IM_AC.31

De volgende implementatieniveaus MOETEN worden toegepast op persoonlijke beheersaccounts naargelang de informatieklasse:

Beschikbaarheid Integriteit Vertrouwelijkheid

5 HOOG HOOG HOOG

4 MIDDEN MIDDEN HOOG

3 BASIS BASIS MIDDEN

2 BASIS BASIS BASIS

1 BASIS BASIS BASIS

Het BASIS implementatieniveau voor persoonlijke beheersaccounts MOET voldoen aan de volgende vereisten:

• Sterke identificatie van de medewerker;

• Sterke authenticatie bij gebruik;

• Elke account is geregistreerd en gevalideerd door de toegangsbeheerder met minstens jaarlijkse her-validatie;

• Er is permanente toegang tot het beheersaccount;

• Permanente logging van het gebruik;

• Motivatie voor gebruik is niet verplicht;

• Auditeerbaarheid is door ad hoc audits.

Het MIDDEN implementatieniveau voor persoonlijke beheersaccounts MOET voldoen aan de volgende vereisten:

• Sterke identificatie van de medewerker;

• Sterke authenticatie bij gebruik;

• Elke account is geregistreerd door de toegangsbeheerder met validatie door een door de organisatie geautoriseerd tweede persoon met minstens jaarlijkse her-validatie;

• Er is permanente toegang tot het beheersaccount;

• Permanente logging van het gebruik waarbij alle activiteiten worden geregistreerd (session recording) zodat de activiteiten in real-time en uitgesteld kunnen bekeken worden;

• Verplichte motivatie en validatie via een Change en Release Management proces:

  • Er is geen dubbele controle van de toegang op voorhand noodzakelijk. Periodieke controle gebeurt ‘post-mortem’ op basis van correlatie van logs die voortkomen uit Change en Release Management en de logs van het gebruik van de beheersaccount zelf

• Auditeerbaarheid is gebaseerd op volgende risicorapportering:

  • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change);

  • Pre-approved changes en operationele activiteiten (changes) met een maximale duurtijd tot één jaar zijn toegestaan voor operationele teams;

  • Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie.

Het HOOG implementatieniveau voor persoonlijke beheersaccounts MOET voldoen aan de volgende vereisten:

• Sterke identificatie van de medewerker;

• Sterke authenticatie bij gebruik;

• Elke account is geregistreerd door de toegangsbeheerder met validatie door een door de organisatie geautoriseerd tweede persoon met minstens jaarlijkse her-validatie;

• Er is geen permanente toegang tot het beheersaccount, de account wordt enkel vrijgegeven op basis van functionele noodzaak (bijvoorbeeld een interventie in kader van een incident);

• Permanente logging van het gebruik waarbij alle activiteiten worden geregistreerd (session recording) zodat de activiteiten in real-time en uitgesteld kunnen bekeken worden;

• Verplichte motivatie en validatie via een Change en Release Management proces:

  • Er is geen dubbele controle van de toegang op voorhand noodzakelijk. Periodieke controle gebeurt ‘post-mortem’ op basis van correlatie van logs die voortkomen uit de processen Change en Release Management en de logs van het gebruik van de beheersaccount zelf;

• Auditeerbaarheid is gebaseerd op volgende risicorapportering: 

  • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change);

  • Pre-approved changes en operationele activiteiten (changes) zijn beperkt tot de reële functionele duurtijd van de activiteiten;

  • Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie.

Privileged Account Management

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

PREVENTIEF

BESCHERMEN