5.4.4. Link met andere maatregelen (PAM)
5.4.4.1. Link met andere Beleidsdocumenten
5.4.4.1.1. Wijzigingsbeheer als maatregel
Dit document bevat geen beschrijving van de maatregel Wijzigingsbeheer (Change management) maar legt de focus op de afhankelijkheden die er zijn bij het uitrollen van een succesvol Privileged access management proces. (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen )
Afhankelijkheid van de maatregel
Onderstaande items zijn beperkt tot de context van dit document en moeten worden gezien als integraal onderdeel van de informatieverwerking
Generieke configuraties worden uitgewerkt in generieke baseline documentatie van waaruit ze als referentie configuratie kunnen worden toegepast.
Het change managementproces vult het criteria ‘Motivatie’ en ‘Goedkeuring’ in bij het Privileged access management proces.
Het proces verzamelt alle elementen van zowel de organisatorische behoeften als de technische behoeften en motiveert de noodzaak tot privileged toegang tot de technische componenten en potentieel ook toegang tot de verwerkte informatie tijdens de beheerstaken. Op basis van deze behoefte zal het proces zorgen voor de nodige validatie en toestemming ter begeleiding van deze beheersactiviteiten.
Concreet helpt dit proces ons om wie/wanneer/waarom te identificeren bij elke vraag tot een privileged toegang tot een informatieverwerking component, alsook wie/wanneer de nodige autorisatie(s)/goedkeuring(en) heeft gegeven.
5.4.4.1.2. Identity & Access Management als maatregel
Dit document bevat geen beschrijving van de maatregel Identity & Access Management maar legt de focus op de afhankelijkheden die er zijn bij het uitrollen van een succesvol Privileged access management proces.
(voor meer informatie zie pagina5.1. Minimale maatregelen - Identity en Access Management (IAM))
Afhankelijkheid van de maatregel
Onderstaande items zijn beperkt tot de context van dit document en moeten worden gezien als integraal onderdeel van de informatieverwerking
Generieke configuraties worden uitgewerkt in generieke baseline documentatie van waaruit ze als referentie configuratie kunnen worden toegepast.
Het Identity & Access Management proces vult volgende criteria in:
Identity management: identificeert elk fysiek persoon die deelneemt aan een PAM proces
Access management:
Levert de middelen aan om een authenticatie behoeften op een aan de informatieklasse aangepaste manier in te vullen.
Vult de toegangsbeheer behoeften in (autorisatie) op een aan de informatieklasse aangepaste manier.
Opmerking:
Het configureren van maatregelen op de technische component (access control) is ingevuld via het proces configuratiebeheer.
Least access implementatie op basis van accounts en de daaraan gekoppelde rollen en uitgebreid met de access controles op het technische systeem en|of dataopslag componenten
5.4.4.1.3. Configuratiebeheer als maatregel
Dit document bevat geen detail beschrijving van de maatregel configuratiebeheer (Configuration management) maar legt de focus op de afhankelijkheden die er zijn bij het uitrollen van een succesvol Privileged access management proces. (voor meer informatie zie pagina 4.1. Minimale maatregelen - Asset- en configuratiebeheer)
Een auditeerbaar configuratiebeheersproces is verplicht en het gebruikte proces, inclusief de uitwerking op basis van technische hulpmiddelen is gedocumenteerd vanaf informatie [Klasse 3] en dit voor zowel Vertrouwelijkheid als Integriteit (Auditeerbaarheid).
Afhankelijkheid van de maatregel
Onderstaande items zijn beperkt tot de context van dit document en moeten worden gezien als integraal onderdeel van de informatieverwerking
Generieke configuraties worden uitgewerkt in generieke baseline documentatie van waaruit ze als referentie configuratie kunnen worden toegepast.
Het configuratiebeheersproces controleert de implementatie parameters en omvat oa.
De toegangscontroles van een correct toegangsbeheer.
Wat zijn de functionele verwachtingen die worden ingevuld door de betrokken toegangscontroles (Least access principe is een noodzaak)?
Hoe zijn de verschillende toegangsrollen technisch uitgewerkt?
Hoe controleren we de implementatie van deze toegangscontroles (Auditeerbaarheid van de toegangscontrole)?
