Excerpt | ||
---|---|---|
| ||
Toegangsbeveiliging omvat de maatregelen en richtlijnen op basis waarvan de identificatie, authenticatie en autorisatie van gebruikers tot informatie en bedrijfsmiddelen worden bepaald. |
Inhoud
Doel
Het beleid voor toegangsbeveiliging beschrijft de maatregelen die de organisatie moet nemen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot informatie en informatiesystemen.
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:
|
Beleid
Identificatie, authenticatie en autorisatie
Toegangsbeveiliging is een fundamenteel aspect van informatieveiligheid en wordt onderverdeeld in drie kernprocessen: identificatie, authenticatie en autorisatie. Deze processen werken samen om te verzekeren dat alleen bevoegde personen toegang krijgen tot informatie en informatiesystemen.
Identificatie: Dit is de eerste stap waarbij een fysieke persoon zichzelf kenbaar maakt aan een systeem door middel van een interactieve account. Een account moet gekoppeld zijn aan een fysieke persoon geïdentificeerd door een identiteit. Ook systemen kunnen zich aanmelden bij een ander systeem door middel van een niet-interactieve account. In dat geval moet geen identiteit gekoppeld worden aan de account. Via accounts kan men acties op een systeem ook volgen en controleren. Identiteiten worden beheerd via een proces van identiteitsbeheer, accounts worden beheerd via een proces van accountbeheer.
Authenticatie: Tijdens authenticatie wordt geverifieerd of de identiteit van de account legitiem is, gewoonlijk door het vragen om iets dat de persoon die de account gebruikt, weet (zoals een wachtwoord), iets dat de persoon heeft (zoals een smartcard of token), of iets dat de persoon is (zoals een vingerafdruk of een ander biometrisch kenmerk).
Autorisatie: Na identificatie en authenticatie bepaalt autorisatie welke rechten en privileges aan de geauthenticeerde account worden toegekend. Dit proces regelt de toegang tot verschillende resources binnen het systeem op basis van gebruikersrollen, beleidslijnen en regels.
Type accounts
Accounts variëren in soort en functie, elk met hun eigen beveiligingseisen. De volgende tabel biedt een overzicht van de diverse soorten accounts.
Interactieve accounts
Gebruikersaccounts
Standaard gebruikersaccounts:
Interactieve accounts gebruikt door één enkele persoon om toegang te verkrijgen tot zijn/haar digitale werkplek, het bedrijfsnetwerk en meerdere toepassingen via SSO (Single Sign-On).
Niet-standaard gebruikersaccounts:
Interactieve accounts gebruikt door één enkele persoon om toegang te verkrijgen tot een specifieke toepassing als gebruiker.
Gedeelde gebruikersaccounts:
Interactieve gebruikersaccount die gedeeld wordt door meerdere personen om toegang te krijgen tot een specifieke toepassing.
Gast accounts:
Een gastaccount is een gedeeld maar zeer beperkt gebruikersaccount dat bedoeld is voor personen die geen regelmatige toegang tot een systeem hebben en geen medewerkers zijn. Gastaccounts hebben zeer beperkte privileges en beperkingen op systeemtoegang.
Beheersaccounts
Superuser accounts:
Deze accounts worden automatisch geïnstalleerd en hebben de hoogste rechten op een systeem. Voorbeelden zijn: Administrator (Windows), root (Linux/Unix), sa (SQL Server), sysadmin (Oracle Database), System Administrator (Oracle E-Business Suite), EC2 Instance Connect (AWS), SAP* (SAP ERP), etc. Met deze accounts kan men alle geprivilegieerde taken uitvoeren, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc.
Persoonlijke beheersaccounts (ook genaamd geprivilegieerde accounts):
Interactieve accounts gebruikt door één enkele persoon voor het uitvoeren van bepaalde geprivilegieerde taken, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc.
Niet-interactieve accounts
Technische accounts
Systeemaccounts:
Systeemaccounts worden automatisch aangemaakt door het besturingssysteem of specifieke toepassingen voor processen en services op systeemniveau. Deze accounts worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie.
Serviceaccounts:
Serviceaccounts worden gebruikt door services, toepassingen of processen om te communiceren met het besturingssysteem of andere services. Deze accounts hebben vaak specifieke machtigingen die zijn afgestemd op de behoeften van de service of toepassing die ze ondersteunen en worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie.
Andere
Anonieme accounts (Anonymus, Public):
Sommige systemen ondersteunen anonieme accounts waarmee gebruikers toegang hebben tot bepaalde bronnen of services zonder expliciete verificatiegegevens te verstrekken. Deze accounts hebben doorgaans zeer beperkte bevoegdheden (bv enkel leesrechten), en worden gebruikt om algemene toegangsrechten toe te kennen voor elke gebruiker van het systeem.
Identificatie
Identiteitsbeheer
Voor het verlenen van toegang tot informatie en informatiesystemen voor een persoon moet een interactieve account worden aangemaakt, die moet gekoppeld wordt aan een geverifieerde persoon of fysieke identiteit. Hiertoe moet een organisatie een proces van identiteitsbeheer opzetten. Afhankelijk van de vertrouwelijkheid en integriteit van de informatie en informatiesystemen waarvoor toegang nodig is, wordt in het identificatieproces een onderscheid gemaakt tussen zwakke en sterke identificatie bij het creëren van een identiteit:
Zwakke identiteit: Validatie van de identiteit van een fysiek persoon op basis van een identiteitsattribuut dat niet onder controle valt van een door de overheid geregistreerde of gecertificeerde bron (bijvoorbeeld een e-mailadres of telefoonnummer);
Sterke identiteit: Validatie van de identiteit op basis van een door de Belgische federale overheid geregistreerde of gecertificeerde bron (bijvoorbeeld het rijksregisternummer).
