Document toolboxDocument toolbox

4.8.1. Inleiding (toegangsbeheer)

De 3 processen voor beheren van toegang

Het verlenen van toegang tot systemen en informatie is een complexe samenwerking van de volgende processen:

  • Het proces beheer serviceaanvragen voor toegang zorgt ervoor dat de aanvraag tot toegang behandeld wordt en gebruikers toegang krijgen tot de systemen en informatie die ze nodig hebben om hun taken te kunnen uitvoeren. Het is een specifieke toepassing van het proces ‘beheer van serviceaanvragen’. Het proces zorgt voor beheer van gebruikers en gebruikersrechten: gebruikers toevoegen of verwijderen, gebruikersrechten toekennen of verwijderen, …

  • Het proces toegangscontrole verzorgt de technische aspecten nodig voor het verlenen van toegang door de nodige authenticatie middelen te voorzien, rechten te definiëren en te koppelen aan de opbouw van rollen. Het is een specifieke toepassing van het proces ‘asset en configuratie beheer’. Toegangscontrole zorgt dus voor een betrouwbare, traceerbare en beveiligde toegang tot ICT-diensten en informatie.

  • Provisioning verbindt beheer serviceaanvragen voor toegang en toegangscontrole: op basis van de identificatie van de gebruiker en zijn/haar functie binnen de organisatie wordt een account aangemaakt en de nodige autorisaties verleend via rol(len) (servicebeheer van toegang); om dit mogelijk te maken, moeten authenticatiemechanismen geïmplementeerd zijn, rechten toegekend aan rollen (role based access control) en onderhouden (toegangscontrole).

Dit document behandelt het proces beheer serviceaanvragen voor toegang.

Het proces beheer serviceaanvragen voor toegang

Het proces beheer serviceaanvragen voor toegang verleent geautoriseerde gebruikers het recht om een ICT-dienst of informatie te gebruiken, maar ontzegt niet-geautoriseerde gebruikers de toegang op basis van het toegangsbeleid. Toegang verwijst naar het niveau en de omvang van de functionaliteit van een ICT-dienst of van informatie die een persoon mag gebruiken. Om dit te bereiken, wordt allereerst de identiteit van een persoon nagegaan, waarna hem of haar bepaalde rollen worden toegekend die op hun beurt de nodige rechten voorzien. Deze rechten verwijzen naar de feitelijke technische instellingen voor een persoon.

In het algemeen kan toegang tot een ICT-dienst of informatie verleend worden aan:

  • Een gebruiker,

  • Een informatiebeheerder,

  • Een andere ICT-dienst (toepassing, systeem, …).

In de context van beheer serviceaanvragen voor toegang beperken we ons tot het beheren van toegang van gebruikers. Voor beheer van toegang voor informatiebeheerders – personen met geprivilegieerde rechten – wordt verwezen naar de pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM) .

Het proces beheer serviceaanvragen voor toegang moet in lijn zijn met het toegangsbeleid, maar stelt dit beleid niet zelf op. Er moet een door het management goedgekeurd toegangsbeleid voorhanden zijn dat aangeeft hoe logische toegang moet worden geregeld, rekening houdend met de volgende aspecten:

  • Wie mag toegang hebben? Hoe wordt de identiteit van de gebruikers geverifieerd? Wanneer wordt gebruikerstoegang verwijderd?

  • Welke rollen worden toegekend aan wie? Op welke voorwaarden? Wanneer worden rollen verwijderd?

Het toegangsbeleid moet op zijn beurt conform zijn met de minimale maatregelen opgesteld voor IAM (voor meer informatie zie 5.1. Minimale maatregelen - Identity en Access Management (IAM) ) De doelstellingen van het proces beheer van serviceaanvragen voor toegang zijn:

  • Bewaken van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie d.m.v. het bewaken van de toegangsmodaliteiten.

  • Functiescheiding: het beheer van toegang moet zo ingericht zijn dat er afzonderlijke functies nodig zijn voor aanvragen, toekennen, wijzigen, intrekken/verwijderen en controleren.

  • Minimale rechten (least privileges): het geven van toegang met de minste rechten opdat de gebruiker zijn/haar benodigde functionaliteiten kan gebruiken