Controle op de log configuratie, deze worden als basiselement in context van auditeerbaarheid van de operationele informatieverwerking gebruikt
Wat zijn de functionele verwachtingen die worden ingevuld door de betrokken log configuratie?
Hoe is deze configuratie technisch uitgewerkt?
Operationele opvolging op basis van rapporten
Operationele opvolging op basis van alerts (real-time mogelijk)
Welke correlatie, interpretaties van log informatie resulteren in aantoonbare controle?
Auditeerbaarheid van de log als bron voor de interne controle binnen het risico beheer
5.4.4.1.4. Veiligheidslogging en monitoring als maatregel
Dit document bevat geen detail beschrijving van de maatregel Veiligheidslogging en monitoring (‘SIEM’) maar legt de focus op de afhankelijkheden die er zijn bij het uitrollen van een succesvol Privileged access management proces. (voor meer informatie zie pagina5.2. Minimale maatregelen - logging en monitoring (SIEM) )
Afhankelijkheid van de maatregel
Onderstaande items zijn beperkt tot de context van dit document en moeten worden gezien als integraal onderdeel van de informatieverwerking
Generieke configuraties worden uitgewerkt in generieke baseline documentatie van waaruit ze als referentie configuratie kunnen worden toegepast.
Log management verzamelt bronmateriaal, zowel uit technisch als operationele bronnen. Dit bronmateriaal zal dan gebruikt worden om de nodige controlemaatregelen mogelijk te maken.
Het laat toe om log informatie uit verschillende bronnen te combineren om inzicht te krijgen op operationele risico’s (Risico beheer)
Het laat toe om in geval van een incident bij informatieverwerking een reconstructie van de verwerkingsactiviteiten te maken
Een auditeerbaar log managementsysteem zal ook de nodige garanties geven dat de output kan gebruikt worden als juridische bewijslast.
We maken onderscheid tussen volgende bronnen als log informatie:
Onderstaande opsomming van maatregelen is niet beperkt tot deze voorbeelden
Technische bronnen
Het configuratie beheerproces garandeert de correcte log configuratie parameters.
Log entries in bestanden of databases afkomstig uit systemen, middleware en toepassingen. (Vb. Security log Windows)
Geautomatiseerde controle van de beheersactiviteiten (Session recording) van de beheersactiviteiten (niet-geautomatiseerde controles worden gezien als organisatorische controlemaatregelen)
Dit omvat ook de garantie op de beschikbaarheid van deze informatie door middel van archivering of retention
Organisatorische bronnen
Change management: Operationele log van alle change registraties in het change management tool of proces
Operationele opvolging van de activiteiten: Opname van alle activiteiten die binnen een beheersessie manueel worden uitgevoerd door een onafhankelijk fysieke persoon.
Deze ‘fysieke’ logboeken worden conform de behoeften van een geautomatiseerd systeem, geregistreerd en gearchiveerd voor potentiële audit doeleinden.
Opmerking: Het is sterk geadviseerd om de verzameling van deze logs te automatiseren om de verwerking van de controlemaatregelen te optimaliseren (resource en kost efficiëntie).
Opmerking: Logs bewaren doe je volgens het “WORM” principe: write once, read many. Je organiseert het zo dat toepassingen logs wegschrijven in bestanden die geen enkele gebruiker (fysiek of systeem) deze nog kan aanpassen. Dit dwing je technisch af. Tegelijkertijd zorg je er wel voor dat de logs consulteerbaar zijn en dat andere toepassingen (bijvoorbeeld
SIEM-oplossing) ze kunnen uitlezen
5.4.4.1.5. Risicobeheer als maatregel
Deze maatregel is een deel van het operationeel risicobeheer verbonden aan de informatieverwerking. (voor meer informatie zie pagina 5.5. Minimale maatregelen - proces risicobeheer ).
Rapportering en operationele opvolging van deze rapporten binnen de organisatie zijn het sleutelelement bij uitstek om aan te tonen (auditeerbaarheid bewijzen) dat er effectieve opvolging gebeurt op de activiteiten van de informatieverwerker en dat alle maatregelen die genomen werden resulteren in een correcte afdekking van de (rest)risico’s.
