten

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden en zijn afgeleid

van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid

en Controleerbaarheid (BIVC). De objecten zijn vervolgens ingedeeld in de drie domeinen: Beleid,

Uitvoering en Control.

Vragen die hierbij een rol hebben gespeeld zijn:

welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij de inrichting

van toegangbeveiliging en wat is de consequentie bij afwezig hiervan?

welke elementen spelen vanuit de optiek van BIVC een rol bij de inrichting van

toegangbeveiliging en wat is de consequentie bij afwezig hiervan?

welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van

toegangbeveiliging en wat is de consequentie bij afwezig hiervan?

2.1 De organisatie van toegangbeveiliging objecten

2.1.1 Vaststellen van generieke objecten.

Onderstaande tabel geeft een overzicht van de initieel vastgestelde ‘Praktijkobjecten en de Generieke

objecten. De blauwe objecten zijn overkoepelend en gelden voor alle, zo niet de meeste thema’s.

Beleid domein

Nr. ISO/BIO Objecten

B.01 9.1.1 Toegangbeleid

B02 8.1.2 Eigendom van bedrijfsmiddelen

B.03 6.1.21 Coördineren van de beveiliging

Uit analyse Toegangbeveiliging organisatie

Uit analyse Toegangbeveiliging architectuur

B.04 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

B.05 Uit analyse Beveiligingsorganisatie

B.06 9.1.1 Toegangbeleid

Uitvoering domein


U.01 9.2.1 Registratie en afmelden van gebruikers

U.02 9.2.2 Gebruikers toegang verlenen

U.03 9.4.2 Beveiligde inlogprocedure

U.04 Uit analyse Autorisatieproces

U.05 9.4.3 Systeem voor wachtwoordbeheer

U.06 9.2.3 Beheer van speciale toegangrechten

U.07 12.1.4 Functiescheiding

U.08 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers

U.09 9.4.1 Beperken van toegang tot informatie

U.10 Uit analyse Autorisatievoorziening faciliteiten

U.11 11.1.2 Fysieke toegangbeveiliging

Control domein


C.01 uit analyse Beoordelingsrichtlijnen en procedures

C.02 9.2.5 Beoordeling toegangrechten

C.03 12.4.1 Gebeurtenissen registratie

C.04 Uit analyse Beheersorganisatie toegangbeveiliging

Tabel 1 Overzicht van praktijk objecten uit baselines en de afgeleide generieke objecten.

1 Dit onderwerp is uit ISO 27000 (2013) verwijderd. Vanuit SoGP is dit alsnog in dit kader opgenomen.

1-3-2019


2.1.2 Definiëring/omschrijving van de objecten.

Onderstaande tabel geeft een beschrijving van de geïdentificeerde objecten.

Generieke objecten Omschrijvingen van de gekozen elementen

Beleidsdomein

1. Toegangbeveiliging

beleid

Het resultaat van een besluitvorming waarmee het voor de3 toegangvoorziening

verantwoordelijke (top)management van een organisatie heeft vastgelegd op welke

wijze, in welk tijdsbestek en met welke middelen haar doelstelling bereikt moet worden

en hoe met onzekere factoren moet worden omgegaan.

2. Eigenaarschap

bedrijfsmiddelen

Actoren aan wie bedrijfsmiddelen zijn toegewezen en die verantwoordelijk zijn gesteld

voor classificatie, bescherming, positionering en betrouwbare, beveiligde inrichting

hiervan.

Coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen,

muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in

samenwerking met andere functionarissen (RACI).

3. Beveiligingsfunctie

(SoGP)

Een specialistische functie om de beveiligingsdoelstellingen te bereiken en waaraan een

autoriteit en verantwoordelijkheden zijn gekoppeld voor het – in relatie tot de

beveiliging - coördineren en (laten) verrichten van werkzaamheden.


organisatie

Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien voor

het beveiligen van toegangvoorzieningen om op doelmatige wijze overeengekomen

toegangbeveiliging doelstellingen te bereiken. Als collectief dragen zij bij aan de

realisatie van de geformuleerde beveiligingdoelstellingen.


architectuur

Raamwerken of blauwdrukken waarmee wordt aangegeven op welke wijze de

toegangvoorzieningen zijn ingericht, beveiligd en beheerst. Het geeft onder andere aan

hoe gebruikers, vanuit welke locaties, toegang krijgen tot applicaties en technische

componenten.

6. Cryptografie Een coderingstechniek om informatie te beschermen vanuit het oogpunt van

vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.

7. Beveiliging-

organisatie

De organisatie die verantwoordelijk is voor het ondersteunen van het beheer en de

doorontwikkeling van het afsprakenstelsel. De beheerorganisatie controleert of en

bewaakt dat dienstverleners en deelnemers het afsprakenstelsel naleven.

Uitvoeringsdomein

8. Registratieprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen

met betrekking tot het registreren van gebruikers.

9. Toegangverlening

procedure

Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen

met betrekking tot het verlenen van toegang tot bedrijfsmiddelen.

10. Inlogprocedure Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen

met betrekking tot het leggen van een verbinding - met een gebruikersnaam en een

wachtwoord - tot een systeem, een netwerk of een afgeschermd deel van een website.

11. Autorisatieproces Een reeks van elkaar verbonden taken of activiteiten die een afgerond geheel vormen

met betrekking tot het toekennen van toegangrechten (autorisaties).

12. Wachtwoord beheer Het onderhouden van cq. zorgen voor wachtwoorden.

Wachtwoordbeheer is gerelateerd aan twee aspecten: proces en geheim.

Het aspect proces (beheer) behelst het uitvoeren van met elkaar samenhangen

activiteiten aanzien van het beheer van wachtwoorden.

Het aspect geheim behelst een middel waarmee een gebruiker zich toegang kunnen

verschaffen tot een locatie, systemen en informatie.

13. Speciale

toegangrechten

Het onderhouden van cq. zorgen voor speciale toegangrechten.

Speciale toegangrechten beheer is gerelateerd aan twee aspecten: proces en specifieke

1-3-2019


beheer recht.

Het aspect proces (beheer) behelst het uitvoeren van activiteiten op basis van vooraf

vastgestelde stappen die logisch met elkaar samenhangen.

Het aspect recht (speciale bevoegdheden) behelst het recht tot het uitvoeren van

specifieke handelingen.

14. Functiescheiding Functiescheiding is een middel om taken en activiteiten binnen bepaalde grenzen te

laten uitvoeren, zodat functionarissen, op basis van rechten/bevoegdheden, niet de

gehele procescyclus kunnen beïnvloeden.

15. Geheime

authenticatie-

informatie

(Identificatie en

Authenticatie)

Identificatie is een middel waarmee een entiteit, aan de hand van een uniek kenmerk

kan aangeven wie hij/zij is (zeggen wie je bent).

Authenticatie is de controle of de entiteit die zich aanmeldt daadwerkelijk de entiteit is

die deze beweert te zijn (het bewijzen wie je ben); dit kan door middel van bijvoorbeeld

een wachtwoord.

NB: Bewust is hier gekozen voor het begrip entiteit, omdat dit zowel kan gaan over

personen als over apparatuur of softwaresystemen

16. Autorisatie Het verlenen van toestemming aan een geauthentiseerde gebruiker om toegang te

krijgen tot een bepaalde dienst om een bepaalde actie uit te voeren

17. Toegangvoorziening

faciliteiten

De technische middelen waarmee ontwerpen passend in architectuur kunnen worden

vormgegeven en waarmee acties, zoals geautomatiseerde tools en of ondersteunende

systemen, effectief kunnen worden ingericht.

18. Fysieke

toegangbeveiliging

Fysiek gecontroleerde toegang van personen met behulp van zoneringmaatregelen.

Control domein

19. Beoordelings-

richtlijnen en

procedures

Richtlijnen geven voorschriften en/of aanwijzingen voor het beoordelen van

beheeractiviteiten.

Procedures geven de handelingen aan, die volgens omschreven stappen moeten worden

uitgevoerd.

20. Beoordeling

toegangrechten

Het onderhouden van cq. zorgen voor de toegangrechten.

Beoordeling toegangrechten is gerelateerd aan twee aspecten: beoordelingsproces en

toegangrechten.

