4.8.3.1. Beheer serviceaanvragen voor toegang als maatregel
4.8.3.1.1. Preventie, detectie en reactie
Maatregelen worden genomen als gevolg van een geïdentificeerd risico. Volgende mogelijkheden doen zich voor:
Preventie: vermijden dat iets gebeurt of het verlagen van de waarschijnlijkheid dat het gebeurt;
Detectie: detecteren van de (potentiële) schade zou een bedreiging optreden;
Reactie: beperken van de schade wanneer een bedreiging optreedt of het effect hiervan gedeeltelijk of geheel corrigeren.
Bij preventieve maatregelen wordt de dreiging verkleint tot het niveau dat ze aanvaardbaar is.
Detectie maatregelen zorgen ervoor dat een dreiging en het gevolg ervan tijdig ontdekt wordt.
Reactieve maatregelen richten zich op de gevolgen indien een dreiging zich toch voordoet, door het inperken of herstellen van de schade.
Het proces beheer serviceaanvragen voor toegang laat toe om toegang tot diensten en informatie gecontroleerd toe te staan, zodat niet-geautoriseerde toegang wordt vermeden. Beheer van serviceaanvragen voor toegang is dus een proactief proces.
Beheer serviceaanvragen voor toegang is een preventieve maatregel.
4.8.3.1.2. Service beheer van toegang
Beheer van toegang tot ICT-diensten en informatie zorgt ervoor dat vertrouwelijkheid, integriteit en beschikbaarheid van ICT-diensten en informatie mogelijk wordt. Het zorgt ervoor dat gebruikers in de mogelijkheid verkeren om een ICT-dienst te gebruiken of informatie te beheren die ze nodig hebben om hun taken te kunnen uitvoeren, maar het verzekert niet noodzakelijk dat deze ICT-dienst of
informatie te allen tijde beschikbaar is (hiervoor dient het proces ‘beheer van beschikbaarheden’ of availability management).
Servicebeheer van toegang is nauw verbonden met het proces ‘beheer van serviceaanvragen’ en houdt volgende activiteiten in (zie hoofdstuk ‘De bouwstenen van beheer serviceaanvragen voor toegang’):
Aanmaak, indienen en registratie van de aanvraag tot toegang,
Validatie van de aanvraag,
Urgentie bepalen,
Aanvraag uitvoeren,
Validatie uitvoering en afsluiten.
4.8.3.2. Succesfactoren voor een goed beheer serviceaanvragen voor toegang
Een organisatie moet de kritische succesfactoren definiëren die passend zijn voor haar omgeving en elke kritische succesfactor moet opgevolgd worden door één of meerdere kritische prestatie-indicatoren (zie hoofdstuk: 'Prestatie-indicatoren (KPI’s)').
Succesfactoren voor beheer serviceaanvragen voor toegang omvatten:
Gecontroleerde toegang tot informatie waarbij gelet wordt op de toegankelijkheid voor geautoriseerde gebruikers;
Gebruikers hebben het juiste niveau van toegang om hun taken te kunnen uitvoeren;
De mogelijkheid om toegang tot informatie te auditen en misbruik van toegangsrechten op te sporen;
De mogelijkheid om snel en efficiënt toegang te blokkeren waar nodig door het intrekken van rechten of het blokkeren van gebruikersaccounts.
4.8.3.3. De bouwstenen van beheer serviceaanvragen voor toegang
4.8.3.3.1. Het toegangsbeleid
Hoewel het opstellen van het toegangsbeleid geen onderdeel is van het proces beheer serviceaanvragen voor toegang, is het wel een belangrijke pijler ervan.
Doelstelling van het beleid voor logische toegangsbeveiliging is het vaststellen van de identiteit van een gebruiker die toegang krijgt tot informatie, informatiesystemen of ICT-diensten, vaststellen welke functionaliteiten de gebruiker mag verkrijgen en het waarborgen van een gecontroleerde toegang (autoriseren) tot, en gebruik van, informatie, informatiesystemen of ICT-diensten. Hierbij moet je de afweging maken welke invloed deze toegang kan hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie.
De identiteit van een gebruiker kan worden vastgesteld via verschillende methodes gaande van zwakke identificatie tot sterke identificatie. Zodra een identiteit is vastgesteld, kan worden overgegaan tot authenticatie, waarbij de gebruiker zijn/haar identiteit bewijst. Ook hiervoor zijn verschillende methodes voorhanden van geen of zwakke authenticatie tot sterke authenticatie. Daarnaast is controle op gebruik van de account een belangrijke maatregel: het bijhouden van de nodige audit trails met het oog op traceerbaarheid.
Welke methodes wanneer moeten worden toegepast in functie van de informatieklassen is besproken in het document ‘Vo Informatieclassificatie – Minimale maatregelen – IAM’. Het toegangsbeleid moet conform deze IAM minimale maatregelen uitgewerkt worden door de organisatie.
4.8.3.3.2. De aanvraag tot toegang
Een aanvraag tot toegang kan ingediend worden aan de helpdesk, servicedesk of een ander meldpunt dat de organisatie heeft aangeduid, of via een self service toepassing voor het verwerken van toegangsvragen van gebruikers. Een aanvraag tot toegang is onderdeel van het proces ‘beheer van serviceaanvragen’ en is besproken in document ‘Vo Informatieclassificatie – Minimale maatregelen – beheer aanvragen’.