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelVolgend minimale validatie van de identiteit MOET worden toegepast bij het beheer van identiteiten:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelEr MOET een formeel en gedocumenteerd proces zijn voor de registratie, het wijzigen en het verwijderen van identiteiten. Dit proces MOET voldoen aan volgende richtlijnen:
|
Accountbeheer
Standaard gebruikersaccounts
Standaard gebruikersaccounts zijn de interactieve accounts gebruikt door medewerkers om toegang te verkrijgen tot de digitale werkplek, het bedrijfsnetwerk en meerdere toepassingen via SSO (Single Sign-On). Een standaard gebruikersaccount is uniek voor een individu waardoor het de aansprakelijkheid en traceerbaarheid van acties mogelijk maakt en de beveiliging verbetert door gebruik te maken van persoonlijke authenticatiemethoden zoals wachtwoorden en multifactorauthenticatie.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelEr MOET een formeel en gedocumenteerd proces zijn voor het aanmaken, het wijzigen en het verwijderen van standaard gebruikersaccount. Dit proces MOET voldoen aan volgende richtlijnen:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet creëren van standaard gebruikersaccounts MOET volgende richtlijnen in acht nemen:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel De-activatie en verwijderen van standaard gebruikersaccounts MOET volgende richtlijnen in acht nemen:
|
Niet-standaard gebruikersaccounts
Een niet-standaard gebruikersaccount is een interactieve accounts gebruikt door een medewerker om toegang te verkrijgen tot één bepaald specifiek systeem dat bovendien niet via het SSO-principe bereikbaar is met de standaard gebruikersaccount. Een niet-standaard gebruikersaccount is net zoals een standaard gebruikersaccount uniek voor een individuele gebruiker, waardoor het de aansprakelijkheid en traceerbaarheid van acties mogelijk maakt en de beveiliging verbetert door gebruik te maken van persoonlijke authenticatiemethoden zoals wachtwoorden en multifactorauthenticatie.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelEr MOET een formeel en gedocumenteerd proces zijn voor het aanmaken, het wijzigen en het verwijderen van niet-standaard gebruikersaccount. Dit proces MOET voldoen aan volgende richtlijnen:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet creëren van niet-standaard gebruikersaccounts MOET volgende richtlijnen in acht nemen:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel De-activatie en verwijderen van niet-standaard gebruikersaccounts MOET volgende richtlijnen in acht nemen:
|
Gedeelde gebruikersaccount
Gedeelde gebruikersaccounts zijn interactieve gebruikersaccount die gedeeld wordt door meerdere personen om toegang te krijgen tot één bepaald specifiek systeem. Een gedeelde gebruikersaccount, die toegankelijk is voor meerdere individuen, bemoeilijkt de toewijzing van acties aan specifieke gebruikers en vergroot de beveiligingsrisico's door gedeelde wachtwoorden. Hoewel er functionele redenen kunnen zijn om een gedeelde account te gebruiken, wordt dit over het algemeen afgeraden.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet gebruik van gedeelde gebruikersaccounts MAG NIET, als dit in uitzonderlijke gevallen toch noodzakelijk is, MOET dit aan volgende voorwaarde voldoen:
|
Gast accounts
Een gastaccount is een gedeeld maar zeer beperkt gebruikersaccount dat bedoeld is voor personen die geen regelmatige toegang tot het systeem hebben en geen medewerkers zijn (bijvoorbeeld bezoekers op een kiosk-PC).
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet gebruik van gast accounts MOET aan volgende voorwaarde voldoen:
|
Superuser accounts
Superuser accounts (ook soms genaamd built-in accounts) worden automatisch geïnstalleerd bij initiële set-up van een systeem en hebben de allerhoogste rechten op een systeem. Voorbeelden zijn: Administrator (Windows), root (Linux/Unix), sa (SQL Server), sysadmin (Oracle Database), System Administrator (Oracle E-Business Suite), EC2 Instance Connect (AWS), SAP* (SAP ERP), etc. Met deze accounts kan men alle geprivilegieerde taken uitvoeren, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet gebruik van superuser accounts MOET aan volgende voorwaarde voldoen:
|
Persoonlijke beheersaccounts
Dit zijn interactieve accounts gebruikt door medewerker voor het uitvoeren van bepaalde geprivilegieerde taken op een systeem, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc. Een persoonlijke beheersaccount (ook genaamd geprivilegieerde account of account met privileges) is een type gebruikersaccount dat meer rechten en privileges heeft dan gewone gebruikersaccounts. Deze verhoogde privileges stellen de gebruiker in staat om kritieke administratieve taken uit te voeren, zoals het uitvoeren van onderhoudstaken die diepgaande toegang tot het systeem vereisen. Vanwege de verhoogde toegang die deze accounts bieden, worden ze als een significant beveiligingsrisico beschouwd indien ze niet goed worden beheerd en beschermd.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelPersoonlijke beheersaccounts MOETEN voldoen aan dezelfde implementatiemaatregelen als standaard gebruikersaccounts. Een medewerker die beheerstaken uitvoert MOET een een persoonlijke beheersaccount gebruiken en niet zijn standaard gebruikers account. Een beheer account MOET gescheiden zijn van de standaard gebruikersaccount en alleen worden gebruikt wanneer de beheerstaken vereist zijn. Een beheersaccount MAG worden afgeleid uit een superuser account (die alle privileges heeft), maar bij voorkeur worden beheersaccounts voor complexe systemen opgesplitst naargelang het type privileges, zoals bijvoorbeeld aparte beheersaccounts voor:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelEr MOET een formeel en gedocumenteerd proces zijn voor de creatie, het wijzigen en het verwijderen van persoonlijke beheersaccounts dat MOET voldoen aan volgende richtlijnen:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelWanneer per uitzondering beheersaccounts dienen toegekend te worden aan niet-medewerkers zoals leveranciers (bijvoorbeeld omwille van onderhoudsactiviteiten) dan MOET dit bijkomend voldoen aan de volgende richtlijnen:
|
Technische accounts
Technische accounts zijn niet-interactieve accounts zoals systeemaccounts en service accounts. Systeemaccounts worden automatisch aangemaakt door het besturingssysteem of specifieke toepassingen voor processen en services op systeemniveau. Deze accounts worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie. Service accounts worden gebruikt door services, toepassingen of processen om te communiceren met het besturingssysteem of andere services. Deze accounts hebben vaak specifieke machtigingen die zijn afgestemd op de behoeften van de service of toepassing die ze ondersteunen en worden intern door het systeem gebruikt en zijn eveneens niet bedoeld voor directe gebruikersinteractie.
Technische accounts worden gebruikt voor het uitvoeren van geautomatiseerde taken, het beheren van applicatieservices, het faciliteren van communicatie tussen systemen, en voor specifieke onderhouds- en beheerfuncties binnen een IT-infrastructuur. In tegenstelling tot gebruikersaccounts zijn technische accounts niet gelinkt aan een geverifieerde persoon en kunnen ze niet worden gebruikt voor interactieve login met een systeem.
Technische accounts hebben vaak significante rechten nodig om hun taken uit te voeren en moeten daarom zorgvuldig worden beheerd om veiligheidsrisico's te minimaliseren.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelEr MOET een formeel en goed gedocumenteerd proces bestaan voor de creatie, het wijzigen en het verwijderen van technische accounts, dat MOET voldoen aan de volgende vereisten:
|
Authenticatie
Authenticatiemechanismen
Het authenticatiemechanisme is een proces of methode om de identiteit van een gebruiker of entiteit te verifiëren voordat toegang wordt verleend tot een systeem. Dit proces zorgt ervoor dat de persoon of het systeem daadwerkelijk is wie of wat het beweert te zijn. Authenticatiemechanismen kunnen variëren van eenvoudige wachtwoordcontroles tot meer complexe systemen zoals biometrische scans, hardware tokens, smartcards, digitale certificaten of multi-factor authenticatie (MFA) waarbij meerdere methoden gecombineerd worden voor een verhoogd beveiligingsniveau.