Het aspect beoordelingsproces behelst het uitvoeren van met elkaar samenhangen

activiteiten aanzien van het evalueren van toegangrechten op validiteit of deze nog

voldoen aan de actuele situatie.

Het aspect toegangrechten impliceert een recht om toegang te krijgen, zoals tot een

locatie of systeem.

21. Gebeurtenissen

registreren

(logging en

monitoring)

Het onderhouden van cq. zorgen voor de registratie van gebeurtenissen.

Gebeurtenissen registreren is gerelateerd aan twee aspecten: registratie (loggen) en

bewaken (monitoren).

Het aspect registratie heeft betrekking op handelingen van gebruikers en systemen die

geregistreerd worden in een registratiesysteem voor analyse en controle doeleinden.

Het aspect bewaken van het logische toegangbeveiliging systeem ongeautoriseerde

acties en het analyseren van de geregistreerde acties op onvolkomenheden.


beheersings-

organisatie

De organisatie die verantwoordelijk is voor het ondersteunen van het beheer en de

doorontwikkeling van het afsprakenstelsel.

De beheerorganisatie controleert of en bewaakt dat dienstverleners en deelnemers het

afsprakenstelsel naleven.

Tabel 2 Overzicht van de definiëring/omschrijving van de geïdentificeerde objecten

2.2 Observatie bij de exercitie van het identificeren van objecten uit ISO

Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig

controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren,

ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de

1-3-2019


ontwikkelfasen van systeemontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze

fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel

beveiliging controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de

ontwikkelfasen.

2.3 Toegangbeveiliging objecten geprojecteerd op BUC en gesorteerd naar IFGS

Beleid

domein

Nr Objecten Referentie IFGS

B 01 Toegangbeveiligingbeleid ISO27002: 9.1.1 I

B 02 Eigenaarschap bedrijfsmiddelen ISO27002: 8.1.2,

SoGP: PM 1.2

I

B 03 Beveiligingfunctie SoGP F

B.04 Cryptografie ISO27002: 10.1.1,

SoGP: TS 2.2

G

B.05 Beveiligingsorganisatie Additioneel S

B.06 Toegangbeveiliging architectuur Additioneel S

Uitvoering

domein


U.01 Registratieprocedure ISO27002: 9.2.1 I

U.02 Toegangverlening procedure ISO27002 9.2.2 I

U.03 Inlogprocedures ISO27002: 9.4.2 I

U.04 Autorisatieproces ISO27002: 9.2.6 F

U.05 Wachtwoordbeheer ISO27002: 9.4.3 F

U.06 Speciale toegangrechten beheer ISO27002: 9.2.3 F

U.07 Functiescheiding ISO27002: 6.1.2 F

U.08 Geheime authenticatie-informatie ISO27002: 9.2.4 G

U.09 Autorisatie ISO27002: 9.4.1 G

U.10 Autorisatievoorziening faciliteiten Additioneel S

U.11 Fysieke toegangbeveiliging ISO27002: 11.1.2 F

Control

domein

(beheersing)


C.01 Beoordelingsprocedure Additioneel I

C.02 Beoordeling toegangrechten ISO27002: 9.2.5 F

C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002: 12.4.1 G

C.04 Beheersingsorganisatie toegangbeveiliging Additioneel S

Tabel 3 Overzicht van toegangbeveiliging objecten ingedeeld naar BUC

1-3-2019


2.4 Objecten binnen BUC-domeinen vanuit audit-perspectief

Beleid domein

Uitvoering domein

Control domein

Operationeel beleid

Beoordelingsprocedure

Control

domein

Generieke controlobjecten uit BIR 2017 Aanvullende controlobjecten

Proces

Beoordeling toegangs-

rechten (logisch en fysiek)

Intentie Functie Gedrag StructuurDomein

Invals-

hoeken

C.01 C.02

Historie/Events

Gebeurtenissen registrerenC.03

Structuur

Beheersingsorganisatie

Toegangsbeveiliging C.04

Logische en Fysieke toegangsbeveiliging

(Logging en Monitoring)

Operationeelbeleid

Registratieprocedure

Operationeelbeleid

Toegangsverlenings-

procedure

Proces

Wachtwoordenbeheer

Proces

Beheer Speciale

toegangsrechtenUitvoerings-

domein

U.02

Generieke control objecten uit BIR 2017 Aanvullende control objecten

Proces

Autorisatieproces


Invals-

hoeken

U.01 U.04

U.05

U.06

Taakvereisten

Functiescheiding U.07

Interactie

Autorisatie U.09

Interactie

Geheime authenticatie-

informatie U.08

Protectie (Barrier)

Fysieke toegangs-

beveiliging U.11

Operationeelbeleid

Inlogprocedure U.03

Faciliteit

Autorisatievoorzienings-

faciliteiten U.10



Generieke beleidobjecten uit ISO/BIO/SoGP/Nist Aanvullende beleidsobjecten

Intentie-invalshoek Structuur-invalshoek

Structuur

Toegangsbeveiligings-organisatie

Functie-invalshoek

Functie

BeveiligingsfunctieInteractie

Cryptografie

Gedrag-invalshoek

Beleid

Toegangsbeveiligings-beleid

Architectuur

Toegangsbeveiligings-architectuur

Eigenaar

Eigenaarschap bedrijfsmiddelen

Beleids-domein

Domein

Invals-hoeken

B.01

B.02

B.03 B.04 B.05

B.06

1-3-2019


3. Beleid domein

3.1 Doelstelling

De doelstelling van het beleidsdomein is vast te stellen of afdoende randvoorwaarden en condities op

het organisatie- dan wel afdelingsniveau - zijn geschapen om toegangbeveiliging als geheel te doen

functioneren en zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken

(autorisatie) doelstellingen.

In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals

toegangvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden

in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het

autorisatiesysteem moet plaatsvinden.

3.2 Risico’s

Als een door het management uitgevaardigd toegangbeleid ontbreekt, bestaat het risico dat

onvoldoende sturing wordt gegeven aan de veilige inrichting van de toegang tot ICT-voorzieningen en

ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken

van doelstellingen voor toegangbeveiliging.

3.3 Beleidsobjecten en normen

De objecten die uit de BIO in dit domein een rol spelen zijn het toegangvoorziening beleid, de

toegangvoorziening architectuur, de beveiligingfunctie en het eigenaarschap van het

toegangbeveiliging systeem.

Afbeelding 4 geeft een overzicht en de ordening hiervan. Voor de identificatie van de objecten en de

ordening is gebruik gemaakt van IFGS-basiselementen (SIVA).

Beleid

domein

Nr Objecten Referentie

B 01 Toegangbeveiligingsbeleid ISO27002: 9.1.1,

BIO: 9.1.1

B 02 Eigenaarschap bedrijfsmiddelen ISO27002: 8.1.2,

BIO: 8.1.2,

SoGP: PM 1.2

B 03 Beveiligingfunctie SoGP

B.04 Cryptografie ISO27002: 10.1.1

BIO: 10.1.1

SoGP: TS 2.2

B.05 Beveiligingsorganisatie Additioneel

B.06 Toegangbeveiliging architectuur Additioneel

Afbeelding 4: Overzicht van de beleidsobjecten

Generieke beleidobjecten uit ISO/BIR 2017/SoGP/Nist Aanvullende beleidsobjecten

Intentie-invalshoek Structuur-invalshoek

Toegangsbeveiligings-organisatie

Functie-invalshoek

Beveiligingsfunctie Cryptografie

Gedrag-invalshoek

Toegangsbeveiligings-beleid

Toegangsbeveiligings-architectuur

Eigenaarschap bedrijfsmiddelen

Beleids-domein

Domein

Invals-hoeken

B.01

B.02

B.03 B.04 B.05

B.06

1-3-2019


B.01 Toegangbeveiliging beleid

Het toegangbeveiliging beleid maakt deel uit van het informatiebeveiliging beleid en geeft regels en

voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten

waar ICT middelen zich bevinden en voor toegang tot de informatie en informatie verwerkende

faciliteiten zelf, bijvoorbeeld toegang voor gebruikers tot applicaties en toegang voor beheerders tot

ICT-componenten. Het toegangbeveiliging beleid beschrijft onder andere de manier waarop de

klantorganisatie omgaat met identiteiten toegangbeheer.

