Versions Compared

Old Version 6

changes.mady.by.user Yentl Goossens

Saved on

compared with

New Version 7

changes.mady.by.user Yentl Goossens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Je moet hiermee logica rekening houden in de opzet en toekenning van de rollen binnen de toepassing en haar beheer. Hierbij is het van belang dat de toegang die in de rollen vervat zit, altijd tweedelig is: de vertrouwelijkheids- en integriteitseisen gaan bepalen wie waartoe toegang zal kunnen krijgen.

Info

ACM
Het opzetten van rollen binnen een toepassing en het juist toewijzen van deze rollen aan gebruikers kun je met de Veiligheidsbouwsteen Toegangsbeheer (ACM). Deze bouwsteen houdt in haar ontwerp rekening met alle noodzakelijke controles die het ICR oplegt.

Relatie van de kwaliteitskenmerken met zwakke, resp. sterke identificatie

...

De exacte requirements hiervoor staan opgelijst in het Overzicht en integratie van de maatregelen. 

Info

Combinatie van Vertrouwelijkheid, Integriteit en Beschikbaarheid 
Belangrijk hierbij is dat de controles per klasse gecombineerd werken. Staat een controle bij meerdere kwaliteitskenmerken beschreven, dan implementeer je de strengste van beide criteria. Bijvoorbeeld: je moet voor Vertrouwelijkheid 3 en voor Integriteit 4 data encrypteren,
maar voor I4 moet je een zwaardere sleutel gebruiken dan voor C3. Dan moet je voor deze data de strengste sleutel van de twee gebruiken. Komt een controle maar in een van de twee categorieën voor, dan moet je die uiteraard ook nog steeds implementeren.

5.1.2.1.4. Integriteit van de gegevens betrokken in het identificatieproces

...

In de praktijk komt dit neer op het versleutelen van informatie. Meer details hierover vind je in het Beleidsdocument “Cryptografie”. De exacte controles op het gebied van versleuteling staan beschreven in het Beleidsdocument
Cryptografie. 

Info

Key Management as a Service
Voor het versleutelen van informatie kun je ook gebruik maken van de centraal aangeboden Veiligheidsbouwsteen Key Management as a Service. Deze zorgt ervoor dat je encryptiesleutels correct en veilig bewaard blijven en dat derden er geen toegang toe hebben.

...

De personen die toegang kunnen krijgen tot een toepassing of een systeem, moet je ook ergens opslaan. De database waar deze informatie opgeslagen is, moet je adequaat beschermen. De informatie van welke identiteiten er bestaan en waartoe deze toegang hebben in een bepaalde toepassing, is informatie van klasse 3 voor Vertrouwelijkheid en klasse 4 voor Integriteit. De maatregelen die hierop van toepassing zijn, staan beschreven in het Organisatiedocument. Deze informatieklasse geldt voor zowel de Vertrouwelijkheid als de Integriteit. Hiermee moet je garanderen dat de gebruikerslijst vertrouwelijk en integer blijft. Dit helpt om eventuele cyberaanvallen tegen specifieke profielen of gebruikers tegen te gaan.

Info

Identity Management
Om de gebruikte identiteiten correct te beheren, kun je bijvoorbeeld gebruik maken van de centrale Veiligheidsbouwsteen Identiteitsbeheer (IDM). Deze zorgt ervoor dat je altijd weet welk individu achter een gebruiker zit. Je kunt deze makkelijk linken aan het Toegangsbeheer (ACM) zodat je er zeker van bent van welke toegang een gebruiker heeft.

...

  • Voor de validatie tot toegang voor een gebouw zal het toegangscontrole systeem de toegang enkel valideren op iets dat in het bezit is van de gebruiker Bij de toegang tot het werkstation door middel van een gebruiker ID en paswoord zal de controle enkel gevalideerd worden op basis van iets wat de gebruiker weet

Info

Merk op:
In bovenstaande voorbeelden is er geen enkele garantie dat de gebruiker effectief ook de identiteit is, waaraan de toegang werd toegekend. Dit onderstreept het belang voor de organisatie dat gebruikers op de hoogte worden gebracht, hoe deze
authenticatiemiddelen correct worden gebruikt. 