In het kader van de Europese eIDAS-verordening (Verordening (EU) nr. 910/2014), zijn er drie betrouwbaarheidsniveaus:
Lage mate van zekerheid (betrouwbaarheidsniveau laag):
Basisverificatie en authenticatie;
Meestal gebruikt voor diensten met een laag risico;
Minimale vereisten voor identiteitsverificatie;
Voorbeelden hiervan zijn toegang tot openbare informatie of eenvoudige online diensten.
Substantiële mate van zekerheid (betrouwbaarheidsniveau substantieel):
Strengere verificatie en authenticatie;
Geschikt voor diensten met een gemiddeld risico;
Vereist een sterkere identiteitsverificatie;
Gebruikt voor diensten zoals online bankieren of toegang tot gevoelige persoonlijke gegevens.
Hoge mate van zekerheid (betrouwbaarheidsniveau hoog):
Hoogste niveau van verificatie en authenticatie;
Gereserveerd voor diensten met een hoog risico;
Rigoureuze identiteitsverificatie, vaak met face-to-face processen;
Gebruikt voor kritieke diensten zoals het ondertekenen van juridisch bindende documenten of toegang tot vertrouwelijke overheidsdiensten.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelVolgend minimaal authenticatieniveau MOET worden toegepast op basis van de eIDAS-schalen:
Elk authenticatiemechanisme dat op zijn minst geen gebruik maakt van een unieke gebruikersaccount en wachtwoord MOET formeel worden goedgekeurd. |
Voor Digitaal Vlaanderen zijn de beschikbare authenticatiemiddelen de volgende (zie ook Vlaamse overheid authenticatiemiddelen).
eIDAS schaal
Authenticatiemiddel
URN
Hoog
eID en aangesloten kaartlezer
urn:be:vlaanderen:authmech:eid
Hoog
Itsme
urn:be:vlaanderen:authmech:itsme
Hoog
Eidas High
urn:be:vlaanderen:authmech:eidashigh
Substantieel
FIDO Vlaanderen
urn:be:vlaanderen:authmech:fido
Substantieel
myID
urn:be:vlaanderen:authmech:myid
Substantieel
Beveiligingscode via mobiele app (OTP via app)
urn:be:vlaanderen:authmech:csamtotp
Substantieel
Beveiligingscode via SMS (OTP via sms)
urn:be:vlaanderen:authmech:csamsms
Substantieel
Beveiligingscode via e-mail (OTP via mail)
urn:be:vlaanderen:authmech:mailotp
Substantieel
Eidas Substantial
urn:be:vlaanderen:authmech:eidassubstantial
NVT
CBA (Certificate Based Authenticatie)
urn:be:vlaanderen:authmech:tlsclient
NVT
Alfa-windows-account
urn:be:vlaanderen:authmech:kerberos
NVT
LeerID
urn:be:vlaanderen:authmech:leerid
NVT
Gebruikersnaam/wachtwoord via CLDAP
urn:be:vlaanderen:authmech:password
Laag
Gebruikersnaam/wachtwoord via CSAM
urn:be:vlaanderen:authmech:csampassword
Laag
Unlinked Gebruikersnaam/wachtwoord via CSAM
urn:be:vlaanderen:authmech:csamselfreg
Single Sign-On
Single sign-on (afgekort SSO) stelt eindgebruikers in staat om eenmalig in te loggen waarna automatisch toegang wordt verschaft tot meerdere applicaties en resources in het netwerk. Een voorbeeld is dat een medewerker inlogt op zijn werkstation met de standaard gebruikersaccount waarna achter de schermen met behulp van een Kerberos-protocol ook automatisch ingelogd wordt op het bedrijfsnetwerk en op een bedrijfstoepassing zoals bijvoorbeeld Microsoft Dynamics binnen het netwerk zonder bijkomende authenticatie.
Bij SSO hoeft de eindgebruiker niet iedere keer opnieuw in te loggen bij een toepassing, en het inlogscherm van een toepassing wordt niet langer getoond.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelSingle sign-on MOET verlopen via het standaard gebruikersaccount. Single sign-on MAG worden toegepast voor toegang tot en met informatieklasse 3. Voor toegang tot informatieklasse 4 MAG single sign-on ENKEL gebruikt worden binnen het interne netwerk. Single sign-on MAG NIET gebruikt worden voor toegang tot informatieklasse 5. |
Bijkomende vereiste voor technische accounts
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet gebruik van technische accounts MOET voldoen aan volgende richtlijnen:
|
Veilige inlogprocedure
De inlogprocedure is de functionaliteit die wordt gebruikt om gebruikers interactieve toegang te geven tot systemen of applicaties, zoals het invoeren van een gebruikersnaam en wachtwoord.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelElke inlogprocedure MOET voldoen aan volgende minimale vereisten:
|
Sessie -en schermvergrendeling
Sessievergrendeling en schermvergrendeling zijn beveiligingsfuncties die gebruikt worden om ongeautoriseerde toegang tot apparaten en applicaties te voorkomen. Sessievergrendeling houdt in dat een gebruikerssessie op een computer of applicatie automatisch wordt vergrendeld na een periode van inactiviteit of wanneer de gebruiker ervoor kiest om de sessie handmatig te vergrendelen. Tijdens een vergrendelde sessie blijft de gebruiker ingelogd, maar is toegang tot de sessie beperkt tot de gebruiker zich opnieuw authenticeert. Schermvergrendeling daarentegen betreft het vergrendelen van het scherm van een apparaat, zoals een computer, tablet of smartphone, waarbij de toegang tot de informatie op het scherm wordt geblokkeerd. Om toegang te herwinnen, is herauthenticatie vereist. Beide maatregelen zijn essentieel voor het beschermen van persoonlijke en professionele gegevens tegen onbevoegde toegang, vooral in situaties waar de gebruiker zijn werkplek tijdelijk verlaat.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelSessie -en schermvergrendeling MOET voldoen aan volgende minimale vereisten:
|
Wachtwoordbeleid
Het gebruik van een wachtwoord
De gebruiker is in eerste instantie zelf verantwoordelijk om op een veilige manier om te springen met inloggegevens. Een wachtwoord is een vaak terugkerend aspect in de verschillende authenticatiemechanismen (zie bovenstaande tabel).