Opgemerkt wordt, dat de control ‘toegangbeveiliging beleid’ niet gaat over een diepgaande

beoordeling van het toegangbeveiliging beleid, maar dat het beleid een redelijke richting dient te

geven voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein.

B.01 Toegangbeveiliging beleid ISO27002: 9

Control Een toegangbeveiliging beleid moet worden vastgesteld, gedocumenteerd

en beoordeeld op basis van bedrijfseisen en informatiebeveiliging eisen.

Conformiteitsindicatoren en Maatregelen

toegang-

beveiliging

beleid

1. Het toegangvoorziening beleid: ISO27002: 9.1.1,

BIO: 9.1.1,

NIST is consistent aan de vigerende wet en regelgeving en het

informatiebeveiliging beleid;

komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen,

vaststellen/goedkeuren, communiceren, implementeren, evalueren en

aanpassen;

stelt eisen voor beheer van toegangrechten in een distributie- en

netwerkomgeving die alle beschikbare verbindingen herkent.

bedrijfseisen 2. Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan

relevante wetgeving en eventuele contractuele verplichtingen. ISO27002: 9.1.1

3. Er zijn standaard gebruikersprofielen met toegangrechten voor

veelvoorkomende rollen in de organisaties. ISO27002: 9.1.1

informatie-

beveiliging

eisen

4. Informatiespreiding en autorisatie tot informatie wordt uitgevoerd op basis

van need-to-know en need-to-use principes. ISO27002: 9.1.1

5. Het autorisatiebeheer is procesmatig ingericht. (zoals aanvragen,

toekennen, controleren, implementeren, intrekken/beëindigen en periodiek

beoordelen).

ISO27002: 9.1.1

B.02 Eigenaarschap bedrijfsmiddelen

Om de toegang tot bedrijfsmiddelen, zoals toegangbeveiligingssysteem en overige fysieke

bedrijfsmiddelen, betrouwbaar in te richten, is het van belang het eigenaarschap van bedrijfsmiddelen

goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan zijn toegekende

verantwoordelijkheid het toegangbeveiliging systeem en conform de hieraan gestelde eisen kan

inrichten.

B.02 Eigenaarschap bedrijfsmiddelen ISO27002: 8,

SoGP: PM1.2

Control Het eigenaarschap en de verantwoordelijkheden voor logische

bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen

moeten zijn vastgelegd.


eigenaar-

schap

1. Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke

functionarissen (bijvoorbeeld business manager).

ISO27002: 8.1.2,

BIO 8.1.2,

SoGP: PM1.2

1-3-2019


2. De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en

mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren

t.a.v. de inrichting van het toegangbeveiliging systeem.

SoGP: PM1.2

verantwoor-

delijkheden

voor

logisch e

bedrijfs-

middelen

3. De eigenaar is verantwoordelijk voor:

het beveiligd inrichten van het toegangbeveiliging systeem;

het onderhouden en het evalueren van het toegangbeveiliging

systeem het identificeren van risico’s ten aanzien van

toegangbeveiliging systeem op basis van Informatie life-cycle;

het ondersteunen van beveiliging reviews.

SoGP: PM1.2

verantwoor-

delijkheden

voor fysieke

bedrijfs-

middelen

4. De eigenaar is verantwoordelijk voor:

het inventariseren van bedrijfsmiddelen;

het definiëren van toegangbeperkingen voor bedrijfsmiddelen en het

uitvoeren van controle hierop op basis van bedrijfsregels en

toegangbeveiliging;

het passend classificeren en beschermen van bedrijfsmiddelen;

het procesmatig verwijderen van bedrijfsmiddelen.

ISO27002: 8.1.2

B.03 Beveiligingsfunctie

De organisatie beschikt over veel middelen en informatie die beveiligd moeten worden. Hiervoor

moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De

functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van

toegangbeveiliging binnen de gehele organisatie, waaronder het toegangbeveiliging systeem.

B.03 Beveiligingsfunctie SoGP

Control Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die

verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de

gehele organisatie.


beveiligings-

functie

1. De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken

en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, proceseigenaar,

autorisatiebeheerder en CISO, beveiligingsambtenaar (BVA).

SoGP

2. De functionarissen binnen de beveiligingsfunctie moeten periodiek het

toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van

business initiatieven voor het toegangbeveiligingssysteem.

SoGP

B.04 Cryptografie

Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid,

authenticiteit, onweerlegbaarheid en authenticatie. Voor toegangbeveiliging is het van cruciaal belang

dat geheime authenticatie-informatie, zoals wachtwoorden en PIN-codes, worden beschermd tijdens

de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde

om aan geheime authenticatie-informatie het gewenste vertrouwen te ontlenen. Met dit beleid de

organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v.

versleuteling van gegevens.

B.04 Cryptografie

ISO27002:

10.1.1,

SoGP: TS2.2

Control Ter bescherming van authenticatie-informatie moet een beleid voor het

gebruik van cryptografische beheersmaatregelen worden ontwikkeld en

geïmplementeerd.


1-3-2019


authenticatie

informatie

1. Authenticatie-informatie wordt beschermd door middel van versleuteling

crypto-

grafische

beheers-

maatregelen

2. In het cryptografiebeleid zijn minimaal de volgende onderwerpen

uitgewerkt:

a. het bewaren van geheime authenticatie-informatie tijdens verwerking,

transport en opslag;

b. wie verantwoordelijk is voor de implementatie;

c. wie verantwoordelijk is voor het sleutelbeheer;

d. welke normen als basis dienen voor cryptografie en de wijze waarop

de normen van het forum standaardisatie worden toegepast;

e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal

vastgesteld.

BIO: 10.1.1

3. Cryptografische toepassingen voldoen aan passende standaarden.

B.05 Beveiligingsorganisatie

De beveiligingsorganisatie ziet toe op het naleven van het informatiebeveiliging beleid; waar nodig

grijpt de beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen

een beveiligingsorganisatie hierin heeft, wordt vooraf expliciet benoemd en vastgesteld; ook moet

vaststaan hoe de rapporteringlijnen zijn uitgestippeld.


Control De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin

de organisatorische positie, de taken, verantwoordelijkheden en

bevoegdheden (TVB) van de betrokken functionarissen en de

rapportagelijnen zijn vastgesteld.


organisato-

rische positie

1. De beveiligingsorganisatie heeft een formele positie binnen de gehele

organisatie.

functionaris-

sen

2. De belangrijkste functionarissen (stakeholders) voor Beveiligingsorganisatie

zijn benoemd en de relaties tussen hen zijn door middel van een

organisatieschema inzichtelijk gemaakt.

taken,

verantwoor-

delijkheden

en bevoegd-

heden

3. De organisatie heeft de verantwoordelijkheden voor het definiëren,

coördineren en evalueren van de Beveiligingsorganisatie beschreven en

toegewezen aan specifieke functionarissen.

4. De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een

autorisatiematrix.

rapportage-

lijnen

5. De verantwoordings- en rapporteringslijnen tussen de betrokken

functionarissen zijn vastgesteld.

Trust Services

6. De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. Trust Services

B.06 Toegangbeveiliging architectuur

De toegangbeveiliging architectuur is een blauwdruk waarmee wordt aangegeven op welke wijze

gebruikers toegang krijgen tot applicaties en overige ICT-componenten. Een datamodel op het

entiteiten niveau maakt hier onderdeel van uit. Hierbij zijn rollen van gebruikers en beheerders op

basis van een bepaald structuur, zoals RBAC- of ABAC-modellen, beschreven.

Met betrekking tot het ontwerp van de toegang tot applicaties wordt hieronder aandacht besteed aan

een aantal onderwerpen waarmee bij het ontwerp van de toegangbeveiliging architectuur rekening

moet worden gehouden, zoals:

ontwerp van identiteiten toegangbeheer;

1-3-2019


inrichting toegangbeheer;

eisen en behoeften ten aanzien van gebruikersidentificatie en –authenticatie;

gebruik van uniforme authenticatie mechanismen;

gebruik van platformaccounts met beperkte rechten;

audit van uitgedeelde autorisaties.