Er kan toegang gevraagd worden tot toepassingen, maar ook tot netwerken en andere ICT-componenten waar gebruikers taken op moeten kunnen uitvoeren.
De aanvraag kan worden geïnitieerd door de gebruiker of zijn leidinggevende, door de toepassingseigenaar of CISO/ DPO en bevat minstens volgende informatie:
Aanvrager,
Gebruiker/begunstigde,
Gewenste ingangsdatum,
Eventuele einddatum (bij tijdelijke toegang),
Gewenste bevoegdheden,
Motivatie van de toegang.
Elke toegang tot informatie of systemen moet gemotiveerd zijn door de gebruiker of zijn/haar leidinggevende. De toepassingseigenaar, CISO/ DPO of uitvoerder mogen geen aanvraag tot toegang voor gebruikers motiveren.
4.8.3.3.3. Validatie van de aanvraag
De beoordeling van de aanvraag tot toegang houdt in dat gecontroleerd wordt of de aanvraag
volgende elementen bevat:
Is de gebruiker die om toegang vraagt inderdaad de persoon die hij/zij claimt te zijn?
Is de gebruiker gelegitimeerd om de service of informatie waarvoor hij/zij toegang vraagt, te gebruiken?
De aanvraag kan niet gevalideerd worden door de initiator van de vraag.
Het toegangsbeleid en het document ‘Vo Informatieclassificatie – minimale maatregelen – IAM’ levert de leidraad voor de beoordeling van de aanvraag: elke aanvraag moet hiermee conform zijn. Indien de aanvraag beantwoordt aan de vereisten opgelegd door de toepassingseigenaar en in lijn is met het toegangsbeleid, kan toegang tot de betrokken dienst of informatie verleend worden aan de
gebruiker.
4.8.3.3.4. Urgentie bepalen
Het bepalen van de prioriteit gebeurt enkel op basis van urgentie is beschreven in het document ‘Vo Informatieclassificatie – Minimale maatregelen – beheer aanvragen’.
4.8.3.3.5. Aanvraag uitvoeren
Beheer serviceaanvragen voor toegang beslist niet wie toegang heeft tot welke dienst of informatie, maar voert slechts het beleid uit. Op deze manier zal beheer serviceaanvragen voor toegang de toegang tot diensten en informatie afdwingen, maar het neemt niet de beslissing over wie toegang mag hebben. De uitvoering gebeurt onder delegatie van de toepassingseigenaar.
Taken van gebruikers kunnen door de tijd veranderen, bijvoorbeeld wanneer ze van functie veranderen of het bedrijf verlaten. Het beheer van toegang houdt dus niet alleen in dat toegang wordt toegekend, maar ook wordt verwijderd of aangepast. Dit is echter niet een beslissing die een gebruiker zelf mag nemen.
Het geven van toegang omvat volgende taken:
Aanmaken, wijzigen of verwijderen van een account voor de gebruiker,
Toekennen, wijzigen of verwijderen van rollen.
4.8.3.3.6. Monitoren van toegang
Toegangen moeten niet alleen toegekend of verwijderd worden, maar er moet voor worden gezorgd dat de verleende toegang ook goed wordt gebruikt. Daarom moet toegangsbewaking en -beheersing worden opgenomen in de monitoringactiviteiten van alle technische en applicatiebeheerfuncties en alle service productieprocessen. Dit maakt echter geen deel uit van het proces beheer
serviceaanvragen voor toegang zelf.
Aspecten waar mee rekening moet worden gehouden:
Accounts van gebruikers die niet meer werkzaam zijn in de organisatie, moeten verwijderd zijn. Accounts die tijdelijk geblokkeerd zijn, moeten na verloop van tijd definitief verwijderd worden als ze niet meer nodig zijn – in lijn met toegangsbeleid.
Rechten moeten toegekend zijn in functie van de taken en verantwoordelijkheden van de gebruiker op elk moment, cumulatie van rechten na verloop van tijd moet vermeden worden.
Opletten voor conflicten in toekennen van rechten (bvb onvoldoende aandacht schenken aan scheiding van functies).
Periodiek nazicht van toegekende accounts en rechten.
Controle op het gebruik van rechten (auditeerbaarheid).
4.8.3.3.7. Validatie uitvoering en afsluiten aanvraag
Controle na de uitvoering zorgt ervoor dat de juiste accounts en rollen werden toegekend. Dit kan gebeuren door periodieke validatie (bijvoorbeeld jaarlijks). De uitvoering mag niet gevalideerd worden door de gebruiker zelf of zijn leidinggevende.
Een aanvraag voor toegang moet afgesloten worden en – afhankelijk van de informatieklasse – gecommuniceerd naar de gebruiker en/of validator.
4.8.3.3.8. Samenvattend overzicht activiteiten
Volgende tabel geeft een overzicht over de activiteiten en hun mogelijke actoren:
4.8.3.3.9. Het proces
Alle bouwstenen samen maken deel uit van het proces voor het beheer van serviceaanvragen voor toegang. Algemeen ziet dat er als volgt uit