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET zorgen dat gebruikers bewust zijn van hun verantwoordelijkheden m.b.t. het veilig omspringen met inloggegevens, deze richtlijnen moeten volgende aspecten omvatten:
|
Complexiteitsregels voor wachtwoorden
De complexiteitsregels verhogen de mate van onvoorspelbaarheid of willekeurigheid die een wachtwoord bezit. Hoe hoger de complexiteit, hoe moeilijker het wachtwoord te raden of te kraken is door brute force-aanvallen of andere hacking-methoden. De complexiteit wordt beïnvloed door verschillende factoren, zoals de lengte van het wachtwoord en het gebruik van een mix van hoofdletters, kleine letters, cijfers en speciale tekens. Een wachtwoord met hoge complexiteit zal typisch een willekeurige reeks van deze karakters bevatten, zonder voorspelbare patronen of woorden.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe volgende complexiteitsregels MOETEN worden in acht genomen en indien mogelijk technisch afgedwongen:
Indien het systeem niet kan worden geconfigureerd om bovenstaande complexiteitsregels technisch af te dwingen, MOET controle op een procesmatige manier gebeuren. |
Beheer van wachtwoorden
Hierbij wordt verwezen naar de specifieke technologische hulpmiddelen en procedures die worden ingezet om wachtwoorden veilig te creëren, op te slaan, te beheren en te gebruiken. Deze maatregelen zijn bedoeld om de veiligheid en effectiviteit van wachtwoordgebruik te verhogen.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet beheer van wachtwoorden MOET voldoen aan volgende minimale vereiste:
|
Toekennen van een nieuw of gewijzigd wachtwoord
Een gestandaardiseerd proces zorgt voor een veilige overdracht van nieuwe of gewijzigde wachtwoorden aan de gebruiker, waardoor het risico op onderschepping door onbevoegden wordt geminimaliseerd.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet proces voor het toekennen van een nieuw of gewijzigd wachtwoord MOET volgende aspecten omvatten:
|
Logging
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelZowel succesvolle als mislukte inlogpogingen MOETEN geregistreerd worden. De logs van mislukte inlogpogingen MOETEN periodiek worden nagekeken op trends om inbraakpogingen te detecteren. |
Autorisatie
Na identificatie en authenticatie bepaalt autorisatie welke rechten en privileges aan de geauthenticeerde account worden toegekend. Dit proces regelt de toegang tot verschillende resources binnen het systeem op basis van gebruikersrollen, beleidslijnen en regels.
Basisprincipes
Een aantal basisprincipes dragen bij tot een robuuste en veilige autorisatiestructuur binnen de organisatie. Ze helpen niet alleen bij het beschermen tegen externe bedreigingen, maar verhogen ook de interne controle en verantwoording, wat essentieel is voor het behoud van de integriteit en vertrouwelijkheid van informatie en informatiesystemen.
Need to know: Dit principe vermindert het risico dat gevoelige informatie onnodig wordt blootgesteld en helpt bij het beschermen van vertrouwelijke of kritieke data tegen ongeoorloofde inzage of manipulatie.
Least privilege: Dit principe beperkt de impact van een eventueel beveiligingsincident omdat gebruikers of systemen alleen toegang hebben tot wat strikt nodig is.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelToegang van accounts tot informatie en systemen MOET de volgende basisprincipes in acht nemen:
|
Role-Based Access Control
Role-Based Access Control (RBAC) is een methode voor toegangsbeheer die de toegang van gebruikers tot informatie en informatiesystemen regelt op basis van hun takenpakket binnen de organisatie. In plaats van toegangsrechten toe te kennen aan individuele gebruikers, worden deze rechten gekoppeld aan rollen en wordt vervolgens een rol toegekend aan een gebruiker. Door toegangsrechten aan rollen te koppelen, hoeft de beheerder niet voor elke gebruiker afzonderlijk toegangsrechten toe te kennen. Het vereenvoudigt het beheer en vermindert de kans op fouten. Daarnaast zorgt RBAC ervoor dat gebruikers alleen toegang hebben tot de informatie en middelen die ze nodig hebben voor hun werk. RBAC maakt het ook mogelijk om toegangsrechten snel en efficiënt aan te passen of in te trekken. Dit is essentieel voor goede controle en beheer van toegang binnen de organisatie, bijvoorbeeld wanneer gebruikers van rol wisselen of de organisatie verlaten.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet gebruik van Role-Based Access Control waarbij het verlenen, wijzigen of intrekken van toegangsrechten aan een gebruiker gebeurt op basis van de toegekende rollen, is AANGEWEZEN waarbij:
|
Verlenen en intrekken van toegangsrechten
Effectief beheer van het verlenen en intrekken van toegangsrechten helpt bij het handhaven van de beveiliging, het voorkomen van ongeautoriseerde toegang, en het verzekeren van de naleving van de hierboven beschreven basisprincipes.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelVoor elk systeem MOET er een formeel proces zijn waarbij toegangsrechten voor gebruikers worden toegekend of ingetrokken, gebaseerd op veranderende behoeften, taken of verantwoordelijkheden van medewerkers. Er MOET een formele aanvraagprocedure zijn voor het verlenen, wijzigen of intrekken van toegangsrechten. Alle aanvragen MOETEN in een centraal systeem worden gelogd. De eigenaar van de informatie MOET valideren wie toegang nodig heeft, zowel voor het lezen als het wijzigen van de informatie, en voor hoe lang deze toegang vereist is. Volgende attributen MOETEN gelogd worden om een auditeerbaar proces te garanderen:
|
Validatie van toegangsrechten
Het validatieproces controleert of de toegangsrechten van gebruikers in de organisatie juist zijn en passen bij hun rollen en verantwoordelijkheden.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelToegangsrechten MOGEN pas worden verleend na het voltooien van een validatieprocedure. Deze procedure MOET consequent de basisprincipes van need to know, least privileges en scheiding van taken hanteren, waarbij zelf-autorisatie van een aanvraag niet is toegestaan. De validatieprocedure MOET, afhankelijk van de informatieklasse, de volgende regels volgen:
|
Herzien van toegangsrechten
Het regelmatig herzien van toegewezen toegangsrechten is cruciaal om ervoor te zorgen dat gebruikers geen ongepaste of onnodige toegang krijgen of behouden tot informatie en informatiesystemen. Deze evaluatie helpt bij het identificeren en corrigeren van eventuele onjuistheden in de toegangsverlening. Het voorkomt ook dat gebruikers rechten behouden die niet langer relevant zijn vanwege veranderingen in hun functie, rol of projectbetrokkenheid.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelRollen en de hieraan toegewezen machtigingen MOETEN jaarlijks worden herzien. De rollen en/of toegangsrechten toegewezen aan accounts MOETEN periodiek worden herzien naargelang de informatieklasse:
|
Privileged Account Management
Persoonlijke beheeraccounts (of geprivilegieerde accounts) zijn een belangrijk aandachtspunt in de beveiliging van de organisatie, omdat ze uitgebreide toegangsrechten bieden tot informatie en informatiesystemen. Deze accounts vormen een aantrekkelijk doelwit voor externe aanvallers en kwaadwillende insiders, die misbruik kunnen maken van deze rechten om informatie te stelen, systemen te saboteren of andere schadelijke activiteiten uit te voeren. Ook kunnen fouten gemaakt door gebruikers met beheertoegang onbedoeld ernstige problemen veroorzaken, zoals datalekken of systeemstoringen. Door de uitgebreide toegangsrechten van deze accounts is het risico op significante schade bij misbruik of fouten veel groter dan bij standaard gebruikersaccounts.