De formuleringen van een hoofdnorm ten aanzien ‘toegangbeveiliging architectuur’ en de bijbehorende

subnormen zijn afgeleid uit andere baselines en beveiligingsrichtlijn zoals Standard of Good practice

(ISF) en NCSC-richtlijnen voor webapplicaties.

B.06 Toegangbeveiliging architectuur Additioneel

Control De organisatie moet op basis van de organisatorische eisen en wensen de

technische inrichting beschreven hebben en in een toegangbeveiliging

architectuur (TBA) vastgelegd.


technische

inrichting

1. De technische inrichting van de toegangbeveiliging is op basis van de

organisatorische eisen vorm gegeven aangaande:

de uniformiteit en flexibiliteit van authenticatie mechanismen;

de rechten voor beheeraccounts;

de identificatie- en authenticatie mechanismen om voldoende sterke

wachtwoorden af te dwingen;

autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen

tot diensten (functies) waarvoor ze specifiek bevoegd zijn.

toegang-

beveiliging

architectuur

2. De inrichting van het identiteiten toegangbeheer is vastgelegd in een

toegangbeveiliging architectuur.

3. De IAA-beveiligingsmaatregelen die hun weerslag hebben in componenten

van de toegangbeveiliging architectuur zijn benoemd en beschreven.

4. De onderlinge samenhang tussen technische componenten (waaronder

infrastructuur, software, toegangvoorzieningen en firewalls) die bij het

gebruiken en onderhouden van toegangbeveiliging systeem zijn betrokken,

zijn benoemd en beschreven.

1-3-2019


4. Uitvoering domein

4.1 Doelstelling

De doelstelling van het uitvoeringsdomein in dit thema is te waarborgen dat de toegang tot terreinen,

ruimten, applicaties en data is ingericht overeenkomstig specifieke beleidsuitgangspunten van de

bedrijfsonderdelen en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld op

basis van het (autorisatie) beleid.

4.2 Risico’s

Wanneer een adequate toegangbeveiliging tot ruimten en informatiefaciliteiten ontbreekt, dan bestaat

het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat

gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.

4.3 Inrichtings- en beveiligingscomponenten

Binnen het Uitvoeringsdomein worden specifieke inrichtings- en beveiligingsobjecten ten aanzien van

toegangbeveiliging beschreven. Per object worden conformiteitsindicatoren en de desbetreffende

implementatie-elementen uitgewerkt.

Binnen het uitvoeringsdomein worden de in onderstaande afbeelding vermelde onderwerpen

uitgewerkt.

Uitvoering

domein


U.01 Registratieprocedure ISO27002: 9.2.1,

BIO: 9.2.1

U.02 Toegangverlening procedure ISO27002: 9.2.2,

BIO: 9.2.2

U.03 Inlogprocedures ISO27002: 9.4.2,

BIO: 9.4.2

U.04 Autorisatieproces ISO27002: 9.2.6,

BIO: 9.2.6

U.05 Wachtwoordbeheer ISO27002: 9.4.3,

BIO: 9.4.3

U.06 Speciale toegangrechten beheer ISO27002: 9.2.3,

BIO: 9.2.3

U.07 Functiescheiding ISO27002: 6.1.2,

BIO: 6.1.2

U.08 Geheime authenticatie-informatie ISO27002: 9.2.4,

BIO: 9.2.4

U.09 Autorisatie ISO27002: 9.4.1,

BIO: 9.4.1

U.10 Autorisatievoorziening faciliteiten Additioneel

U.11 Fysieke toegangbeveiliging ISO27002: 11.1.2,

BIO: 11.1.2

1-3-2019


U.01 Registratieprocedure

De oorspronkelijke titel in ISO en BIO is: “Registratie en afmelden van gebruikers”. Het onderwerp

“Registratie en afmelden van gebruikers” duidt op het daadwerkelijk registreren en afmelden van

gebruikers. De inhoud van de norm legt feitelijk de nadruk op “Procedures” die bij het registreren en

afmelden noodzakelijk zijn. Vandaar dat nu gekozen is voor de titel: ‘Registratieprocedures’ waarmee

een gecontroleerde toegang voor bevoegde gebruikers worden geboden vanaf het moment van intake,

registratie tot en met de beëindiging. Ze beschrijven dus de gehele levenscyclus van de

gebruikerstoegang. Een onderdeel van de procedures is dat er gebruikers geregistreerd moeten

worden.

Het registreren van gebruikers geldt zowel bij logische als bij fysieke beveiliging. De noodzakelijke

fysieke beveiliging procedure is gericht op zowel interne als externe medewerkers.

Bij uitbestede diensten geldt dat de provider zowel de logische als de fysieke beveiligingsmaatregelen

treft voor de beveiliging van de ICT dienstverlening aan de klant.


BIO 9.2.1

Control Een formele registratie en afmeld procedure moet worden geïmplementeerd

om toewijzing van toegangrechten mogelijk te maken.


formele

registratie

en afmeld

procedure

1. Er is een sluitende formele registratie- en afmeldprocedure voor alle

gebruikers.

2. Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt

gemotiveerd en vastgelegd door de proceseigenaar.

3. De procedures beschrijven alle fasen van de levenscyclus van de

gebruikerstoegang en de relaties tussen de autorisatieprocessen.

(Van eerste registratie tot en met de beëindiging).

4. De aanvraag van autorisaties op het gebruik van informatiesystemen en de

toegewezen autorisatieniveaus worden gecontroleerd.

toegang-

rechten

5. Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen)

geautoriseerd voor het gebruik van applicaties.

Registratieprocedure

Toegangsverlenings-

procedureWachtwoordenbeheer

Beheer Speciale

toegangsrechtenUitvoerings-

domein

U.02


Autorisatieproces


Invals-

hoeken

U.01 U.04

U.05

U.06

Functiescheiding U.07

Autorisatie U.09

Geheime authenticatie-

informatie U.08

Fysieke

toegangsbeveiliging U.11

Inlogprocedure U.03

Autorisatievoorzienings-

faciliteiten U.10



Figuur 5: Overzicht van de toegangsbeveiligingsobjecten.

1-3-2019


6. Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-

have principes.

7. Een bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers

slechts die objecten/of systeemprivileges toegekend krijgen, die zij nodig

hebben voor de uitoefening van hun taken.

U.02 Toegangverlening procedure

De toegangverlening procedure omvat een subprocedure op basis waarvan toegangrechten voor alle

gebruikers, voor fysieke en logische toegang tot alle systemen en diensten worden toegewezen en of

ingetrokken.


BIO 9.2.2

Control Een formele Gebruikers Toegangverlening Procedure (GTV) moet worden

geïmplementeerd om toegangrechten voor alle typen gebruikers en voor

alle systemen en diensten toe te wijzen of in te trekken.


gebruikers

toegang-

verlening

procedure

1. Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatie

door een bevoegde functionaris.

2. Op basis van een risicoafweging is bepaald waar en op welke wijze

functiescheiding wordt toegepast en welke toegangrechten worden

gegeven.

3. Een actueel mandaatregister is aanwezig, waaruit blijkt welke personen

bevoegdheden hebben voor het verlenen van toegangrechten dan wel

functieprofielen.

U.03 Inlogprocedure

De inlogprocedure omvat het technisch proces waarbij het toegangbeheersysteem checkt of aan de

vereiste inlogeisen wordt voldaan.

U.03 Inlogprocedure ISO27002: 9.4.2,

BIO 9.4.2

Control Als het beleid voor toegangbeveiliging dit vereist, moet toegang tot

systemen en toepassingen worden beheerst met behulp van een beveiligde

inlogprocedure.


beveiligde

inlog

procedure

1. Als vanuit een niet-vertrouwde zone toegang wordt verleend naar een

vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor

authenticatie.

2. Voor het verlenen van toegang tot het netwerk door externe leveranciers

wordt vooraf een risicoafweging gemaakt.

3. De risicoafweging bepaalt onder welke voorwaarden de leveranciers

toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn

toegekend.

U.04 Autorisatieproces

De ISO27002 en BIO control 9.2.6. ‘Toegangrechten intrekken of aanpassen’ stelt eisen aan een

autorisatieproces, dat bestaat uit enkele subprocessen zoals: toekennen (of verlenen), verwerken,

intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties

gestructureerd plaatsvinden. Deze subprocessen zijn gerelateerd aan de fasen: instroom, doorstroom

en uitstroom. Deze subprocessen worden verdere in bijlage 3 beschreven.

