Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
Nieuw toegevoegde tekst wordt overal in het rood weergegeven
5.4.4.1. Link met andere Beleidsdocumenten
Dit document bevat geen beschrijving van de maatregelen waarnaar we in de verschillende onderdelen verwijzen maar legt de focus op de afhankelijkheden die er zijn bij het uitrollen van een succesvol Privileged Access Management proces.
5.4.4.1.1. Wijzigingsbeheer als maatregel
Het change managementproces vult het criteria ‘Motivatie’ en ‘Goedkeuring’ in bij het Privileged access management proces.
Het proces verzamelt alle elementen van zowel de organisatorische behoeften als de technische behoeften en motiveert de noodzaak tot privileged toegang tot de technische componenten en potentieel ook toegang tot de verwerkte informatie tijdens de beheerstaken. Op basis van deze behoefte zal het proces zorgen voor de nodige validatie en toestemming ter begeleiding van deze beheersactiviteiten.
Concreet helpt dit proces ons om wie/wanneer/waarom te identificeren bij elke vraag tot een privileged toegang tot een informatieverwerking component, alsook wie/wanneer de nodige autorisatie(s)/goedkeuring(en) heeft gegeven.
5.4.4.1.2. Identity & Access Management als maatregel
Identity management
Identificeert elk fysiek persoon die deelneemt aan een PAM proces
Access management:
Levert de middelen aan om een authenticatie behoeften op een aan de informatieklasse aangepaste manier in te vullen.
Vult de toegangsbeheer behoeften in (autorisatie) op een aan de informatieklasse aangepaste manier.
Opmerking:
Het configureren van maatregelen op de technische component (access control) is ingevuld via het proces configuratiebeheer. Least access implementatie op basis van accounts en de daaraan gekoppelde rollen en uitgebreid met de access controles op het technische systeem en|of dataopslag componenten
5.4.4.1.3. Configuratiebeheer als maatregel
Het configuratiebeheersproces controleert de implementatie parameters en omvat oa.
De toegangscontroles van een correct toegangsbeheer.
Wat zijn de functionele verwachtingen die worden ingevuld door de betrokken toegangscontroles (Least access principe is een noodzaak)?
Hoe zijn de verschillende toegangsrollen technisch uitgewerkt?
Hoe controleren we de implementatie van deze toegangscontroles (Auditeerbaarheid van de toegangscontrole)?
Controle op de log configuratie, deze worden als basiselement in context van auditeerbaarheid van de operationele informatieverwerking gebruikt
Wat zijn de functionele verwachtingen die worden ingevuld door de betrokken log configuratie?
Hoe is deze configuratie technisch uitgewerkt?
Operationele opvolging op basis van rapporten
Operationele opvolging op basis van alerts (real-time mogelijk)
Welke correlatie, interpretaties van log informatie resulteren in aantoonbare controle?
Auditeerbaarheid van de log als bron voor de interne controle binnen het risico beheer
5.4.4.1.4. Veiligheidslogging en monitoring als maatregel
Log management verzamelt bronmateriaal, zowel uit technisch als operationele bronnen. Dit bronmateriaal zal dan gebruikt worden om de nodige controlemaatregelen mogelijk te maken.
Het laat toe om log informatie uit verschillende bronnen te combineren om inzicht te krijgen op operationele risico’s (Risico beheer)
Het laat toe om in geval van een incident bij informatieverwerking een reconstructie van de verwerkingsactiviteiten te maken
Een auditeerbaar log managementsysteem zal ook de nodige garanties geven dat de output kan gebruikt worden als juridische bewijslast.
5.4.4.1.5. Risicobeheer als maatregel
Deze maatregel is een deel van het operationeel risicobeheer verbonden aan de informatieverwerking. (voor meer informatie zie pagina 5.5. Minimale maatregelen - proces risicobeheer ).
Rapportering en operationele opvolging van deze rapporten binnen de organisatie zijn het sleutelelement bij uitstek om aan te tonen (auditeerbaarheid bewijzen) dat er effectieve opvolging gebeurt op de activiteiten van de informatieverwerker en dat alle maatregelen die genomen werden resulteren in een correcte afdekking van de (rest)risico’s.