Omwille van deze redenen zijn voor het gebruik van persoonlijke beheeraccounts striktere maatregelen van toepassing dan op gewone gebruikersaccounts. We onderscheiden drie implementatieniveaus van toegangscontrole voor geprivilegieerde accounts (oftewel Privileged Account management (PAM)), die een toenemende mate van veiligheid en controle bieden, afhankelijk van het toepassingscriteria.
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
Implementatiemaatregel
De volgende implementatieniveaus MOETEN worden toegepast op persoonlijke beheersaccounts naargelang de informatieklasse:
Beschikbaarheid Integriteit Vertrouwelijkheid
5 HOOG HOOG HOOG
4 MIDDEN MIDDEN HOOG3 BASIS BASIS MIDDEN
2 BASIS BASIS BASIS
1 BASIS BASIS BASIS
Sommige van de aspecten van PAM in onderstaande tabel werden reeds eerder vermeld in bovenstaande paragrafen en worden hier herhaald ten einde een volledig overzicht te bieden.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Excerpt | ||||||||
| ||||||||
Toegangsbeveiliging omvat de maatregelen en richtlijnen op basis waarvan de identificatie, authenticatie en autorisatie van gebruikers tot informatie en informatiesystemen worden bepaald. |
Het beleid voor toegangsbeveiliging beschrijft de maatregelen die de organisatie moet nemen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot informatie en informatiesystemen.
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:
|
Identificatie, authenticatie en autorisatie
Toegangsbeveiliging is een fundamenteel aspect van informatieveiligheid en wordt onderverdeeld in drie kernprocessen: identificatie, authenticatie en autorisatie. Deze processen werken samen om te verzekeren dat alleen bevoegde personen toegang krijgen tot informatie en informatiesystemen.
Identificatie: Dit is de eerste stap waarbij een fysieke persoon zichzelf kenbaar maakt aan een systeem door middel van een interactieve account. Een account moet gekoppeld zijn aan een fysieke persoon geïdentificeerd door een identiteit. Ook systemen kunnen zich aanmelden bij een ander systeem door middel van een niet-interactieve account. In dat geval moet geen identiteit gekoppeld worden aan de account. Via accounts kan men acties op een systeem ook volgen en controleren. Identiteiten worden beheerd via een proces van identiteitsbeheer, accounts worden beheerd via een proces van accountbeheer. Men spreekt hier van zwakke of sterke identificatie in functie van de zekerheid dat men wil verkrijgen in hoeverre de fysieke persoon daadwerkelijk hij of zij is die men aangeeft.
Authenticatie: Tijdens authenticatie wordt geverifieerd of de identiteit van de account legitiem is, gewoonlijk door het vragen om iets dat de persoon die de account gebruikt, weet (zoals een wachtwoord), iets dat de persoon heeft (zoals een smartcard of token), of iets dat de persoon is (zoals een vingerafdruk of een ander biometrisch kenmerk). Men spreekt hier van zwakke of sterke authenticatie.
Autorisatie: Na identificatie en authenticatie bepaalt autorisatie welke rechten en privileges aan de geauthenticeerde account worden toegekend. Dit proces regelt de toegang tot verschillende resources binnen het systeem op basis van gebruikersrollen, beleidslijnen en regels.
Informatie en informatiesystemen moet in deze context breed geïnterpreteerd worden. Voor meer duidelijkheid omtrent het begrip informatie wordt verwezen het beleid Informatiebescherming. Met informatiesystemen (of systemen) worden zeer breed de bedrijfsmiddelen bedoeld die toegang verlenen tot informatie. Dit omvat zowel bedrijfsnetwerken, werkstations, operating systems, toepassingen, databases, websites, mobile devices, mobile apps, enz. Dit beleid is van toepassing op de identificatie, authenticatie en autorisatie stappen die op elk van dit type systemen kunnen voorkomen.
Type accounts
Accounts variëren in soort en functie, elk met hun eigen beveiligingseisen. De volgende tabel biedt een overzicht van de diverse soorten accounts.
Interactieve accounts | Gebruikersaccounts | Standaard gebruikersaccounts: Interactieve accounts gebruikt door één enkele persoon om toegang te verkrijgen tot zijn/haar digitale werkplek, het bedrijfsnetwerk en meerdere toepassingen via SSO (Single Sign-On). |
|
| Niet-standaard gebruikersaccounts: Interactieve accounts gebruikt door één enkele persoon om toegang te verkrijgen tot een specifieke toepassing als gebruiker. |
|
| Gedeelde gebruikersaccounts: Interactieve gebruikersaccount die gedeeld wordt door meerdere personen om toegang te krijgen tot een specifieke toepassing. |
|
| Gast accounts: Een gastaccount is een gedeeld maar zeer beperkt gebruikersaccount dat bedoeld is voor personen die geen regelmatige toegang tot een systeem hebben en geen medewerkers zijn. Gastaccounts hebben zeer beperkte privileges en beperkingen op systeemtoegang. |
| Beheersaccounts
| Superuser accounts: Deze accounts worden automatisch geïnstalleerd en hebben de hoogste rechten op een systeem. Voorbeelden zijn: Administrator (Windows), root (Linux/Unix), sa (SQL Server), sysadmin (Oracle Database), System Administrator (Oracle E-Business Suite), EC2 Instance Connect (AWS), SAP* (SAP ERP), etc. Met deze accounts kan men alle geprivilegieerde taken uitvoeren, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc. |
|
| Persoonlijke beheersaccounts (ook genaamd geprivilegieerde accounts): Interactieve accounts gebruikt door één enkele persoon voor het uitvoeren van bepaalde geprivilegieerde taken, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc. |
Niet-interactieve accounts | Technische accounts | Systeemaccounts: Systeemaccounts worden automatisch aangemaakt door het besturingssysteem of specifieke toepassingen voor processen en services op systeemniveau. Deze accounts worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie. |
|
| Serviceaccounts: Serviceaccounts worden gebruikt door services, toepassingen of processen om te communiceren met het besturingssysteem of andere services. Deze accounts hebben vaak specifieke machtigingen die zijn afgestemd op de behoeften van de service of toepassing die ze ondersteunen en worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie. |
| Andere | Anonieme accounts (Anonymus, Public): Sommige systemen ondersteunen anonieme accounts waarmee gebruikers toegang hebben tot bepaalde bronnen of services zonder expliciete verificatiegegevens te verstrekken. Deze accounts hebben doorgaans zeer beperkte bevoegdheden (bv enkel leesrechten), en worden gebruikt om algemene toegangsrechten toe te kennen voor elke gebruiker van het systeem. |
Identificatie
Identiteitsbeheer
Voor het verlenen van toegang tot informatie en informatiesystemen voor een persoon moet een interactieve account worden aangemaakt, die moet gekoppeld wordt aan een geverifieerde persoon of fysieke identiteit. Hiertoe moet een organisatie een proces van identiteitsbeheer opzetten. Afhankelijk van de vertrouwelijkheid en integriteit van de informatie en informatiesystemen waarvoor toegang nodig is, wordt in het identificatieproces een onderscheid gemaakt tussen zwakke en sterke identificatie bij het creëren van een identiteit:
Zwakke identiteit: Validatie van de identiteit van een fysiek persoon op basis van een identiteitsattribuut dat niet onder controle valt van een door de overheid geregistreerde of gecertificeerde bron (bijvoorbeeld een e-mailadres of telefoonnummer);
Sterke identiteit: Validatie van de identiteit op basis van een door de Belgische federale overheid geregistreerde of gecertificeerde bron (bijvoorbeeld het rijksregisternummer).