1-3-2019



BIO 9.2.6

Control Een formeel autorisatieproces moet geïmplementeerd zijn voor het

beheersen van de toegangrechten van alle medewerkers en externe

gebruikers tot informatie en informatie verwerkende faciliteiten.


formeel

autorisatie-

proces

1. Er is een formeel proces voor het aanvragen, verwerken, intrekken (of

aanpassen), verwijderen en archiveren van autorisaties.

2. Het verwerken van autorisaties wordt uitgevoerd op basis van een formele

autorisatieopdracht van een bevoegd functionaris.

3. De activiteiten met betrekking tot aanvragen, verwerking en afmelden van

het autorisatieverzoek (succes / foutmelding) worden vastgelegd en

gearchiveerd.

4. Door de verantwoordelijke worden periodiek controles op alle uitgegeven

autorisaties uitgevoerd.

toegang-

rechten

5. Bij beëindigen van dienstverband worden toegangrechten tot informatie en

informatie verwerkende faciliteiten ingetrokken.

ISO

6. Wijzigingen in dienstverband moeten corresponderen met de verstrekte

toegangrechten tot fysieke en logische middelen.

ISO

7. Bij wijzigingen in dienstverband moet, in verband met toegangrechten, de

contracten met desbetreffende medewerkers worden aangepast.

ISO

8. Toegangrechten tot informatie en informatie verwerkende bedrijfsmiddelen

en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of

wijzigt afhankelijk van risicofactoren.

ISO

U.05 Wachtwoordbeheer

Wachtwoorden zijn middelen voor het authentiseren van gebruikers en beheerders. Onderstaande

normen zijn gericht op het authentiseren van personen (gebruikers en beheerders). Voor het

authentiseren van systemen die andere systemen/bedrijfsobjecten e.d. benaderen) zijn soms

stringentere eisen noodzakelijk.

U.05 Wachtwoordbeheer ISO27002: 9.4.3,

BIO: 9.4.3

Control Systemen voor wachtwoordbeheer moeten interactief zijn en sterke

wachtwoorden waarborgen.


sterke

wacht-

woorden

1. Als geen gebruik wordt gemaakt van 2 factor authenticatie, dan:

is de wachtwoordlengte minimaal 8 posities en complex van

samenstelling;

vervalt vanaf een wachtwoordlengte van 20 posities de

complexiteitseis;

is het aantal inlogpogingen maximaal 10;

is de tijdsduur dat een account wordt geblokkeerd na overschrijding

van het aantal keer foutief inloggen vastgelegd.

2. In situaties waar geen 2-factor authenticatie mogelijk is, wordt minimaal

halfjaarlijks het wachtwoord vernieuwd.

3. Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd (zie ook

NEN/ISO27002: 9.3.1.2).

1-3-2019


4. Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een

maximale geldigheidsduur van een werkdag en moeten bij het eerste

gebruik worden gewijzigd.

5. Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een

maximale geldigheidsduur van een jaar; daar waar het beleid niet

toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden.

U 06 Speciale toegangrechten beheer

Beheerders hebben voor bepaalde activiteiten speciale systeem bevoegdheden nodig om hun beheer

activiteiten uit te voeren. De activiteiten die met zulke bevoegdheden kunnen worden uitgevoerd,

kunnen diep ingrijpen in het systeem. Daarom moet hier voorzichtig mee om worden gegaan en zijn

hiervoor procedurele maatregelen noodzakelijk.


BIO: 9.2.3

Control Het toewijzen en het gebruik van speciale toegangrechten moeten worden

beperkt en beheerst.


toewijzen 1. Het toewijzen van speciale toegangrechten vindt plaats op basis van risico

afweging, richtlijnen en procedures.

speciale

toegang-

rechten

2. Gebruikers hebben toegang tot speciale toegangrechten voor zover dat voor

de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-

use).

3. Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van

applicaties en beheerfuncties.

beheerst 4. Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal

beoordeeld.

U.07 Functiescheiding

In het autorisatie proces gaat het om zowel taken van verschillende typen eindgebruikers en

beheerders. Het toegangbeleid dient regels en voorschriften te geven voor de organisatorische en

technische inrichting van de toegang tot ICT-voorzieningen, bijvoorbeeld applicatie (gebruikers) en

ICT-componenten (beheerders).

Het toegangvoorziening beleid beschrijft onder andere de manier waarop de organisatie omgaat met

identiteiten toegangbeheer. De nodige eisen worden gesteld aan functiescheiding om een effectief en

consistent gebruikersbeheer, identificatie, authenticatie en toegangcontrole mechanismen voor heel

de organisatie te waarborgen. Daarvoor worden hieronder de nodige controls en indicatoren vermeld.


BIO: 6.2.1

Control Conflicterende taken en verantwoordelijkheden moeten worden gescheiden

om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de

bedrijfsmiddelen van de organisatie te verminderen.


gescheiden 1. Op basis van risicoafweging wordt bepaald waar en op welke wijze

functiescheiding wordt toegepast en welke toegangrechten worden

gegeven.

2. Niemand in een organisatie of proces mag rechten of bevoegdheden hebben

waarmee de gehele procescyclus te kan worden beïnvloed.

3. Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste

functiescheidingen.

1-3-2019


taken 4. Een scheiding is aangebracht tussen beheertaken en (overige)

gebruikstaken en waarbij onder andere:

gebruikstaken worden uitgevoerd met behulp van

gebruikersaccounts; alleen wanneer is ingelogd als (standaard)

gebruiker met gebruikersnaam en wachtwoord;

beheertaken worden uitgevoerd met behulp van

beheer(ders)accounts; alleen als is aangelogd als beheerder met

gebruikersnaam en wachtwoord;

controletaken worden uitgevoerd door specifieke functionarissen.

verantwoor-

delijkheden

5. Verantwoordelijkheden voor beheer en wijziging van gegevens en

bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen

aan één specifieke (beheerders)rol.

onbedoeld 6. Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde

toegang tot bedrijfsmiddelen wordt waargenomen of wordt voorkomen.

BIO: 6.1.2.1

U 08 Geheime authenticatie-informatie

Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten, wordt gereguleerd

door het toegangmechanisme: gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie

(zoals een wachtwoord). Dit mechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen.

Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie.

De gebruikers behoren hier vertrouwelijk mee om te gaan.


BIO: 9.2.4

Control Het toewijzen van geheime authenticatie-informatie moet worden beheerst

via een formeel beheersproces.


geheime

authenticatie

informatie

1. Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode.

2. Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het

feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld.

3. Bij het interne gebruik van IT- voorzieningen worden gebruikers minimaal

op basis van wachtwoorden geauthentiseerd.

beheers-

proces

4. Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van

gebruikers waarin zij verklaren persoonlijke geheime authenticatie-

informatie geheim te houden.

5. Gebruikers bevestigen en wijzigen na ontvangst de geleverde geheime

(tijdelijke) authenticatie-informatie.

6. Tijdelijke geheime authenticatie-informatie wordt op beveiligde wijze en via

veilige kanalen verstrekt.

7. Geheime authenticatie-informatie is uniek toegekend aan een persoon en

voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van

tekens.

U.09 Autorisatie

Gekozen is voor het object ‘Autorisatie’, omdat dit object beter aansluit op de toegangmechanismen

(identificatie, authenticatie en autorisatie) dan de betiteling ‘Beperking toegang tot informatie’.

Na het ‘identificatie en authenticatie’ proces krijgen gebruikers en beheerders (verdere) specifieke

toegang tot informatiesystemen voor gebruik respectievelijk beheerdoeleinden. Toegangbeperking

wordt gecreëerd door middel van rollen en toegangprofielen welke voortkomen uit het toegangbeleid.

1-3-2019



BIO: 9.4.1

Control Toegang (autorisatie) tot informatie en systeemfuncties (van toepassingen)

moet worden beperkt in overeenstemming met het toegangbeveiliging

beleid.


toegang 1. Maatregelen zijn genomen waarmee het fysiek en/of logisch isoleren van

gevoelige informatie wordt gewaarborgd.

informatie 2. Gebruikers kunnen alleen die informatie inzien en verwerken die ze nodig

hebben voor de uitoefening van hun taak.

systeem-

functies

3. Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee

misbruik van rechten wordt voorkomen.

toegang-

beveiliging

beleid

4. Het toegangbeveiliging beleid geeft o.a. aan, dat toegang tot informatie en

tot functies van toepassingssystemen wordt beperkt op basis van juiste

rollen en verantwoordelijkheden.

