Toegangsbeveiliging omvat de maatregelen en richtlijnen op basis waarvan de identificatie, authenticatie en autorisatie van gebruikers tot informatie en informatiesystemen worden bepaald.

Inhoud

1 Doel
2 Beleid
- 2.1 Identificatie, authenticatie en autorisatie
- 2.2 Type accounts
  - 2.2.1 Interactieve accounts
  - 2.2.2 Niet-interactieve accounts
- 2.3 Identificatie
  - 2.3.1 Identiteitsbeheer
  - 2.3.2 Accountbeheer
- 2.4 Authenticatie
  - 2.4.1 Authenticatiemechanismen
  - 2.4.2 Single Sign-On
  - 2.4.3 Bijkomende vereiste voor technische accounts
  - 2.4.4 Veilige inlogprocedure
  - 2.4.5 Sessie -en schermvergrendeling
  - 2.4.6 Wachtwoordbeleid
  - 2.4.7 Logging
- 2.5 Autorisatie
  - 2.5.1 Basisprincipes
  - 2.5.2 Role-Based Access Control
  - 2.5.3 Verlenen en intrekken van toegangsrechten
  - 2.5.4 Validatie van toegangsrechten
  - 2.5.5 Herzien van toegangsrechten
- 2.6 Privileged Account Management
3 Appendix
- 3.1 Relatie van het beleid met andere richtlijnen en standaarden
  - 3.1.1 Regelgeving en standaarden (L1)
  - 3.1.2 Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
- 3.2 Uitvoering van het beleid
  - 3.2.1 Processen
  - 3.2.2 Oplossingen
4 Document status

Doel

Het beleid voor toegangsbeveiliging beschrijft de maatregelen die de organisatie moet nemen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot informatie en informatiesystemen.

DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Page:

OD.01 —
We waarborgen de bevoegde toegang tot informatie en bedrijfsmiddelen door middel van een sluitend identificatie, authenticatie en autorisatieproces.

DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Page:

DR.19 - Misbruik van andermans identiteit
Page:

DR.20 - Misbruik van speciale bevoegdheden
Page:

DR.21 - Onterecht hebben van rechten
Page:

DR.22 - Slecht wachtwoordgebruik

Beleid

Identificatie, authenticatie en autorisatie

Toegangsbeveiliging is een fundamenteel aspect van informatieveiligheid en wordt onderverdeeld in drie kernprocessen: identificatie, authenticatie en autorisatie. Deze processen werken samen om te verzekeren dat alleen bevoegde personen toegang krijgen tot informatie en informatiesystemen.

Identificatie: Dit is de eerste stap waarbij een fysieke persoon zichzelf kenbaar maakt aan een systeem door middel van een interactieve account. Een account moet gekoppeld zijn aan een fysieke persoon geïdentificeerd door een identiteit. Ook systemen kunnen zich aanmelden bij een ander systeem door middel van een niet-interactieve account. In dat geval moet geen identiteit gekoppeld worden aan de account. Via accounts kan men acties op een systeem ook volgen en controleren. Identiteiten worden beheerd via een proces van identiteitsbeheer, accounts worden beheerd via een proces van accountbeheer. Men spreekt hier van zwakke of sterke identificatie in functie van de zekerheid dat men wil verkrijgen in hoeverre de fysieke persoon daadwerkelijk hij of zij is die men aangeeft.

Authenticatie: Tijdens authenticatie wordt geverifieerd of de identiteit van de account legitiem is, gewoonlijk door het vragen om iets dat de persoon die de account gebruikt, weet (zoals een wachtwoord), iets dat de persoon heeft (zoals een smartcard of token), of iets dat de persoon is (zoals een vingerafdruk of een ander biometrisch kenmerk). Men spreekt hier van zwakke of sterke authenticatie.

Autorisatie: Na identificatie en authenticatie bepaalt autorisatie welke rechten en privileges aan de geauthenticeerde account worden toegekend. Dit proces regelt de toegang tot verschillende resources binnen het systeem op basis van gebruikersrollen, beleidslijnen en regels.

Informatie en informatiesystemen moet in deze context breed geïnterpreteerd worden. Voor meer duidelijkheid omtrent het begrip informatie wordt verwezen het beleid Informatiebescherming. Met informatiesystemen (of systemen) worden zeer breed de bedrijfsmiddelen bedoeld die toegang verlenen tot informatie. Dit omvat zowel bedrijfsnetwerken, werkstations, operating systems, toepassingen, databases, websites, mobile devices, mobile apps, enz. Dit beleid is van toepassing op de identificatie, authenticatie en autorisatie stappen die op elk van dit type systemen kunnen voorkomen.

Type accounts

Accounts variëren in soort en functie, elk met hun eigen beveiligingseisen. De volgende tabel biedt een overzicht van de diverse soorten accounts.