Meer informatie kan men terugvinden in https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6425710555/5.1.2.+Aanvullende+informatie+over+de+maatregelen+IAM#5.1.2.1.-Identificatie-als-maatregel.
|
---|
Accountbeheer
Standaard gebruikersaccounts
Standaard gebruikersaccounts zijn de interactieve accounts gebruikt door medewerkers om toegang te verkrijgen tot de digitale werkplek, het bedrijfsnetwerk en meerdere toepassingen via SSO (Single Sign-On). Een standaard gebruikersaccount is uniek voor een individu waardoor het de aansprakelijkheid en traceerbaarheid van acties mogelijk maakt en de beveiliging verbetert door gebruik te maken van persoonlijke authenticatiemethoden zoals wachtwoorden en multifactorauthenticatie.
|
---|
Niet-standaard gebruikersaccounts
Een niet-standaard gebruikersaccount is een interactieve accounts gebruikt door een medewerker om toegang te verkrijgen tot één bepaald specifiek systeem dat bovendien niet via het SSO-principe bereikbaar is met de standaard gebruikersaccount. Een niet-standaard gebruikersaccount is net zoals een standaard gebruikersaccount uniek voor een individuele gebruiker, waardoor het de aansprakelijkheid en traceerbaarheid van acties mogelijk maakt en de beveiliging verbetert door gebruik te maken van persoonlijke authenticatiemethoden zoals wachtwoorden en multifactorauthenticatie.
|
---|
Gedeelde gebruikersaccount
Gedeelde gebruikersaccounts zijn interactieve gebruikersaccount die gedeeld wordt door meerdere personen om toegang te krijgen tot één bepaald specifiek systeem. Een gedeelde gebruikersaccount, die toegankelijk is voor meerdere individuen, bemoeilijkt de toewijzing van acties aan specifieke gebruikers en vergroot de beveiligingsrisico's door gedeelde wachtwoorden. Hoewel er functionele redenen kunnen zijn om een gedeelde account te gebruiken, wordt dit over het algemeen afgeraden.
|
---|
Gast accounts
Een gastaccount is een gedeeld maar zeer beperkt gebruikersaccount dat bedoeld is voor personen die geen regelmatige toegang tot het systeem hebben en geen medewerkers zijn (bijvoorbeeld bezoekers op een kiosk-PC).
|
---|
Superuser accounts
Superuser accounts (ook soms genaamd built-in accounts) worden automatisch geïnstalleerd bij initiële set-up van een systeem en hebben de allerhoogste rechten op een systeem. Voorbeelden zijn: Administrator (Windows), root (Linux/Unix), sa (SQL Server), sysadmin (Oracle Database), System Administrator (Oracle E-Business Suite), EC2 Instance Connect (AWS), SAP* (SAP ERP), etc. Met deze accounts kan men alle geprivilegieerde taken uitvoeren, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc.
|
---|
Persoonlijke beheersaccounts
Dit zijn interactieve accounts gebruikt door medewerker voor het uitvoeren van bepaalde geprivilegieerde taken op een systeem, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc. Een persoonlijke beheersaccount (ook genaamd geprivilegieerde account of account met privileges) is een type gebruikersaccount dat meer rechten en privileges heeft dan gewone gebruikersaccounts. Deze verhoogde privileges stellen de gebruiker in staat om kritieke administratieve taken uit te voeren, zoals het uitvoeren van onderhoudstaken die diepgaande toegang tot het systeem vereisen. Vanwege de verhoogde toegang die deze accounts bieden, worden ze als een significant beveiligingsrisico beschouwd indien ze niet goed worden beheerd en beschermd.
|
---|
Technische accounts
Technische accounts zijn niet-interactieve accounts zoals systeemaccounts en service accounts. Systeemaccounts worden automatisch aangemaakt door het besturingssysteem of specifieke toepassingen voor processen en services op systeemniveau. Deze accounts worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie. Service accounts worden gebruikt door services, toepassingen of processen om te communiceren met het besturingssysteem of andere services. Deze accounts hebben vaak specifieke machtigingen die zijn afgestemd op de behoeften van de service of toepassing die ze ondersteunen en worden intern door het systeem gebruikt en zijn eveneens niet bedoeld voor directe gebruikersinteractie.
Technische accounts worden gebruikt voor het uitvoeren van geautomatiseerde taken, het beheren van applicatieservices, het faciliteren van communicatie tussen systemen, en voor specifieke onderhouds- en beheerfuncties binnen een IT-infrastructuur. In tegenstelling tot gebruikersaccounts zijn technische accounts niet gelinkt aan een geverifieerde persoon en kunnen ze niet worden gebruikt voor interactieve login met een systeem.
Technische accounts hebben vaak significante rechten nodig om hun taken uit te voeren en moeten daarom zorgvuldig worden beheerd om veiligheidsrisico's te minimaliseren.
|
---|
Authenticatie
Authenticatiemechanismen
Het authenticatiemechanisme is een proces of methode om de identiteit van een gebruiker of entiteit te verifiëren voordat toegang wordt verleend tot een systeem. Dit proces zorgt ervoor dat de persoon of het systeem daadwerkelijk is wie of wat het beweert te zijn. Authenticatiemechanismen kunnen variëren van eenvoudige wachtwoordcontroles tot meer complexe systemen zoals biometrische scans, hardware tokens, smartcards, digitale certificaten of multi-factor authenticatie (MFA) waarbij meerdere methoden gecombineerd worden voor een verhoogd beveiligingsniveau.