...

Multifactor baseert zich bij de validatie van een identiteit op meerdere factoren door deze te combineren in het authenticatieproces. Het bekendste voorbeeld van het toepassen van een multifactor-authenticatie is de creditcard (iets wat je hebt) en de bijhorende pincode (iets wat je kent). Het authenticatie proces gebruikt daarbij twee factoren om de identiteit van een gebruiker vast te stellen.

Info

Merk op:
Gebruiker ID en paswoord bevinden zich beide in dezelfde factor klasse (iets dat je weet) en worden dus niet beschouwd als multifactor.

Tweetraps met één factor
Een belangrijk concept hierbij is dat multifactor uitgaat van twee los van elkaar bestaande factoren. Een toegangscode op bijvoorbeeld een smartphone (App en SMS) naast een reguliere wachtwoordtoegang, is volgens de definitie geen 'echte' multifactor-authenticatie, omdat er gebruik wordt gemaakt van één factor: iets wat je kent.

...

Volgende elementen zijn noodzakelijk in het toegangsbeheer vanaf informatieklasse 2 voor Vertrouwelijkheid en Integriteit of afhankelijk van de klassen van de verwerkte informatie binnen de doeltoepassing of dienst. 

Info

Opmerking:
Toegangsbeheer voor beheersactiviteiten, verschillend van reguliere toegangen voor eindgebruikers worden apart behandeld in het Privileged access management of PAM proces. Deze omvatten de beheerstoegangen tot achterliggende infrastructuur, platform of softwarecomponenten


Attributen van het toegangsbeheer

...

  • Basis attributen van het verzoek tot toegang (Datum, tijd, aanvrager, volgnummer, …)

  • Onderwerp, als referentie naar het individu die de toegang wenst te gebruiken.

  • Motivatie van het verzoek

  • Bevestiging van motivatie

  • Basis attributen van de validatie van de toegang (Datum, tijd, …)

  • Identiteit van de persoon die de goedkeuring(en) geeft.

  • (Optioneel: bijkomende opmerkingen)

  • Vervaldag van het toegangsrecht, afhankelijk van de klasse van de verwerkte informatie binnen de dienst of toepassing

  • Periodiek herhaalde (her)validatie van een recht, afhankelijk van de klasse van de verwerkte informatie binnen de dienst of toepassing

Info

Opmerking(en):

  • Motivatie op basis van organisatie lidmaatschap is beperkt tot informatie [klasse 2]. Deze motivatie bevat geen expliciete individuele bevestiging van de functionele behoefte door een toegangsbeheerder of hiërarchisch verantwoordelijke van het onderwerp. De toegang is bij deze voorgaand geautoriseerd door de toepassingsverantwoordelijke en gedelegeerd aan het toegangsbeheerproces.

  • Vanaf informatieklasse 3 voor Vertrouwelijkheid of Integriteit is er behoefte aan motivatie op basis van de functionele relatie tussen het onderwerp en toegang tot de verwerkte informatie.

Actoren(rollen) bij de verwerking van een toegang

...

Info

Ist-proces vs. De-provisioning
Het Ist-proces is een recurrent proces: je voert het op gestelde momenten uit om te controleren dat de reële situatie beantwoordt aan de ideale. Het is het moment om bepaalde fouten recht te zetten. Het de-provisioning-proces is een ad hoc proces dat je uitvoert telkens een medewerker van functie verandert, of de organisatie verlaat. Het Ist-proces stelt, als alles goed is, vast dat het deprovisioning-proces goed verlopen is.

Een rol toekennen

Je gebruikt de Soll-matrix als leidraad en kent enkel een rol toe aan een geïdentificeerd persoon. Als blijkt dat een aanvraag tot toegang niet strookt met de bestaande Soll en de aanvraag gerechtvaardigd is, pas je de Soll aan en laat je hem opnieuw valideren door de toepassingseigenaar. Afhankelijk van de informatieklasse van de data, zowel qua Vertrouwelijkheid als qua Integriteit, moet de identificatie van de persoon strenger zijn. Dit staat beschreven in het hoofdstuk Identificatie als maatregel. 

...