Page Comparison

PAS TOE

• Identificatie: Geen identificatie vereist

• Authenticatie: Geen authenticatie vereist

• Autorisatie: Geen autorisatie vereist

• Beschrijf de Soll/Ist van je toepassing  

Alle maatregelen van Klasse 1 +

• Identificatie: Zwakke identificatie

• Authenticatie

  • eIDAS LAAG

  • Beheer van status van account

  • Bescherming van het paswoord in opslag en in transit. Bij federatie van de authenticatie, het verzekeren van gelijkaardige controles bij de derde partij

• Autorisatie: Autorisatie op basis van technische of organisatorische criteria

  • Technisch: Geauthentiseerde gebruikers, zonder lidmaatschap tot een autorisatierol.

  • Organisatorisch: Geauthentiseerde gebruikers, met toekenning tot autorisatierol op basis van lidmaatschap binnen de organisatie (of een deel ervan). Dit doe je middels een Soll/Ist-beschrijving.

• Bescherming van identificatiegegevens die toegang geven tot toepassingen. De identificatiegegevens zelf zijn klasse 3 voor Vertrouwelijkheid en 4 voor Integriteit en moet je beschermen met cryptografische controles.

Alle maatregelen van Klasse 1 + Klasse 2 +

• Identificatie: Sterke identificatie

• Authenticatie maatregelen: eIDAS SUBSTANTIEEL

• Autorisatie:

  • Gebruikersaccounts dienen gecategoriseerd te worden en toegangsrechten te worden opgesplitst op basis van rol en verantwoordelijkheden om ongeautoriseerde toegang te beperken en de IT-veiligheid te waarborgen. 

  • Voor beheer accounts dient volledige functiescheiding (in beheer en toegangsrechten op account) gevolgd te worden. 

  • Autorisatie registratie via toegangsbeheerproces (IDM);

  • Autorisatie op basis van functionele groep, deze functionele groep mag gedeeld worden door meerdere (deel-) applicaties;

  • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie.

• Voordat medewerkers de organisatie verlaten, dienen sleutels en badges te worden ingeleverd, alarmcodes moeten frequent worden gewijzigd, en het delen van alarmcodes met externe partijen is alleen toegestaan als toegang beperkt kan worden, bijvoorbeeld via tijdssloten.

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

• Sterke identificatie via de federale overheid

• Authenticatie maatregelen: 

  • eIDAS SUBSTANTIEEL

  • SSO via ACM voor gebruikers Vlaamse overheid.

• Autorisatie:

  • Autorisatie registratie via toegangsbeheerproces (IDM)

  •  Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

•  Autorisatie validatie:

  • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

  • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon.

  •  Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

  • Jaarlijkse periodieke herziening van de toegangen  

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

• Sterke identificatie via de federale overheid

• Authenticatie maatregelen:

  • eIDAS SUBSTANTIEEL

  •  SSO via ACM voor gebruikers Vlaamse overheid.

• Autorisatie:

  •  Autorisatie registratie via toegangsbeheerproces (IDM)

  •  Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

• Autorisatie validatie:

  • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

  • Validatie met goedkeuring van door twee door de organisatie geautoriseerde personen, waarvan minimaal één zonder hiërarchische of functionele relatie met het onderwerp.

  • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder, waarna de veiligheidscoördinator de finale validatie bevestigd.

  • Jaarlijkse periodieke herziening van de toegangen

PAS TOE

• Identificatie: Geen identificatie vereist

• Authenticatie: Geen authenticatie vereist

• Autorisatie: Geen autorisatie vereist

• Beschrijf de Soll/Ist van je toepassing

Alle maatregelen van Klasse 1 +

• Identificatie: Zwakke identificatie

• Authenticatie

  • eIDAS LAAG

  • Beheer van status van account

  • Bescherming van het paswoord in opslag en in transit. Bij federatie van de authenticatie, het verzekeren van gelijkaardige controles bij de derde partij 

• Autorisatie: Autorisatie op basis van technische of organisatorische criteria  

  • Technisch: Geauthentiseerde gebruikers, zonder lidmaatschap tot een autorisatierol.

  • Organisatorisch: Geauthentiseerde gebruikers, met toekenning tot autorisatierol op basis van lidmaatschap binnen de organisatie (of een deel ervan). Dit doe je middels een Soll/Ist-beschrijving. 

• Bescherming van identificatiegegevens die toegang geven tot toepassingen. De identificatiegegevens zelf zijn klasse 3 voor Vertrouwelijkheid en 4 voor Integriteit en moet je beschermen met cryptografische controles

Alle maatregelen van Klasse 1 + Klasse 2 +

• Identificatie: Sterke identificatie 

• Authenticatie maatregelen:

  • eIDAS SUBSTANTIEEL

  • Multi-factor authenticatie (MFA) dient expliciet te worden afgedwongen voor alle externe toegang tot het netwerk

• Autorisatie:

  • Gebruikersaccounts dienen gecategoriseerd te worden en toegangsrechten te worden opgesplitst op basis van rol en verantwoordelijkheden om ongeautoriseerde toegang te beperken en de IT-veiligheid te waarborgen

  • Autorisatie registratie via toegangsbeheerproces (IDM)

  • Autorisatie op basis van functionele groep, deze functionele groep mag gedeeld worden door meerdere (deel-)applicaties

  • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie.

  • Voordat medewerkers de organisatie verlaten, dienen sleutels en badges te worden ingeleverd, alarmcodes moeten frequent worden gewijzigd, en het delen van alarmcodes met externe partijen is alleen toegestaan als toegang beperkt kan worden, bijvoorbeeld via tijdssloten.

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

• Sterke identificatie via de federale overheid

• Authenticatie maatregelen:

  • eIDAS SUBSTANTIEEL

  • SSO via ACM voor gebruikers Vlaamse overheid.

• Autorisatie:

  • Autorisatie registratie via toegangsbeheerproces (IDM)

  • Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

• Autorisatie validatie:

  •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

  • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon

  • Voorbeeld: Lokale beheerder doet de registratie en deze wordt
    gevalideerd door de leidinggevende van het onderwerp of de
    toepassingsbeheerder

  • Jaarlijkse periodieke herziening van de toegangen

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

• Sterke identificatie via de federale overheid

• Authenticatie maatregelen:

  • eIDAS SUBSTANTIEEL

  • SSO via ACM voor gebruikers Vlaamse overheid.

• Autorisatie:

  • Autorisatie registratie via toegangsbeheerproces (IDM)

  • Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

• Autorisatie validatie:

  •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

  • Validatie met goedkeuring van door twee door de organisatie geautoriseerde personen, waarvan minimaal één zonder hiërarchische of functionele relatie met het onderwerp.

  • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder, waarna de veiligheidscoördinator de finale validatie bevestigd.

  •  Jaarlijkse periodieke herziening van de toegangen

PAS TOE

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

• De processen om een gebruiker te identificeren, authenticeren en te autoriseren moeten even beschikbaar zijn als de toepassing waartoe toegang verleend wordt.

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

• Elke organisatie moet de toegang tot de gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid beveiligen door middel van een identificatie-, authenticatie- en autorisatiesysteem. (Ref. KSZ 5.6.3). 

• Elke organisatie moet de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authenticatie, en autorisatie (Ref. KSZ 5.6.5). 

• Elke organisatie moet de gepaste maatregelen treffen opdat iedere persoon slechts toegang zou hebben tot de diensten waarvoor hij uitdrukkelijk een autorisatie heeft verkregen (Ref. KSZ 5.6.6).