In het kader van de Europese eIDAS-verordening (Verordening (EU) nr. 910/2014), zijn er drie betrouwbaarheidsniveaus:
Lage mate van zekerheid (betrouwbaarheidsniveau laag):
Basisverificatie en authenticatie;
Meestal gebruikt voor diensten met een laag risico;
Minimale vereisten voor identiteitsverificatie;
Voorbeelden hiervan zijn toegang tot openbare informatie of eenvoudige online diensten.
Substantiële mate van zekerheid (betrouwbaarheidsniveau substantieel):
Strengere verificatie en authenticatie;
Geschikt voor diensten met een gemiddeld risico;
Vereist een sterkere identiteitsverificatie;
Gebruikt voor diensten zoals online bankieren of toegang tot gevoelige persoonlijke gegevens.
Hoge mate van zekerheid (betrouwbaarheidsniveau hoog):
Hoogste niveau van verificatie en authenticatie;
Gereserveerd voor diensten met een hoog risico;
Rigoureuze identiteitsverificatie, vaak met face-to-face processen;
Gebruikt voor kritieke diensten zoals het ondertekenen van juridisch bindende documenten of toegang tot vertrouwelijke overheidsdiensten.
|
---|
Voor Digitaal Vlaanderen zijn de beschikbare authenticatiemiddelen de volgende (zie ook Vlaamse overheid authenticatiemiddelen).
eIDAS schaal | Authenticatiemiddel | URN |
---|---|---|
Hoog | eID en aangesloten kaartlezer | urn:be:vlaanderen:authmech:eid |
Hoog | Itsme | urn:be:vlaanderen:authmech:itsme |
Hoog | Eidas High | urn:be:vlaanderen:authmech:eidashigh |
Substantieel | FIDO Vlaanderen | urn:be:vlaanderen:authmech:fido |
Substantieel | myID | urn:be:vlaanderen:authmech:myid |
Substantieel | Beveiligingscode via mobiele app (OTP via app) | urn:be:vlaanderen:authmech:csamtotp |
Substantieel | Beveiligingscode via SMS (OTP via sms) | urn:be:vlaanderen:authmech:csamsms |
Substantieel | Beveiligingscode via e-mail (OTP via mail) | urn:be:vlaanderen:authmech:mailotp |
Substantieel | Eidas Substantial | urn:be:vlaanderen:authmech:eidassubstantial |
NVT | CBA (Certificate Based Authenticatie) | urn:be:vlaanderen:authmech:tlsclient |
NVT | Alfa-windows-account | urn:be:vlaanderen:authmech:kerberos |
NVT | LeerID | urn:be:vlaanderen:authmech:leerid |
NVT | Gebruikersnaam/wachtwoord via CLDAP | urn:be:vlaanderen:authmech:password |
Laag | Gebruikersnaam/wachtwoord via CSAM | urn:be:vlaanderen:authmech:csampassword |
Laag | Unlinked Gebruikersnaam/wachtwoord via CSAM | urn:be:vlaanderen:authmech:csamselfreg |
Single Sign-On
Single sign-on (afgekort SSO) stelt eindgebruikers in staat om eenmalig in te loggen waarna automatisch toegang wordt verschaft tot meerdere applicaties en resources in het netwerk. Een voorbeeld is dat een medewerker inlogt op zijn werkstation met de standaard gebruikersaccount waarna achter de schermen met behulp van een Kerberos-protocol ook automatisch ingelogd wordt op het bedrijfsnetwerk en op een bedrijfstoepassing zoals bijvoorbeeld Microsoft Dynamics binnen het netwerk zonder bijkomende authenticatie.
Bij SSO hoeft de eindgebruiker niet iedere keer opnieuw in te loggen bij een toepassing, en het inlogscherm van een toepassing wordt niet langer getoond.
|
---|
Bijkomende vereiste voor technische accounts
|
---|
Veilige inlogprocedure
De inlogprocedure is de functionaliteit die wordt gebruikt om gebruikers interactieve toegang te geven tot systemen of applicaties, zoals het invoeren van een gebruikersnaam en wachtwoord.
|
---|
Sessie -en schermvergrendeling
Sessievergrendeling en schermvergrendeling zijn beveiligingsfuncties die gebruikt worden om ongeautoriseerde toegang tot apparaten en applicaties te voorkomen. Sessievergrendeling houdt in dat een gebruikerssessie op een computer of applicatie automatisch wordt vergrendeld na een periode van inactiviteit of wanneer de gebruiker ervoor kiest om de sessie handmatig te vergrendelen. Tijdens een vergrendelde sessie blijft de gebruiker ingelogd, maar is toegang tot de sessie beperkt tot de gebruiker zich opnieuw authenticeert. Schermvergrendeling daarentegen betreft het vergrendelen van het scherm van een apparaat, zoals een computer, tablet of smartphone, waarbij de toegang tot de informatie op het scherm wordt geblokkeerd. Om toegang te herwinnen, is herauthenticatie vereist. Beide maatregelen zijn essentieel voor het beschermen van persoonlijke en professionele gegevens tegen onbevoegde toegang, vooral in situaties waar de gebruiker zijn werkplek tijdelijk verlaat.
|
---|
Wachtwoordbeleid
Het gebruik van een wachtwoord
De gebruiker is in eerste instantie zelf verantwoordelijk om op een veilige manier om te springen met inloggegevens. Een wachtwoord is een vaak terugkerend aspect in de verschillende authenticatiemechanismen (zie bovenstaande tabel).
|
---|
Complexiteitsregels voor wachtwoorden
De complexiteitsregels verhogen de mate van onvoorspelbaarheid of willekeurigheid die een wachtwoord bezit. Hoe hoger de complexiteit, hoe moeilijker het wachtwoord te raden of te kraken is door brute force-aanvallen of andere hacking-methoden. De complexiteit wordt beïnvloed door verschillende factoren, zoals de lengte van het wachtwoord en het gebruik van een mix van hoofdletters, kleine letters, cijfers en speciale tekens. Een wachtwoord met hoge complexiteit zal typisch een willekeurige reeks van deze karakters bevatten, zonder voorspelbare patronen of woorden.