Basis rapportering operationeel risicobeheer, gebruikt binnen PAM
Onderstaande items zijn beperkt tot de context van dit document en moeten worden gezien als integraal onderdeel van de informatieverwerking
Generieke configuraties worden uitgewerkt in generieke baseline documentatie van waaruit ze als referentie configuratie kunnen worden toegepast.
Onderstaand type rapportering is aanwezig in de generieke context van de informatieverwerking en worden niet specifiek hernomen in context van PAM
Beschikbaarheid bronnen (Output van Log beheer)
Beschikbaarheid van de noodzakelijke bronnen verzekeren, deze bronnen zijn noodzakelijk zijn om de rapportering en opvolging te garanderen
Interpretaties van technische log informatie op basis van technische criteria Voorbeeld: Failed paswoord pogingen, account lockout, slapende accounts, Paswoord reset,
Interpretaties van organisatorische log informatie op basis van organisatorische criteria. Voorbeeld: Workflow validatie door onbevoegden
5.4.4.2. Een overzicht van de interacties tussen de maatregelen
Deze sectie van het document beschrijft de interactie tussen de verschillende maatregelen die gecombineerd resulteren in de maatregel PAM.
5.4.4.2.1. Operationeel beheer
Het operationeel beheer van de informatieverwerkingscomponenten is aangedreven door volgende basisprocessen. Vanuit deze basis worden alle betrokken beheerstoegangen zowel technisch als operationeel gemotiveerd.
Configuration management of configuratiebeheer vertaalt de functionele behoeften van de informatieverwerking in een beschrijving van de (deel)component(en) in de informatieverwerking. De configuratie documentatie beschrijft alle technische details en de motivatie voor de gekozen technische (deel)oplossingen. Het resultaat van het proces zal gebruikt worden bij zowel de implementatie van de betrokken configuratie als bij een configuratie audit. (voor meer informatie zie pagina 4.1. Minimale maatregelen - Asset- en configuratiebeheer)
Release management of opvolging van de opeenvolgende versies van de configuratie en de bijhorende documentatie. In de meeste implementaties is dit proces versmolten in het configuratiebeheersproces. Het proces registreert de functionele motivatie van de wijzigingen en de impact op de configuratie. Conform aan het configuratiebeheer zal het resultaat van het release management proces gebruikt worden bij zowel de implementatie van de aanpassingen aan de betrokken configuratie als bij een configuratie audit. voor meer informatie zie pagina 4.7. Minimale maatregelen - Release- en deploymentbeheer)
Het Change management proces of opvolging van de wijzigingen slaat de brug tussen de behoeften en controles van de organisatie en het operationeel beheer gerelateerd aan de technische informatieverwerkingscomponenten. (zie ook pagina 4.4. Minimale maatregelen - Beheer van wijzigingen ).
Het proces …Bewaakt de afspraken in context van de informatieverwerking (Service Level Agreement)
Communiceert de agenda, motivatie en de impact van wijzigingen aan de afnemende organisatie en de operationele diensten achter de informatieverwerking
Bewaakt de correcte uitvoering van het configuratie en versie beheerprocessen
Beschikbaarheid ondersteunende documentatie
Beschikbaarheid documentatie van eigenlijke configuratie aanpassingen en eventuele test resultaten (waar van toepassing)
Zorgt voor de nodige autorisatie en motivatie voor beheerstoegangen
De historiek van deze activiteiten noemen we een change log. Het bevat:
Beschrijving van de geïmpacteerde informatieverwerkingscomponenten
De validatie van de operationeel afspraken met de toepassingseigenaar (Al dan niet gedelegeerde of individuele goedkeuring onder de afgesproken SLA)
Beschrijving van de doelstelling van de wijziging en een aanduiding waar (bij wie) de configuratie en release documenten terug te vinden zijn
Tijdstip (datum en tijd) van aanvraag en tijdstip van goedkeuring van de wijzigingen, evenals de identiteit van de aanvragende en geconsulteerde partij(en) en de geautoriseerde persoon die de validatie heeft gedaan en de goedkeuring heeft gegeven
Tijdstip (datum en tijd) van uitvoering en het toegelaten tijdsgebruik waarvoor deze change registratie geldig is, evenals de identificatie van de uitvoerende persoon of organisatie
Tijdstip (datum en tijd) evenals de status van uitvoering bij het afsluiten van de activiteiten gelinkt aan de change
5.4.4.2.2. Toegangsbeheer
(voor meer informatie zie pagina 4.8. Minimale maatregelen - Toegangsbeheer )
De traceerbaarheid van de activiteiten binnen een toepassing is niet in scope PAM
Traceerbaarheid van activiteiten binnen een toepassing moet worden ingevuld door maatregelen binnen de applicatie zelf (In GDPR context verwijst men dan naar privacy logging)
Het toegangsbeheer proces bestaat uit meerdere deelcomponenten.