5. Toegangbeperking is in overeenstemming met het toegangbeveiliging beleid

van de organisatie.

U.10 Autorisatievoorziening faciliteiten

Om autorisatie efficiënt en effectief te kunnen inrichten zijn technische autorisatievoorzieningen, zoals

een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten,

noodzakelijk.


Control Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in

aanmerking komende applicaties technische autorisatievoorzieningen, zoals

een personeelsregistratiesysteem, een autorisatie beheersysteem en

autorisatiefaciliteiten, beschikbaar zijn.


autorisatie-

voorzie-

ningen

1. Door een verantwoordelijke is formeel vastgesteld welke middelen worden

ingezet binnen het proces autorisatiebeheer.

personeels-

registratie-

systeem

2. Alle interne en externe gebruikers worden vóór de toegang tot de

applicatieomgeving opgenomen in het personeelsinformatiesysteem.

autorisatie

beheer-

systeem

3. Alle natuurlijke personen die gebruik maken van applicaties worden

geregistreerd.

autorisatie-

faciliteiten

4. Iedere applicatie die valt onder het autorisatiebeheer proces heeft

functionaliteit om autorisaties toe te kennen, in te zien en te beheren.

U.11 Fysieke toegangbeveiliging

Fysieke beveiliging kan worden bereikt door het opwerpen van allerlei fysieke barrières rond het

bedrijfsterrein en rond de IT-voorzieningen. Elke barrière creëert zo een beveiligde zone en waarmee

de totale beveiliging wordt versterkt.

Binnen de Huisvesting-IV organisatie moeten beveiligingsniveaus worden gebruikt om gebieden die

IT-voorzieningen bevatten te beschermen. Een beveiligde zone is een gebied binnen een barrière,

zoals muren, of hekken welke alleen met behulp van een toegangpas of via een bemande receptiebalie

1-3-2019


geopend kan worden. De locatie en sterkte van de barrières worden o.a. bepaald door de resultaten

van de risicoanalyse.

U.11 Fysieke toegangbeveiliging

ISO27002:

11.1.2,

BIO: 11.1.2

Control Beveiligde gebieden moeten worden beschermd door passende

toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel

toegang krijgt.


beveiligde

gebieden

1. Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is

slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.

passende

toegang-

beveiliging

2. Aankomst- en vertrektijden van bezoekers worden geregistreerd.

3. Medewerkers, contractanten en externen dragen zichtbare identificatie.

bevoegd

personeel

4. In geval van concrete beveiligingsrisico’s worden waarschuwingen, conform

onderlinge afspraken, verzonden aan relevante collega’s binnen het

beveiligingsdomein van het Rijk.

5. Richtlijn: Protocol uitwisseling van persoonsgerelateerde

beveiligingsinformatie ?????

6. Personeel van externe partijen die ondersteunende diensten verlenen,

wordt voor zover noodzakelijk alleen beperkte toegang verleend tot

beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten;

deze toegang moet worden goedgekeurd en bewaakt.

1-3-2019


5. Control domein

5.1 Doelstelling

De doelstelling van het Control domein is te zorgen dat en/of vast te stellen of:

de toegangbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van

autorisaties;

het juiste beveiligingniveau van de toegangvoorziening wordt gegarandeerd.

Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn

ingericht waarin beheerprocessen zijn vormgegeven.

5.2 5.2 Risico’s

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de

autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het

naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste

maatregelen worden nageleefd.

5.3 5.3 Control objecten en normen

Het beoordelen van de logische en fysieke toegangrechten van gebruikers richt zich op het naleven

van de verplichtingen die voortkomen uit (a) wet en regelgeving en (b) door de organisatie zelf

gekozen standaarden en richtlijnen. Vanuit beveiligingsoptiek is het van belang om periodiek, namens

de directie vast te stellen of het registratiesysteem betrouwbaar is.

Binnen dit specifieke Control domein zouden de volgende onderwerpen van belang kunnen zijn bij het

beoordelen van gebruikersautorisatie:

Control

domein

(beheersing)


C.01 Beoordelingsrichtlijnen en procedures Additioneel

C.02 Beoordeling toegangrechten ISO27002: 9.2.5,

BIO: 9.2.5

C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002: 12.4.1,

BIO: 12.4.1

C.04 Beheersingsorganisatie toegangbeveiliging Additioneel

Figuur 6: Overzicht van toegangbeveiliging objecten binnen het Control domein

C.01 Beoordelingsrichtlijnen en procedures

De inrichting van de toegangbeveiliging moet beheerst worden. Hiertoe dient periodiek door bepaalde

functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten

dienen ondersteund te worden met procedures en instructies, anders bestaat het risico dat de

resultaten van de controleactiviteiten niet voldoen aan de verwachte eisen. De structuur van de

beheersingsorganisatie geeft de samenhang van de ingerichte processen weer.

Een hoofdnorm en de bijbehorende subnormen worden hieronder vermeld.

Beoordelingsprocedure

Control

domein


Beoordeling toegangs-

rechten (logisch en fysiek)


Invals-

hoeken

C.01 C.02

Gebeurtenissen registreren

C.03

eheersingsorganisatie

Toegangsbeveiliging C.04

Logische en Fysieke toegangsbeveiliging

(Logging en Monitoring)

1-3-2019


C.01 Beoordelingsrichtlijnen en procedures Additioneel

Control Om het gebruik van toegangbeveiliging voorzieningen te (kunnen)

controleren moeten procedures te zijn vastgesteld.


procedures 1. De organisatie beschikt over procedures voor het controleren van

toegangvoorziening systemen en registraties (log-data).

2. De organisatie beschikt over een beschrijving van de relevante

controleprocessen.

3. De procedures hebben betrekking op controleprocessen die conform een

vastgestelde cyclus zijn ingericht, zoals registratie, statusmeting, bewaking

(monitoring), analyse, rapportage en evaluatie.

4. De procedures schrijven voor dat de resultaten van controleactiviteiten aan

het management gerapporteerd moeten worden om de juiste acties te laten

initiëren.

C.02 Beoordeling toegangrechten

Het is nodig om de (logische en fysieke) toegangrechten van gebruikers regelmatig te beoordelen om

de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen

en wijzigingen van toegangrechten dienen daarom periodiek gecontroleerd te worden, hiertoe dienen

maatregelen te worden getroffen in de vorm van:

Het voeren van controle activiteiten op de registratie van toegangrechten;

het uitbrengen van rapportages aan het management.

Doelstelling

Het vaststellen of:

de autorisaties juist zijn aangebracht in de applicaties;

de wijzigingen en verwijderingen juist zijn uitgevoerd;

de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de

functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbinding

daar aanleiding toe geven.

Risico

Bij het ontbreken van controle op de toegangrechten worden afwijkingen in het autorisatieproces niet

gesignaleerd en kan ongemerkt vervuiling optreden; hierdoor bestaat het risico dat onbevoegden

informatie kunnen inzien en/of manipuleren.


BIO: 9.2.5

Control Eigenaren van bedrijfsmiddelen moeten toegangrechten van gebruikers

regelmatig te beoordelen.


toegang-

rechten

1. Alle uitgegeven toegangrechten worden minimaal eenmaal per jaar

beoordeeld.

BIO: 9.2.5

2. Toegangrechten van gebruikers worden na wijzigingen en

functieveranderingen beoordeeld.

ISO27002: 9.2.5

3. Autorisaties voor speciale toegangrechten worden frequenter beoordeeld.

4. De beoordelingsrapportage bevat verbetervoorstellen en wordt

gecommuniceerd met de verantwoordelijken/eigenaren van de systemen

waarin kwetsbaarheden en zwakheden zijn gevonden.

5. De opvolging van bevindingen is gedocumenteerd. BIO: 9.2.5

beoordelen 6. Het beoordelen vind plaats op basis van een formeelproces, zoals: planning,

uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.