|
---|
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
De nieuwe richtlijnen van het National Institute of Standards and Technology (NIST), zoals beschreven in publicatie https://pages.nist.gov/800-63-3/sp800-63b.html , adviseren om lange wachtwoorden te gebruiken in plaats van complexe wachtwoorden, waarbij ze pleiten voor makkelijk te onthouden passphrases en afzien van verplichte complexiteitsvereisten die de gebruiksvriendelijkheid verminderen zonder significant meer veiligheid te bieden, vooral bij korte wachtwoorden. Hoewel ons wachtwoordbeleid nog steeds vasthoudt aan verplichte complexiteitsvereisten, raden we aan om, afhankelijk van de context, de voor- en nadelen van beide af te wegen. |
Beheer van wachtwoorden
Hierbij wordt verwezen naar de specifieke technologische hulpmiddelen en procedures die worden ingezet om wachtwoorden veilig te creëren, op te slaan, te beheren en te gebruiken. Deze maatregelen zijn bedoeld om de veiligheid en effectiviteit van wachtwoordgebruik te verhogen.
|
---|
Toekennen van een nieuw of gewijzigd wachtwoord
Een gestandaardiseerd proces zorgt voor een veilige overdracht van nieuwe of gewijzigde wachtwoorden aan de gebruiker, waardoor het risico op onderschepping door onbevoegden wordt geminimaliseerd.
|
---|
Logging
|
---|
Autorisatie
Na identificatie en authenticatie bepaalt autorisatie welke rechten en privileges aan de geauthenticeerde account worden toegekend. Dit proces regelt de toegang tot verschillende resources binnen het systeem op basis van gebruikersrollen, beleidslijnen en regels.
Basisprincipes
Een aantal basisprincipes dragen bij tot een robuuste en veilige autorisatiestructuur binnen de organisatie. Ze helpen niet alleen bij het beschermen tegen externe bedreigingen, maar verhogen ook de interne controle en verantwoording, wat essentieel is voor het behoud van de integriteit en vertrouwelijkheid van informatie en informatiesystemen.
Need to know: Dit principe vermindert het risico dat gevoelige informatie onnodig wordt blootgesteld en helpt bij het beschermen van vertrouwelijke of kritieke data tegen ongeoorloofde inzage of manipulatie.
Least privilege: Dit principe beperkt de impact van een eventueel beveiligingsincident omdat gebruikers of systemen alleen toegang hebben tot wat strikt nodig is.
Scheiding van taken:Deze aanpak voorkomt belangenconflicten en vermindert de kans op fraude of datalekken. Door kritieke taken over meerdere personen of groepen te verdelen, wordt het moeilijker voor één individu om ongepast gedrag uit te voeren zonder detectie. Dit helpt ook bij het creëren van een meer gecontroleerde en beveiligde operationele omgeving.
|
---|
Role-Based Access Control
Role-Based Access Control (RBAC) is een methode voor toegangsbeheer die de toegang van gebruikers tot informatie en informatiesystemen regelt op basis van hun takenpakket binnen de organisatie. In plaats van toegangsrechten toe te kennen aan individuele gebruikers, worden deze rechten gekoppeld aan rollen en wordt vervolgens een rol toegekend aan een gebruiker. Door toegangsrechten aan rollen te koppelen, hoeft de beheerder niet voor elke gebruiker afzonderlijk toegangsrechten toe te kennen. Het vereenvoudigt het beheer en vermindert de kans op fouten. Daarnaast zorgt RBAC ervoor dat gebruikers alleen toegang hebben tot de informatie en middelen die ze nodig hebben voor hun werk. RBAC maakt het ook mogelijk om toegangsrechten snel en efficiënt aan te passen of in te trekken. Dit is essentieel voor goede controle en beheer van toegang binnen de organisatie, bijvoorbeeld wanneer gebruikers van rol wisselen of de organisatie verlaten.
|
---|
Verlenen en intrekken van toegangsrechten
Effectief beheer van het verlenen en intrekken van toegangsrechten helpt bij het handhaven van de beveiliging, het voorkomen van ongeautoriseerde toegang, en het verzekeren van de naleving van de hierboven beschreven basisprincipes.
|
---|
Validatie van toegangsrechten
Het validatieproces controleert of de toegangsrechten van gebruikers in de organisatie juist zijn en passen bij hun rollen en verantwoordelijkheden.
|
---|
Herzien van toegangsrechten
Het regelmatig herzien van toegewezen toegangsrechten is cruciaal om ervoor te zorgen dat gebruikers geen ongepaste of onnodige toegang krijgen of behouden tot informatie en informatiesystemen. Deze evaluatie helpt bij het identificeren en corrigeren van eventuele onjuistheden in de toegangsverlening. Het voorkomt ook dat gebruikers rechten behouden die niet langer relevant zijn vanwege veranderingen in hun functie, rol of projectbetrokkenheid.
|
---|
Privileged Account Management
Persoonlijke beheeraccounts (of geprivilegieerde accounts) zijn een belangrijk aandachtspunt in de beveiliging van de organisatie, omdat ze uitgebreide toegangsrechten bieden tot informatie en informatiesystemen. Deze accounts vormen een aantrekkelijk doelwit voor externe aanvallers en kwaadwillende insiders, die misbruik kunnen maken van deze rechten om informatie te stelen, systemen te saboteren of andere schadelijke activiteiten uit te voeren. Ook kunnen fouten gemaakt door gebruikers met beheertoegang onbedoeld ernstige problemen veroorzaken, zoals datalekken of systeemstoringen. Door de uitgebreide toegangsrechten van deze accounts is het risico op significante schade bij misbruik of fouten veel groter dan bij standaard gebruikersaccounts.
Omwille van deze redenen zijn voor het gebruik van persoonlijke beheeraccounts striktere maatregelen van toepassing dan op gewone gebruikersaccounts. We onderscheiden drie implementatieniveaus van toegangscontrole voor geprivilegieerde accounts (oftewel Privileged Account management (PAM)), die een toenemende mate van veiligheid en controle bieden, afhankelijk van het toepassingscriteria.
|
---|
Sommige van de aspecten van PAM in bovenstaande tabel werden reeds eerder vermeld in bovenstaande paragrafen en worden hier herhaald ten einde een volledig overzicht te bieden.
Relatie van het beleid met andere richtlijnen en standaarden
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Page Properties Report | ||||||||
---|---|---|---|---|---|---|---|---|
|
Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
Zie 5.1. Minimale maatregelen - Identity en Access Management (IAM) en 5.4. Minimale maatregelen - Priviliged Access Management (PAM) voor meer informatie.
Uitvoering van het beleid
Processen
Oplossingen
Titel | Auteur | Datum | Versie | Status | Opmerkingen | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Toegangscontrole | Philippe Michiels | 9/11/2020 | 0.1 |
| |||||||
Paswoord Policy | Philippe Michiels | 21/07/2021 | 1.0 |
| |||||||
ToegangsbeveiligingBeleid voor toegangsbeveiliging | Guido Calomme | 23/05/2024 | 2.0 |
|
Page Properties | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||
Document status (Metadata)Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister
status opties:
status eveneens aanpassen bovenaan deze pagina |