7.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
5.15 Toegangsbeveiliging
| Attribuut | Waarde |
|---|---|
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
Beheersmaatregel
Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.
Doel
Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
Richtlijn
Eigenaren van informatie en andere gerelateerde bedrijfsmiddelen behoren informatiebeveiligings- en bedrijfseisen met betrekking tot toegangsbeveiliging vast te stellen. Er behoort onderwerpspecifiek beleid inzake toegangsbeveiliging te worden gedefinieerd waarin rekening wordt gehouden met deze eisen en dit behoort naar alle desbetreffende belanghebbenden te worden gecommuniceerd.
Bij deze eisen en het onderwerpspecifieke beleid behoort rekening te worden gehouden met het volgende:
a) vaststellen voor welke entiteiten welke soort toegang tot de informatie en andere gerelateerde bedrijfsmiddelen vereist is;
b) beveiliging van toepassingen (zie 8.26);
c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie 7.2, 7.3, 7.4);
d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie 5.10, 5.12, 5.13);
e) beperkingen op speciale toegangsrechten (zie 8.2);
f) functiescheiding (zie 5.3);
g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie 5.31, 5.32, 5.33, 5.34, 8.3);
h) scheiding van toegangsbeveiligingsfuncties (bijvoegangsverzoek, -autorisatie, -administratie);
i) formele autorisatie voor verzoeken om toegang (zie 5.16 en 5.18);
j) het beheer van toegangsrechten (zie 5.18);
k) registratie (zie 8.15).
Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie 5.16). Een entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
Bij het definiëren en implementeren van regels voor toegangsbeveiliging behoort rekening te worden gehouden met het volgende:
a) consistentie tussen de toegangsrechten en de informatieclassificatie;
b) consistentie tussen de toegangsrechten en de behoeften en eisen met betrekking tot de fysieke beveiliging van de buitengrenzen;
c) het in aanmerking nemen van alle soorten beschikbare verbindingen in gedistribueerde omgevingen zodat entiteiten alleen toegang krijgen tot informatie en andere gerelateerde bedrijfsmiddelen, waaronder netwerken en netwerkdiensten waarvoor zij als gebruiker bevoegd zijn;
d) het overwegen hoe elementen of factoren die relevant zijn voor dynamische toegangsbeveiliging kunnen worden weergegeven.
Overige informatie
Er worden vaak overkoepelende principes gebruikt in de toegangsbeveiligingscontext. Twee van de meest gebruikte principes zijn:
a) 'need-to-know': een entiteit krijgt alleen toegang tot de informatie die de entiteit in kwestie nodig heeft voor het uitvoeren van zijn functies (verschillende functies of rollen betekenen verschillende 'need-to-know'-informatie en daardoor verschillende toegangsprofielen);
b) noodzaak tot gebruik ('need-to-use'): een entiteit krijgt alleen toegang tot de informatietechnologie-infrastructuur indien daarvoor een duidelijke noodzaak bestaat.
Bij het opstellen van regels voor toegangsbeveiliging behoort aandacht te worden besteed aan het volgende:
a) het vaststellen van regels gebaseerd op de vooronderstelling van het 'least privilege' (minste rechten): 'Alles is in principe verboden tenzij het uitdrukkelijk is toegelaten', in plaats van de zwakkere regel 'Alles is in principe toegelaten tenzij het uitdrukkelijk is verboden';
b) wijzigingen in informatielabels (zie 5.13) die automatisch door informatieverwerkende faciliteiten worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
c) wijzigingen in toegangsrechten voor gebruikers die automatisch door het informatiesysteem worden aangebracht, en wijzigingen die door een beheerder worden aangebracht;
d) de momenten van het definiëren en regelmatig beoordelen van de goedkeuring.
Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie 5.17, 5.18, 8.2, 8.3, 8.4, 8.5, 8.18) en gedefinieerde verantwoordelijkheden (zie 5.2, 5.17).
Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging).
Regels voor toegangsbeveiliging kunnen ook dynamische elementen bevatten (bijv. een functie die toegangsinstanties uit het verleden of specifieke omgevingswaarden beoordeelt). Regels voor toegangsbeveiliging kunnen met verschillende granulariteit worden geïmplementeerd, uiteenlopend van het afdekken van volledige netwerken of systemen tot specifieke gegevensvelden, en hierbij kunnen ook eigenschappen zoals de locatie van de gebruiker of het soort netwerkverbinding dat voor de toegang wordt gebruikt, in aanmerking worden genomeneze principes, evenals de wijze waarop granulaire toegangsbeveiliging wordt gedefinieerd, kunnen een aanmerkelijk kosteneffect hebbentrengere regels en meer granulariteit leiden doorgaans tot hogere kostenan de hand van bedrijfseisen en risico-overwegingen behoort te worden gedefinieerd welke regels voor toegangsbeveiliging worden toegepast en welke granulariteit vereist is.