Document toolboxDocument toolbox

5.1.1. Minimale maatregelen rond IAM

Owned by Yentl Goossens (Unlicensed)
Last updated: 05 Jul, 2024 by Sven Claessens
8 min read

5.1.1.1. Minimale algemene maatregelen

Vertrouwelijkheid

IC klasse 

Minimale maatregelen 

IC klasse 

Minimale maatregelen 

  • Identificatie: Geen identificatie vereist

  • Authenticatie: Geen authenticatie vereist

  • Autorisatie: Geen autorisatie vereist

  • Beschrijf de Soll/Ist van je toepassing  

Alle maatregelen van Klasse 1 +

 

  • Identificatie: Zwakke identificatie

  • Authenticatie

    • eIDAS LAAG

    • Beheer van status van account

    • Bescherming van het paswoord in opslag en in transit. Bij federatie van de authenticatie, het verzekeren van gelijkaardige controles bij de derde partij

  • Autorisatie: Autorisatie op basis van technische of organisatorische criteria

    • Technisch: Geauthentiseerde gebruikers, zonder lidmaatschap tot een autorisatierol.

    • Organisatorisch: Geauthentiseerde gebruikers, met toekenning tot autorisatierol op basis van lidmaatschap binnen de organisatie (of een deel ervan). Dit doe je middels een Soll/Ist-beschrijving.

  • Bescherming van identificatiegegevens die toegang geven tot toepassingen. De identificatiegegevens zelf zijn klasse 3 voor Vertrouwelijkheid en 4 voor Integriteit en moet je beschermen met cryptografische controles.

Alle maatregelen van Klasse 1 + Klasse 2 +

 

  • Identificatie: Sterke identificatie

  • Authenticatie maatregelen: eIDAS SUBSTANTIEEL

  • Autorisatie:

    • Autorisatie registratie via toegangsbeheerproces (IDM)

    • Autorisatie op basis van functionele groep, deze functionele groep mag gedeeld worden door meerdere (deel-) applicaties

    • Onderwerp mag

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

  • Sterke identificatie via de federale overheid

  • Authenticatie maatregelen: 

    • eIDAS SUBSTANTIEEL

    • SSO via ACM voor gebruikers Vlaamse overheid.

  • Autorisatie:

    • Autorisatie registratie via toegangsbeheerproces (IDM)

    •  Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

  •  Autorisatie validatie:

    • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon.

    •  Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

    • Jaarlijkse periodieke herziening van de toegangen  

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Sterke identificatie via de federale overheid

  • Authenticatie maatregelen:

    • eIDAS SUBSTANTIEEL

    •  SSO via ACM voor gebruikers Vlaamse overheid.

  • Autorisatie:

    •  Autorisatie registratie via toegangsbeheerproces (IDM)

    •  Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

  • Autorisatie validatie:

    • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

    • Validatie met goedkeuring van door twee door de organisatie geautoriseerde personen, waarvan minimaal één zonder hiërarchische of functionele relatie met het onderwerp.

    • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder, waarna de veiligheidscoördinator de finale validatie bevestigd.

    • Jaarlijkse periodieke herziening van de toegangen

 

Integriteit 

IC klasse 

Minimale maatregelen 

IC klasse 

Minimale maatregelen 

  • Identificatie: Geen identificatie vereist

  • Authenticatie: Geen authenticatie vereist

  • Autorisatie: Geen autorisatie vereist

  • Beschrijf de Soll/Ist van je toepassing

Alle maatregelen van Klasse 1 +

 

  • Identificatie: Zwakke identificatie

  • Authenticatie

    • eIDAS LAAG

    • Beheer van status van account

    • Bescherming van het paswoord in opslag en in transit. Bij federatie van de authenticatie, het verzekeren van gelijkaardige controles bij de derde partij 

  • Autorisatie: Autorisatie op basis van technische of organisatorische criteria  

    • Technisch: Geauthentiseerde gebruikers, zonder lidmaatschap tot een autorisatierol.

    • Organisatorisch: Geauthentiseerde gebruikers, met toekenning tot autorisatierol op basis van lidmaatschap binnen de organisatie (of een deel ervan). Dit doe je middels een Soll/Ist-beschrijving. 

  • Bescherming van identificatiegegevens die toegang geven tot toepassingen. De identificatiegegevens zelf zijn klasse 3 voor Vertrouwelijkheid en 4 voor Integriteit en moet je beschermen met cryptografische controles

Alle maatregelen van Klasse 1 + Klasse 2 +

 

  • Identificatie: Sterke identificatie 

  • Authenticatie maatregelen: eIDAS SUBSTANTIEEL

  • Autorisatie:

    • Autorisatie registratie via toegangsbeheerproces (IDM)

    • Autorisatie op basis van functionele groep, deze functionele groep mag gedeeld worden door meerdere (deel-)applicaties

    • Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie.

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

 

  • Sterke identificatie via de federale overheid

  • Authenticatie maatregelen:

    • eIDAS SUBSTANTIEEL

    • SSO via ACM voor gebruikers Vlaamse overheid.