Onderstaand type rapportering is aanwezig in de generieke context van de informatieverwerking en worden niet specifiek hernomen in context van PAM
Beschikbaarheid bronnen (Output van Log beheer)
Interpretaties van technische log informatie op basis van technische criteria
Voorbeeld: Failed paswoord pogingen, account lockout, slapende accounts, Paswoord reset,
Interpretaties van organisatorische log informatie op basis van organisatorische criteria.
Voorbeeld: Workflow validatie door onbevoegden
5.4.4.2. Een overzicht van de interacties tussen de maatregelen
Deze sectie van het document beschrijft de interactie tussen de verschillende maatregelen die gecombineerd resulteren in de maatregel PAM.
5.4.4.2.1. Operationeel beheer
Het operationeel beheer van informatieverwerkingscomponenten wordt ondersteund door drie basisprocessen: configuratiebeheer, release management en change management. Vanuit deze basis worden alle betrokken beheerstoegangen zowel technisch als operationeel gemotiveerd.
Configuration management of configuratiebeheer
Vertaalt de functionele behoeften van de informatieverwerking in een beschrijving van de (deel)component(en) in de informatieverwerking.
De configuratie documentatie beschrijft alle technische details en de motivatie voor de gekozen technische (deel)oplossingen.
Het resultaat van het proces zal gebruikt worden bij zowel de implementatie van de betrokken configuratie als bij een configuratie audit. (voor meer informatie zie pagina 4.1. Minimale maatregelen - Asset- en configuratiebeheer)
Release management of opvolging van de opeenvolgende versies van de configuratie en de bijhorende documentatie.
In de meeste implementaties is dit proces geïntegreerd in het configuratiebeheersproces.
Het proces registreert de functionele motivatie van de wijzigingen en de impact op de configuratie.
Conform het configuratiebeheer wordt het resultaat van het release management proces gebruikt bij zowel de implementatie van de aanpassingen aan de betrokken configuratie als bij een configuratie audit. voor meer informatie zie pagina 4.7. Minimale maatregelen - Release- en deploymentbeheer)
Het Change management proces of opvolging van de wijzigingen
Slaat de brug tussen de behoeften en controles van de organisatie en het operationeel beheer gerelateerd aan de technische informatieverwerkingscomponenten. (zie ook pagina 4.4. Minimale maatregelen - Beheer van wijzigingen ).
Het proces …Bewaakt de afspraken in context van de informatieverwerking (Service Level Agreement)
Communiceert de agenda, motivatie en de impact van wijzigingen aan de afnemende organisatie en de operationele diensten achter de informatieverwerking
Bewaakt de correcte uitvoering van het configuratie en versie beheerprocessen
Waarborgt de beschikbaarheid documentatie van eigenlijke configuratie aanpassingen en eventuele test resultaten (waar van toepassing)
Zorgt voor de nodige autorisatie en motivatie voor beheerstoegangen
De activiteiten van change management worden vastgelegd in een change log. Het bevat:
Beschrijving van de geïmpacteerde informatieverwerkingscomponenten
De validatie van de operationeel afspraken met de toepassingseigenaar (Al dan niet gedelegeerde of individuele goedkeuring onder de afgesproken SLA)
Beschrijving van de doelstelling van de wijziging en een aanduiding waar (bij wie) de configuratie en release documenten terug te vinden zijn
Tijdstip (datum en tijd) van aanvraag en tijdstip van goedkeuring van de wijzigingen, evenals de identiteit van de aanvragende en geconsulteerde partij(en) en de geautoriseerde persoon die de validatie heeft gedaan en de goedkeuring heeft gegeven
Tijdstip (datum en tijd) van uitvoering en het toegelaten tijdsgebruik waarvoor deze change registratie geldig is, evenals de identificatie van de uitvoerende persoon of organisatie
Tijdstip (datum en tijd) evenals de status van uitvoering bij het afsluiten van de activiteiten gelinkt aan de change
5.4.4.2.2. Toegangsbeheer
(voor meer informatie zie pagina 4.8. Minimale maatregelen - Toegangsbeheer )
De traceerbaarheid van de activiteiten binnen een toepassing is niet in scope PAM. Traceerbaarheid van activiteiten binnen een toepassing moet worden ingevuld door maatregelen binnen de applicatie zelf (In GDPR context verwijst men dan naar privacy logging).