Het Identity and Access management proces staat in voor: Voorbeeld: webIDM
De correcte identificatie van de deelnemende gebruikers (Fysieke personen) in het PAM proces
Het aanleveren van de aangepaste authenticatiemiddelen. Deze authenticatiemiddelen bestaan uit accounts en toegangsrechten (details in het IAM-document)
De volledige traceerbaarheid van het proces startende bij de correcte identificatie van de gebruiker (identity management), de registratie van de motivatie tot toegang (request management) en de bijhorende validaties (Workflow management)
De volledige lifecycle van de authenticatiemiddelen op de technische componenten.
Creatie, aanpassingen, verwijderen van de authenticatiemiddelen
Volledige traceerbaarheid van de activiteiten bij het beheer van de authenticatiemiddelen
De traceerbaarheid van het gebruik van de authenticatiemiddelen is beschikbaar in operationele context van het betrokken technische component
Authenticatie staat in voor: Voorbeeld: ACM, CSAM, …
Validatie van de gebruiker op basis van de gebruikte authenticatiemiddelen (Account)
De traceerbaarheid van het gebruik van de authenticatiemiddelen op applicatie niveau
Autorisatie staat in voor:
Validatie van de toegangen van de gebruiker op basis van de toegekende rechten aan het authenticatiemiddel
Deze validatie kan op verschillende manieren worden ingeregeld, centraal, individueel of via federatie modellen.
Active Directory, LDAP
Host (lokale groepen/rollen op operating systeemniveau)
Middleware (Databasesystemen)
ACM
Technologie gerelateerde access controles
Binnen de toepassing zelf, als configuratie of in de applicatie code
5.4.4.2.3. Logbeheer
(voor meer informatie zie pagina 5.2. Minimale maatregelen - logging en monitoring (SIEM) )
Het log beheer staat in voor het verzamelen en bewaren van audit trails, informatie waarmee (beheers) activiteiten kunnen worden gecontroleerd en gereconstrueerd
Het logbeheer beschrijft de volledige lifecycle van de log informatie
Het logbeheer voorziet in de verzameling, centralisatie en eventuele archivering van de log informatie
Het logbeheer bewaakt de integriteit tijdens de volledige levenscyclus log informatie
De technische behoeften die toelaten om op aangepaste wijze log informatie te verzamelen worden beschreven als functionele behoeften in het configuratiebeheer van de individuele toepassing of generieke platformen
Het logbeheer vormt de basis voor de risico rapportering
Log informatie kan voorkomen op verschillende infrastructuurcomponenten of op componenten met een verschillende beheer context. Om correlatie tussen deze bronnen mogelijk te maken zullen deze bronnen centraal moeten toegankelijk moeten worden gemaakt teneinde correlatie van deze bron informatie mogelijk te maken
Het resultaat van deze (geautomatiseerde) correlatie zal gebruikt worden als risico rapportering
5.4.4.2.4. Risicorapportering
(voor meer informatie zie pagina 5.5. Minimale maatregelen - proces risicobeheer )
De operationele risico rapportering (KRI) laat de organisatie toe om op een structurele uniforme manier de belangrijkste operationele risico’s in kaart te brengen en op te volgen in het risico beheer
Deze rapportering gebruikt de operationele informatie uit processen en de log informatie uit de technische platformen en combineert deze op basis van de verwerkingslogica tot bruikbare rapporten
5.4.4.2.5. Het proces
Voorbeeld: HFP PAM Bouwsteen