5.9 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=====================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- _en_toegangsbeheer | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
Beheersmaatregel
Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.
Doel
Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten speciale toegangsrechten krijgen.
Richtlijn
Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15)et volgende behoort te worden overwogen:
a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of
proces (bijvesturingssystemen, databasebeheersystemen en toepassingen);
b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden;
d) het definiëren en implementeren van eisen voor het vervallen van speciale toegangsrechten;
e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewust zijn van hun speciale toegangsrechten en wanneer zij zich in de speciale toegangsmodus bevindenogelijke maatregelen zijn onder andere het gebruik van specifieke gebruikersidentiteiten, gebruikersinterface-instellingen of zelfs specifieke apparatuur;
f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd;
g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5.18);
h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5.17);
i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten;
j) het registreren van alle speciale toegang tot systemen voor auditdoeleinden;
k) identiteiten met speciale toegangsrechten niet met meerdere personen delen of aan meerdere personen koppelen, maar aan elke persoon een afzonderlijke identiteit toekennen waarmee specifieke speciale toegangsrechten kunnen worden toegekenddentiteiten kunnen worden gegroepeerd (bijvoor een beheerdersgroep te definiëren) om het beheer van speciale toegangsrechten te vereenvoudigen;
l) het gebruik van identiteiten met speciale toegangsrechten beperken tot het uitvoeren van beheerfuncties en deze identiteiten niet gebruiken voor de dagelijkse algemene taken [dz-mail bekijken, toegang tot internet (gebruikers behoren voor deze activiteiten een afzonderlijke normale netwerkidentiteit te hebben)].
Overige informatie
Speciale toegangsrechten zijn toegangsrechten die aan een identiteit, rol of proces worden verleend om activiteiten te kunnen uitvoeren die gewone gebruikers of processen niet kunnen uitvoerenysteembeheerdersrollen vereisen meestal speciale toegangsrechten.
Ongepast gebruik van speciale systeembeheerdersrechten (elke functie of faciliteit van een informatiesysteem die de gebruiker in staat stelt systeem- of toepassingsbeheersmaatregelen op te heffen) is een factor die in grote mate bijdraagt aan storingen van of inbreuken op het systeem.
Meer informatie over toegangsbeheer en het beveiligde beheer van de toegang tot informatie en informatie- en communicatietechnologiemiddelen is te vinden in ISO/IEC 29146.