Het toegangsbeheer proces bestaat uit meerdere deelcomponenten.
Het Identity and Access management proces staat in voor
Gebruikersidentificatie: de correcte identificatie van de deelnemende gebruikers (Fysieke personen) in het PAM proces (bv. via systemen als WebIDM)
Authenticatiemiddelen: het aanleveren van de aangepaste authenticatiemiddelen. Details hierover zijn te vinden in https://vlaamseoverheid.atlassian.net/wiki/x/PY8HpwE
Traceerbaarheid: de volledige traceerbaarheid van het proces startende bij de correcte identificatie van de gebruiker (identity management), de registratie van de motivatie tot toegang (request management) en de bijhorende validaties (Workflow management)
Lifecycle: de volledige lifecycle van de authenticatiemiddelen op de technische componenten (creatie, aanpassingen, verwijderen van de authenticatiemiddelen)
De traceerbaarheid van het gebruik van de authenticatiemiddelen is beschikbaar in operationele context van het betrokken technische component
Authenticatie staat in voor:
Validatie van de gebruiker op basis van de gebruikte authenticatiemiddelen , bv. via systems als ACM, CSAM, …
De traceerbaarheid van het gebruik van de authenticatiemiddelen op applicatie niveau
Autorisatie staat in voor:
Validatie van de toegangen van de gebruiker op basis van de toegekende rechten aan het authenticatiemiddel
Deze validatie kan op verschillende manieren worden ingeregeld, centraal, individueel of via federatie modellen.
Centraal: Active Directory, LDAP
Individueel: Host (lokale groepen/rollen op operating systeemniveau)
Federatie: Middleware (Databasesystemen), Databasesystemen
Bovendien kunnen deze access controls ook worden ingeboud in de toepassing zelf, zowel via de configuratie als in de applicatie code
5.4.4.2.3. Logbeheer
(voor meer informatie zie pagina 5.2. Minimale maatregelen - logging en monitoring (SIEM) )
Het log beheer staat in voor het verzamelen en bewaren van audit trails, informatie waarmee (beheers) activiteiten kunnen worden gecontroleerd en gereconstrueerd.
Het logbeheer voorziet in de verzameling, centralisatie en eventuele archivering van de log informatie en bewaakt de integriteit tijdens de volledige levenscyclus.
De technische behoeften die toelaten om op aangepaste wijze log informatie te verzamelen worden beschreven als functionele behoeften in het configuratiebeheer van de individuele toepassing of generieke platformen
Het logbeheer vormt de basis voor de risico rapportering
Log informatie kan voorkomen op verschillende infrastructuurcomponenten of op componenten met een verschillende beheer context. Om correlatie tussen deze bronnen mogelijk te maken zullen deze bronnen centraal moeten toegankelijk moeten worden gemaakt teneinde correlatie van deze bron informatie mogelijk te maken. Het resultaat van deze (geautomatiseerde) correlatie zal gebruikt worden als risico rapportering
5.4.4.2.4. Risicorapportering
(voor meer informatie zie pagina 5.5. Minimale maatregelen - proces risicobeheer )
De operationele risico rapportering (KRI) laat de organisatie toe om op een structurele uniforme manier de belangrijkste operationele risico’s in kaart te brengen en op te volgen in het risico beheer
Deze rapportering gebruikt de operationele informatie uit processen en de log informatie uit de technische platformen en combineert deze op basis van de verwerkingslogica tot bruikbare rapporten
5.4.4.2.5. Het proces
Voorbeeld: HFP PAM Bouwsteen