1-3-2019


7. Een functionaris is verantwoordelijke voor het controleren van de

organisatorische- en de technische inrichting van toegangbeveiliging.

8. De taken en verantwoordelijkheden van functionarissen die betrokken zijn

bij het controleproces zijn vastgelegd.

C.03 Gebeurtenissen registreren (logging en monitoring)

Naast het feit dat organisatorische elementen ten aanzien van toegangrechten (rollen) periodiek dient

te worden gecontroleerd, dienen ook de activiteiten van gebruikers periodiek te worden geanalyseerd.

Hiertoe dient gebruik te worden gemaakt van registraties van gebruikersactiviteiten (logging) en dient

tevens regelmatig te worden bewaakt of zich onregelmatigheden in de registraties voordoen

(bewaking). Ook dient periodiek getoetst te worden of de actuele autorisaties nog overeenkomen met

de werkelijke situatie en verder moet het volgende worden beoordeeld:

wijzigingen op autorisaties (vastgelegd in log-bestandeng);

afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).

Doelstelling

Het maakt mogelijk:

eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de

juistheid van de uitgevoerde acties te kunnen vaststellen;

handelingen te herleiden naar individuele personen.

Risico

Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden

vastgesteld wie welke handelingen heeft uitgevoerd.

C.03 Gebeurtenissen registreren (logging en monitoring) ISO27002:

12.4.1,

BIO: 12.4.1 Control Log-bestanden van gebeurtenissen die gebruikersactiviteiten,

uitzonderingen en informatiebeveiliging gebeurtenissen registreren, moeten

worden gemaakt, bewaard en regelmatig te worden beoordeeld.


log-

bestanden

1. Een log-regel bevat minimaal:

een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;

de gebeurtenis;

zo mogelijk de identiteit van het werkstation of de locatie;

het object waarop de handeling werd uitgevoerd;

het resultaat van de handeling;

de datum en het tijdstip van de gebeurtenis.

2. Een log-regel bevat in geen geval gegevens die de beveiliging kunnen

doorbreken (zoals wachtwoorden, inbelnummers, enz.).

gebruikers-

activiteiten

3. De informatie verwerkende omgeving wordt middels detectievoorzieningen

bewaakt door een SIEM en/of SOC, welke wordt ingezet op basis van een

risico-inschatting en van de aard van de te beschermen gegevens en

informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.

bewaard 4. Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische

kaders gedeeld binnen de overheid middels (geautomatiseerde) threat-

intelligence-sharing mechanismen.

5. De SIEM en/of SOC hebben heldere regels over wanneer een incident aan

het verantwoordelijk management moet worden gerapporteerd.

6. Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de

AVG, een verwerkingsactiviteiten register bijgehouden.

beoordeeld 7. De log-bestanden worden gedurende een overeengekomen periode

bewaard, ten behoeve van toekomstig onderzoek en toegangcontrole.

1-3-2019


C.04 Beheersorganisatie toegangbeveiliging

Voor het adequaat beheersen en beheren van het toegangbeveiliging systeem zou een

beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de

beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn

gepositioneerd.

Doelstelling

Het invullen, coördineren en borgen van de beheersing van het toegangbeveiliging systeem.

Risico

De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiliging systeem niet

optimaal functioneert.

C.04 Beheersorganisatie toegangbeveiliging Additioneel

Control De eigenaar van het toegangbeveiliging systeem en toegangmiddelen moet

een beheersingsorganisatie ingericht hebben waarin de processtructuur, de

taken, verantwoordelijkheden en bevoegdheden van de betrokken

functionarissen zijn vastgesteld.


proces-

structuur

1. De samenhang van de processen wordt door middel van een

processtructuur vastgelegd.

functiona-

rissen

2. De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie

zijn benoemd en de relaties tussen hen zijn door middel van een

organisatieschema inzichtelijk gemaakt.

taken,

verantwoor-

delijkheden

en bevoegd-

heden

3. De verantwoordelijkheden voor de beheersprocessen zijn aan een

specifieke functionaris toegewezen en vastgelegd.

4. De taken en verantwoordelijkheden voor de uitvoering van de

beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden

zijn vastgelegd in een autorisatiematrix.

1-3-2019


Bijlage 1: Geïdentificeerde objecten ingedeeld naar IFGS Afbeelding toevoegen

1-3-2019


Bijlage 2: Doelstelling en risico per object

Beleid domein

B.01 Toegangbeveiliging beleid ISO27002:9.1.1

Control Een beleid voor toegangbeveiliging moet worden vastgesteld, gedocumenteerd en beoordeeld

op basis van bedrijfs- en informatiebeveiliging eisen.

Doelstelling Het beheersen van de toegang tot informatie.

Risico Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare

inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het

inrichten van de beheerorganisatie van de autorisatievoorziening en hierover

verantwoordingrapportage te laten afgeven.

B.02 Eigenaarschap ISO27002,

SoGP PM 1.2

Control Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke

bedrijfsmiddelen) moet zijn vastgelegd.

Doelstelling Het bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem

voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden

ondernomen.

Risico Noodzakelijke beveiligingsacties blijven achterwege.

B.03 Beveiligingsfunctie SoGP: SM 2.1

Control Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor

het bevorderen van toegangbeveiliging binnen de gehele organisatie.

Doelstelling Het bewerkstelligen dat de toegangbeveiliging effectief wordt ingericht.

Risico Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten m.b.t.

toegangbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd, of dat

afwijkingen niet leiden tot corrigerende acties.

B.04 Cryptografie ISO27002: 10.1.1,

BIO: 10.1.1,

SoGP: TS2.2

Control Ter bescherming van authenticatie-informatie moet een beleid voor het gebruik van

cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. (BIO).

Doelstelling Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de

vertrouwelijkheid, authenticiteit en/of integriteit van authenticatie-informatie te beschermen.

Risico Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kunnen

worden, dan is de vertrouwelijkheid en integriteit van data niet data niet te garanderen.


Control De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de

organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB)

van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.

Doelstelling Het invullen, coördineren en borgen van het informatiebeveiliging beleid binnen de

organisatie.

Risico Het informatiebeveiliging beleid komt niet effectief tot uitvoering.

B.06 Toegangvoorziening architectuur Additioneel

Control De organisatie moet op basis van de organisatorische eisen en wensen de technische

inrichting beschreven hebben en in een toegangbeveiliging architectuur (TBA) vastgelegd.

Doelstelling Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten

die een rol spelen bij inrichting- en beheer van het toegangvoorziening domein.

1-3-2019


Risico Onvoldoende inzicht in de technische inrichting en de toegangvoorziening architectuur leidt

tot onvoldoende beheersing van het autorisatie ‘inrichting en beheer’ domein.

Uitvoering domein


BIO: 9.2.1

Control Een formele registratie- en afmeldingsprocedure moet worden geïmplementeerd om

toewijzing van toegangrechten mogelijk te maken.

Doelstelling Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en

voorkomen van onbevoegde toegang tot informatiesystemen.

Risico Door het ontbreken van formele procedures voor registraties en afmeldingen kan een

onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat

bewerkingen door onbevoegden plaatsvinden.


BIO: 9.2.2

Control Een formele Gebruikers Toegang Verlening procedure (GTV) moet worden geïmplementeerd

om toegangrechten voor alle typen gebruikers en voor alle systemen en diensten toe te

wijzen of in te trekken.

Doelstelling Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden.

Risico Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid

over wie welke handelingen mag verrichten.

U.03 Inlogprocedures ISO27002: 9.4.2,

BIO: 9.4.2

Control Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en

toepassingen te worden beheerst door een beveiligde inlogprocedure.

Doelstelling Het voorkomen van niet-geautoriseerde toegang tot bedrijfsinformatie en

informatiesystemen.

Risico Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van

informatiesystemen te voorkomen.


BIO: 9.2.6

Control Er moet een formeel autorisatieproces geïmplementeerd zijn voor het beheersen van

toegangrechten van alle medewerkers en externe gebruikers tot informatie en informatie

verwerkende faciliteiten.

Doelstelling Het bewerkstelligen dat enerzijds de integriteit van SOLL en IST wordt bevorderd en

anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.

Risico De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties

krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de

autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.

U.05 Wachtwoorden beheer ISO27002: 9.4.3,

BIO: 9.4.3

Control Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te

waarborgen.

