...
Maatregelen worden genomen als gevolg van een geïdentificeerd risico. Volgende mogelijkheden doen zich voor:
Preventie: vermijden dat iets gebeurt of het verlagen van de waarschijnlijkheid dat het gebeurt;
Detectie: detecteren van de (potentiële) schade zou een bedreiging optreden;
Reactie: beperken van de schade wanneer een bedreiging optreedt of het effect hiervan gedeeltelijk of geheel corrigeren.
Bij preventieve maatregelen wordt de dreiging verkleint tot het niveau dat ze aanvaardbaar is.
Detectie maatregelen zorgen ervoor dat een dreiging en het gevolg ervan tijdig ontdekt wordt.
Reactieve maatregelen richten zich op de gevolgen indien een dreiging zich toch voordoet, door het inperken of herstellen van de schade.
Het proces beheer serviceaanvragen voor toegang laat toe om toegang tot diensten en informatie gecontroleerd toe te staan, zodat niet-geautoriseerde toegang wordt vermeden. Beheer van serviceaanvragen voor toegang is dus een proactief proces.
...
Beheer van toegang tot ICT-diensten en informatie zorgt ervoor dat vertrouwelijkheid, integriteit en beschikbaarheid van ICT-diensten en informatie mogelijk wordt. Het zorgt ervoor dat gebruikers in de mogelijkheid verkeren om een ICT-dienst te gebruiken of informatie te beheren die ze nodig hebben om hun taken te kunnen uitvoeren, maar het verzekert niet noodzakelijk dat deze ICT-dienst of
informatie te allen tijde beschikbaar is (hiervoor dient het proces ‘beheer van beschikbaarheden’ of availability management).
Servicebeheer van toegang is nauw verbonden met het proces ‘beheer van serviceaanvragen’ en houdt volgende activiteiten in (zie hoofdstuk ‘De bouwstenen van beheer serviceaanvragen voor toegang’):
Aanmaak, indienen en registratie van de aanvraag tot toegang,
Validatie van de aanvraag,
Urgentie bepalen,
Aanvraag uitvoeren,
Validatie uitvoering en afsluiten.
...
Een organisatie moet de kritische succesfactoren definiëren die passend zijn voor haar omgeving en elke kritische succesfactor moet opgevolgd worden door één of meerdere kritische prestatie-indicatoren (zie hoofdstuk: 'Prestatie-indicatoren (KPI’s)').
Succesfactoren voor beheer serviceaanvragen voor toegang omvatten:
Gecontroleerde toegang tot informatie waarbij gelet wordt op de toegankelijkheid voor geautoriseerde gebruikers;
Gebruikers hebben het juiste niveau van toegang om hun taken te kunnen uitvoeren;
De mogelijkheid om toegang tot informatie te auditen en misbruik van toegangsrechten op te sporen;
De mogelijkheid om snel en efficiënt toegang te blokkeren waar nodig door het intrekken van rechten of het blokkeren van gebruikersaccounts.
...
Doelstelling van het beleid voor logische toegangsbeveiliging is het vaststellen van de identiteit van een gebruiker die toegang krijgt tot informatie, informatiesystemen of ICT-diensten, vaststellen welke functionaliteiten de gebruiker mag verkrijgen en het waarborgen van een gecontroleerde toegang (autoriseren) tot, en gebruik van, informatie, informatiesystemen of ICT-diensten. Hierbij moet je de afweging maken welke invloed deze toegang kan hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie.
De identiteit van een gebruiker kan worden vastgesteld via verschillende methodes gaande van zwakke identificatie tot sterke identificatie. Zodra een identiteit is vastgesteld, kan worden overgegaan tot authenticatie, waarbij de gebruiker zijn/haar identiteit bewijst. Ook hiervoor zijn verschillende methodes voorhanden van geen of zwakke authenticatie tot sterke authenticatie. Daarnaast is controle op gebruik van de account een belangrijke maatregel: het bijhouden van de nodige audit trails met het oog op traceerbaarheid.
Welke methodes wanneer moeten worden toegepast in functie van de informatieklassen is besproken in het document ‘Vo Informatieclassificatie – Minimale maatregelen – IAM’ 5.1. Minimale maatregelen - Identity en Access Management (IAM) . Het toegangsbeleid moet conform deze IAM minimale maatregelen uitgewerkt worden door de organisatie.
...
Een aanvraag tot toegang kan ingediend worden aan de helpdesk, servicedesk of een ander meldpunt dat de organisatie heeft aangeduid, of via een self service toepassing voor het verwerken van toegangsvragen van gebruikers. Een aanvraag tot toegang is onderdeel van het proces ‘beheer van serviceaanvragen’ en is besproken in document ‘Vo Informatieclassificatie – Minimale maatregelen – beheer aanvragen’. 4.2. Minimale maatregelen - Beheer aanvragen
Er kan toegang gevraagd worden tot toepassingen, maar ook tot netwerken en andere ICT-componenten waar gebruikers taken op moeten kunnen uitvoeren.
De aanvraag kan worden geïnitieerd door de gebruiker of zijn leidinggevende, door de toepassingseigenaar of CISO/ DPO en bevat minstens volgende informatie:
...
De aanvraag kan niet gevalideerd worden door de initiator van de vraag.
Het toegangsbeleid en het document ‘Vo Informatieclassificatie – minimale maatregelen – IAM’ 5.1. Minimale maatregelen - Identity en Access Management (IAM) levert de leidraad voor de beoordeling van de aanvraag: elke aanvraag moet hiermee conform zijn. Indien de aanvraag beantwoordt aan de vereisten opgelegd door de toepassingseigenaar en in lijn is met het toegangsbeleid, kan toegang tot de betrokken dienst of informatie verleend worden aan de
gebruiker.
...
Het bepalen van de prioriteit gebeurt enkel op basis van urgentie is beschreven in het document ‘Vo Informatieclassificatie – Minimale maatregelen – beheer aanvragen’. 4.2. Minimale maatregelen - Beheer aanvragen
4.8.3.3.5. Aanvraag uitvoeren
...