3.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=======================================================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- _en_netwerkbeveili- ging #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
Beheersmaatregel
Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.
Doel
Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aan systeem- en toepassingsbeheersmaatregelen voor informatiebeveiliging.
Richtlijn
Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen:
a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde gebruikers dat praktisch haalbaar is (zie 8.2)
b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
c) het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;
d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen;
e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot toepassingen op systemen waarbij segmentatie van functies vereist is;
f) het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;
g) ten minste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftwarendien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden;
h) beperking van de beschikbaarheid van systeemhulpmiddelen (bijvoor de duur van een
geautoriseerde wijziging);
i) registreren van alle gebruik van systeemhulpmiddelen.
Overige informatie
De meeste informatiesystemen hebben een of meer systeemhulpmiddelen die systeem- en toepassingsbeheersmaatregelen kunnen omzeilen, bijvoorbeeld diagnose-, patching-, antivirus-, schijfdefragmentatie-, probleemdetectie- en probleemoplossings-, back-up- en netwerkhulpmiddelen.