  • Autorisatie:

    • Autorisatie registratie via toegangsbeheerproces (IDM)

    • Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

  • Autorisatie validatie:

    •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon

    • Voorbeeld: Lokale beheerder doet de registratie en deze wordt
      gevalideerd door de leidinggevende van het onderwerp of de
      toepassingsbeheerder

    • Jaarlijkse periodieke herziening van de toegangen

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Sterke identificatie via de federale overheid

  • Authenticatie maatregelen:

    • eIDAS SUBSTANTIEEL

    • SSO via ACM voor gebruikers Vlaamse overheid.

  • Autorisatie:

    • Autorisatie registratie via toegangsbeheerproces (IDM)

    • Autorisatie op basis van functionele groep, deze functionele groep mag niet gedeeld worden door meerdere (deel-)applicaties

  • Autorisatie validatie:

    •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie

    • Validatie met goedkeuring van door twee door de organisatie geautoriseerde personen, waarvan minimaal één zonder hiërarchische of functionele relatie met het onderwerp.

    • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder, waarna de veiligheidscoördinator de finale validatie bevestigd.

    •  Jaarlijkse periodieke herziening van de toegangen

Beschikbaarheid

IC klasse 

Minimale maatregelen 

IC klasse 

Minimale maatregelen 

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

 

  • De processen om een gebruiker te identificeren, authenticeren en te autoriseren moeten even beschikbaar zijn als de toepassing waartoe toegang verleend wordt.

 

5.1.1.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen voor IAM moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie paragraaf 5.1.1. Minimale maatregelen rond IAM | 5.1.1.1. Minimale algemene maatregelen ). Er zijn geen specifieke GDPR maatregelen voor IAM.

5.1.1.3. Minimale specifieke (NISII) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

5.1.1.4. Minimale specifieke (KSZ) maatregelen

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van IAM toegepast worden:

Beschikbaarheid, Integriteit & vertrouwelijkheid 

IC klasse 

Minimale maatregelen 

IC klasse 

Minimale maatregelen 

 

 

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

  • Elke organisatie moet de toegang tot de gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid beveiligen door middel van een identificatie-, authenticatie- en autorisatiesysteem. (Ref. KSZ 5.6.3). 

  • Elke organisatie moet de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authenticatie, en autorisatie (Ref. KSZ 5.6.5). 

  • Elke organisatie moet de gepaste maatregelen treffen opdat iedere persoon slechts toegang zou hebben tot de diensten waarvoor hij uitdrukkelijk een autorisatie heeft verkregen (Ref. KSZ 5.6.6). 

 

5.1.1.5. Overzicht en integratie van de maatregelen

Onderstaande tabellen geven overzicht van de integratie van de verschillende maatregelen. De maatregelen moet je combineren. Elke toepassing heeft én een klasse voor Vertrouwelijkheid én een klasse voor Integriteit. Je moet de controles voor beide kwaliteitskenmerken implementeren.

Gerelateerd aan Vertrouwelijkheid 

 

Gerelateerd aan Integriteit 

 

Gerelateerd aan Beschikbaarheid 

 

Afscherming van informatie

We gebruiken de onderstaande basisprincipes

(1) Permissief: Er worden geen specifieke maatregelen genomen om toegang tot informatie af te schermen of te controleren voor geprivilegieerde accounts. Het least access principe blijft altijd gerespecteerd.

(2) Restrictief: Er worden steeds maatregelen genomen om toegang tot informatie af te schermen voor niet geautoriseerde toegangen. (ACL-hygiëne) Voor geprivilegieerde toegangen worden een aantal bijkomende maatregelen geïmplementeerd, waaronder encryptie maatregelen, en controlemaatregelen zoals

PAM, Audit trailing, …

Het least access principe is altijd bevestigd in de risicoanalyse.

Minimaal identificatie niveau

Zie identificatie

Minimaal authenticatie niveau

Zie eIDAS

Minimaal autorisatie niveau

We gebruiken lidmaatschap van organisatie (incl. technische organisatorische maatregelen) als basis voor toegang tot publieke informatie.
Bij alle andere informatietypes groeperen we het criteria onder de term ‘functioneel’. Deze behoefte (criteria) is niet alleen een beveiligingsmaatregel, gekend als het least access principe, maar het is ook expliciet opgelegd door de toepasbare regelgeving
Functionele relatie met de informatie, zie criteria GDPR Art. 5.

 

(3) Functioneel: De gebruiker motiveert zijn toegang tot informatie op basis van een functionele behoefte met betrekking tot verwerking van de betrokken informatie.

(4) Strikt functioneel: De gebruiker motiveert zijn tijdelijke toegang tot informatie op basis van een functionele behoefte met betrekking tot verwerking van de betrokken informatie en deze behoefte wordt bevestigd door minimaal één geïdentificeerde en geautoriseerde individu. De betrokken eindgebruiker is uitgesloten in het validatie proces. Het beperken van de duur van de toegangen wordt sterk geadviseerd om het least access principe te versterken. Toegangen worden minimaal jaarlijks herzien

 

(5) Hoofdelijk: De gebruiker motiveert zijn tijdelijke toegang tot informatie op basis van een functionele behoefte met betrekking tot verwerking van de betrokken informatie en deze behoefte wordt bevestigd door minimaal twee geïdentificeerde en geautoriseerde individuen. De betrokken eindgebruiker is uitgesloten in het validatie proces.

De duur van de toegangen worden beperkt tot de functionele behoefte en worden minimaal jaarlijks herzien