Doelstelling Het bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde)

bedrijfsobjecten krijgen.

Risico Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen

hierdoor schade aan de bedrijfsbelangen veroorzaken.


BIO: 9.2.3

1-3-2019


Control Het toewijzen gebruik van speciale toegangrechten moet worden beperkt en beheerst.

Doelstelling Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.

Risico Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen

schade aan de bedrijfsbelangen veroorzaken.


BIO: 6.1.2

Control Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op

onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te

verminderen.

Doelstelling Het bewerkstelligen dat:

gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen

van de organisatie wordt verminderd;

niemand een gehele procescyclus kan beïnvloeden.

Risico Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een

verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige

taken.

Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of

onopzettelijk wordt gebruikt, gewijzigd of vernietigd.


BIO: 9.2.4

Control Het toewijzen van geheime authenticatie-informatie moet worden beheerst via een formeel

beheersproces.

Doelstelling Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat

daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het

systeem.

Risico Er kan misbruik van gegevens door onbevoegden worden gemaakt.


BIO: 9.4.1

Control Toegang (autorisatie) tot informatie en systeemfuncties van toepassingen moet worden

beperkt in overeenstemming met het beleid voor toegangbeveiliging.

Doelstelling Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.

Risico Door het niet beperken van toegang tot informatie en functies van toepassingssystemen

kunnen ongewenste wijzigingen in een informatiesysteem worden aangebracht.


Control Er moeten technische autorisatievoorzieningen zijn ter ondersteuning van autorisatiebeheer

beschikbaar, een personeelsregistratiesysteem, een autorisatiebeheersysteem,

autorisatiefaciliteiten binnen daartoe in aanmerking komende applicaties.

Doelstelling Het - voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten -

inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren

van gebruikers en autorisaties.

Risico Door het ontbreken van autorisatievoorzieningen is het mogelijk dat vervuiling optreedt bij

het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd,

waardoor onbevoegden toegang hebben tot gegevens.

U.11 Fysieke toegangbeveiliging ISO27002: 11.1.2,

BIO: 11.1.2

Control Beveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor

te zorgen dat alleen bevoegd personeel toegang krijgt.

1-3-2019


Doelstelling Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan

gebouwen of verstoring van informatie plaatsvindt.

Risico Onbevoegden kunnen schade en verstoringen in de computerruimte en aan informatie in de

Huisvesting-IV organisatie teweegbrengen.

Control domein

C.01 Beoordelingsprocedure Additioneel

Control Er moeten procedures te zijn vastgesteld om het gebruik van toegangvoorzieningen te

controleren.

Doelstelling Het bieden van ondersteuning bij het uitvoeren van formele controleactiviteiten.

Risico Onvoldoende mogelijkheden om vast te stellen of de controleactiviteiten gestructureerd

plaatsvinden.


BIO: 9.2.5

Control Eigenaren van bedrijfsmiddelen moeten toegangrechten van gebruikers regelmatig te

beoordelen.

Doelstelling Het vaststellen of:

de autorisaties juist zijn aangebracht in de applicaties;

de wijzigingen en verwijderingen juist zijn uitgevoerd;

de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van

de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en

doelbinding daar aanleiding toe geven.

Risico Het ontbreken van controle op de toegangrechten worden afwijkingen in het

autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat

het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.

C.03 Gebeurtenissen registreren ISO27002: 12.4.1,

BIO: 12.4.1

Control Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en

informatiebeveiliging gebeurtenissen registreren, moeten worden gemaakt, bewaard en

regelmatig te worden beoordeeld.

Doelstelling Het maakt mogelijk:

eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en

achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen,

handelingen te herleiden naar individuele personen.

Risico Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet

worden vastgesteld wie welke handelingen heeft uitgevoerd.

C.04 Beheersingsorganisatie toegangbeveiliging Additioneel

Control De eigenaar van het toegangbeveiligingssysteem en toegangmiddelen moet een

beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken,

verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Doelstelling Invullen, coördineren en borgen van de beheersing van het Toegangbeveiligingssysteem.

Risico De beheersorganisatie is niet effectief ingericht waardoor het Toegangbeveiligingssysteem

niet optimaal functioneert.

1-3-2019


Bijlage 3: Een scenario voor Toegangbeveiliging

Voor de inrichting en evaluatie van voorzieningen voor toegangbeveiliging, dient de fasering van

figuur 6 te worden gebruikt. Dit geldt zowel interne als externe medewerkers.

Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de

taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de

fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten

regelen.

Tijdens dienstverband (Doorstroom): in deze fase worden werknemers - afhankelijk van hun

functie - via trainingen en opleidingen bewust gemaakt van het omgaan van bedrijfsmiddelen

(o.a. bedrijfsgegevens) en hoe zij om moeten gaan met aspecten aangaande

informatiebeveiliging.

Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor

het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte

bedrijfsmiddelen volgens afgesproken procedure moeten inleveren.

Figuur 7: De relaties tussen de drie fases

Indiensttreding nieuwe medewerkers

Met de verstrekking van de aanstellingsbeschikking komt een medewerker, aangenomen door een

manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangpas (zoals een Rijkspas)

waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke

toegangbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot de logische

ruimtes; oftewel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene

kantoorautomatiseringomgeving, zoals de KA- of de Front-Office omgeving, en specifieke applicaties.

Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke

rechten krijgen.

Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te

voeren als een actieve functionaris; hierbij zijn verschillende afdelingen betrokken zoals:

personeelsafdeling, facilitaire zaken, en ICT afdeling.

Personeelsafdeling,

de personeelsafdeling (ofwel Human Resource Management) zorgt daarbij voor invoering van de

nieuwe medewerker in het personeelsbestand;

Facilitair Bedrijf,

het Facilitair Bedrijf zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een

toegangpas aan (Rijkspas = identificatiemiddel);

Gegevens/proceseigenaar,

de gegevens/proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd

zijn voor uitvoering van welke taken (autorisaties);

ICT-afdeling,

de ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot

benodigde applicaties alsmede het authenticatiemiddel (zoals Rijkspas).

Algemene en specifieke richtlijnen geldend voor:

werknemers en

werkgever

Indienstreding(Instroom)

Specifieke richtlijnen voor: verantwoord laten

functioneren van werknemers,

verantwoord omgaan van bedrijfsmiddelen

Specifieke richtlijnen voor: het beëindigen van het

dienstverband Het inleveren van

bedrijfsmiddelen

Tijdens dienstverband (Doorstroom)

Uitdiensttreding(Uitstroom)

1-3-2019


Deze stappen staan niet los van elkaar; zij dienen namelijk één gemeenschappelijk doel: Het bieden

van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere

acties vanuit de organisatie voor nodig teneinde de benodigde zaken te regelen om de medewerker in

de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis

moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiliging beleid. Fig.7

geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker.

Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de

medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek

toegangbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een

toegangpas, en een logisch toegangbewijs in de vorm van een account voor toegang tot IV-faciliteiten.

Na het met behulp van de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt

de gebruiker toegang tot applicaties.

Aan het account, het identificatiebewijs van de gebruiker, zijn toegangrechten (autorisaties)

gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft

hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van

Afbeelding 9: Het autorisatieproces

Afbeelding 8: Processtappen en acties bij de indiensttreding (instroom) van een medewerker

1-3-2019


wijzigingen van de toeganggegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er

sprake van blokkering van deze gegevens.

De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het

profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer

opgeslagen in het informatiesysteem. Figuur 8 geeft hiervan een overzicht.

Tijdens het dienstverband

Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen op

basis van de bij de indiensttreding verkregen middelen en toegangrechten. Daarvoor moeten fysieke

toegangsystemen, authenticatiesystemen en autorisatiesystemen worden ingericht.

Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een

andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing.

Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het

registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden

gedeactiveerd, de toegangrechten worden aangepast, geblokkeerd of verwijderd.

Uitdiensttreding

Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde

gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van

applicaties moeten worden verwijderd.

BIO thema Toegangbeveiliging - Remotion · best practices, zoals: SoGP, NIST en Cobit en de BIO...

Documents

Transcript of BIO thema Toegangbeveiliging - Remotion · best practices, zoals: SoGP, NIST en Cobit en de BIO...