Interactieve accounts	Gebruikersaccounts	Standaard gebruikersaccounts: Interactieve accounts gebruikt door één enkele persoon om toegang te verkrijgen tot zijn/haar digitale werkplek, het bedrijfsnetwerk en meerdere toepassingen via SSO (Single Sign-On).
		Niet-standaard gebruikersaccounts: Interactieve accounts gebruikt door één enkele persoon om toegang te verkrijgen tot een specifieke toepassing als gebruiker.
		Gedeelde gebruikersaccounts: Interactieve gebruikersaccount die gedeeld wordt door meerdere personen om toegang te krijgen tot een specifieke toepassing.
		Gast accounts: Een gastaccount is een gedeeld maar zeer beperkt gebruikersaccount dat bedoeld is voor personen die geen regelmatige toegang tot een systeem hebben en geen medewerkers zijn. Gastaccounts hebben zeer beperkte privileges en beperkingen op systeemtoegang.
	Beheersaccounts	Superuser accounts: Deze accounts worden automatisch geïnstalleerd en hebben de hoogste rechten op een systeem. Voorbeelden zijn: Administrator (Windows), root (Linux/Unix), sa (SQL Server), sysadmin (Oracle Database), System Administrator (Oracle E-Business Suite), EC2 Instance Connect (AWS), SAP* (SAP ERP), etc. Met deze accounts kan men alle geprivilegieerde taken uitvoeren, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc.
		Persoonlijke beheersaccounts (ook genaamd geprivilegieerde accounts): Interactieve accounts gebruikt door één enkele persoon voor het uitvoeren van bepaalde geprivilegieerde taken, zoals het wijzigen van systeembestanden, installeren of verwijderen van nieuwe software, starten en stoppen van services, onderhouden van accounts, toekennen van toegang tot bestanden, etc.
Niet-interactieve accounts	Technische accounts	Systeemaccounts: Systeemaccounts worden automatisch aangemaakt door het besturingssysteem of specifieke toepassingen voor processen en services op systeemniveau. Deze accounts worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie.
		Serviceaccounts: Serviceaccounts worden gebruikt door services, toepassingen of processen om te communiceren met het besturingssysteem of andere services. Deze accounts hebben vaak specifieke machtigingen die zijn afgestemd op de behoeften van de service of toepassing die ze ondersteunen en worden intern door het systeem gebruikt en zijn niet bedoeld voor directe gebruikersinteractie.
	Andere	Anonieme accounts (Anonymus, Public): Sommige systemen ondersteunen anonieme accounts waarmee gebruikers toegang hebben tot bepaalde bronnen of services zonder expliciete verificatiegegevens te verstrekken. Deze accounts hebben doorgaans zeer beperkte bevoegdheden (bv enkel leesrechten), en worden gebruikt om algemene toegangsrechten toe te kennen voor elke gebruiker van het systeem.

Identificatie

Identiteitsbeheer

Voor het verlenen van toegang tot informatie en informatiesystemen voor een persoon moet een interactieve account worden aangemaakt, die moet gekoppeld wordt aan een geverifieerde persoon of fysieke identiteit. Hiertoe moet een organisatie een proces van identiteitsbeheer opzetten. Afhankelijk van de vertrouwelijkheid en integriteit van de informatie en informatiesystemen waarvoor toegang nodig is, wordt in het identificatieproces een onderscheid gemaakt tussen zwakke en sterke identificatie bij het creëren van een identiteit:

Zwakke identiteit: Validatie van de identiteit van een fysiek persoon op basis van een identiteitsattribuut dat niet onder controle valt van een door de overheid geregistreerde of gecertificeerde bron (bijvoorbeeld een e-mailadres of telefoonnummer);

Sterke identiteit: Validatie van de identiteit op basis van een door de Belgische federale overheid geregistreerde of gecertificeerde bron (bijvoorbeeld het rijksregisternummer).

Meer informatie kan men terugvinden in 5.1.2. Aanvullende informatie over de maatregelen (IAM) | 5.1.2.1. Identificatie als maatregel.

Accountbeheer

Standaard gebruikersaccounts

Standaard gebruikersaccounts zijn de interactieve accounts gebruikt door medewerkers om toegang te verkrijgen tot de digitale werkplek, het bedrijfsnetwerk en meerdere toepassingen via SSO (Single Sign-On). Een standaard gebruikersaccount is uniek voor een individu waardoor het de aansprakelijkheid en traceerbaarheid van acties mogelijk maakt en de beveiliging verbetert door gebruik te maken van persoonlijke authenticatiemethoden zoals wachtwoorden en multifactorauthenticatie.

Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Toegangsbeveiliging

Inhoud

Doel

DOELSTELLINGEN

DREIGINGEN

Beleid

Identificatie, authenticatie en autorisatie

Type accounts

Interactieve accounts

Gebruikersaccounts

Beheersaccounts

Niet-interactieve accounts

Technische accounts

Andere

Identificatie

Identiteitsbeheer

Accountbeheer

Standaard gebruikersaccounts