Deelproject 3.2 Inrichten van identiteits- en toegangsbeheer

Identiteits- en toegangsbeheer gaat over het beleid, de processen en de technologieën die ervoor zorgen dat de juiste personen of processen toegang hebben tot de juiste informatie en systemen. Zo voorkom je bijvoorbeeld dat leerlingen beoordelingen van hun medeleerlingen kunnen zien en leraren cijfers van de vakken van collega’s kunnen aanpassen. Identiteit en toegangsbeheer wordt ook wel Identity & Access Management of IAM genoemd.

Resultaat van dit deelproject

  • Identiteits- en toegangsbeheerbeleid is opgesteld
  • Autorisatiematrix toegangsrechten is opgesteld
  • Proces over logische toegangsbeveiliging is opgesteld
  • Noodprocedure voor superusers is opgesteld

Beheren van identiteiten

Met identiteiten worden alle personen, processen en koppelingen bedoeld die toegang kunnen of moeten hebben tot informatie en systemen van de organisatie. Elke identiteit heeft bepaalde kenmerken. Denk aan functie, naam, e-mailadres of bijvoorbeeld unieke identifier als een ECK iD.

Verlenen van toegang

Niet iedereen heeft toegang nodig tot dezelfde informatie, systemen of applicaties. Daarom is het belangrijk om vast te leggen welke identiteiten op basis van welke kenmerken welke toegangsrechten krijgen. Dit doe je in een autorisatiematrix per applicatie. In het Normenkader IBP wordt uitgegaan van toegang op basis van rollen; dit wordt ook wel Role-based access control genoemd. Hiermee verklein je de kans op menselijke fouten bij het toekennen van toegangsrechten.

Let op

Besteed je je ICT grotendeels uit? Dan blijf je zelf vaak wel verantwoordelijk voor ( een deel van) het identiteits- en toegangsbeheer. Het is dan bijvoorbeeld nodig dat je zelf tijdig wijzigingen in functies en rechten doorgeeft aan je leverancier.

Wie doet wat

  • Het schoolbestuur stelt het identiteits- en toegangsbeheer vast.
  • De applicatiebeheerders zorgen voor een sluitende en actuele administratie van de identiteiten en verleende toegang, een autorisatiematrix per applicatie, periodieke toetsing en evaluatie van de toegekende toegangsrechten versus de autorisatiematrix.
  • Leidinggevenden, applicatiebeheerders en (externe) ICT-beheerders zorgen voor de uitvoering van de IAM-processen.

Aan de slag

Met het volgen van onderstaande stappen richt jij het identiteits- en toegangsbeheer in voor jouw organisatie.

Stel een beleid op voor identiteits- en toegangsbeheer

Begin met het opstellen van het identiteits- en toegangsbeheerbeleid. Je kunt hiervoor het voorbeelddocument Identiteits- en toegangsbeheer gebruiken. Hierin beschrijf je hoe het identiteits- en toegangsbeheer zijn geregeld binnen je organisatie, welke maatregelen er zijn genomen voor authenticatie en hoe verantwoordelijkheden zijn belegd.

Richt een identiteits- en toegangsbeheerproces in

Werk vervolgens in een procesbeschrijving het proces voor het toekennen, wijzigen en intrekken van toegangsrechten uit. Je kunt hiervoor het voorbeelddocument Proces logische toegang gebruiken. Leg hierin ook vast hoe je met superusers en periodieke controles op toegangsrechten omgaat.

Stel een procedure voor noodtoegang op

In uitzonderlijke situaties kan het nodig zijn om buiten de reguliere toegangsprocedures om toegang te krijgen of verlenen tot informatiesystemen of gegevens. Deze vorm van toegang noemen we noodtoegang. Beschrijf in een proces wie onder welke voorwaarden noodtoegang tot welke systemen kan krijgen en verlenen.

Stel een autorisatiematrix vast per applicatie

Stel vast wat de gewenste autorisaties zijn per systeem op basis van de rollen binnen je organisatie. Dit wordt ook wel een SOLL-matrix genoemd. Je kunt hiervoor het voorbeelddocument autorisatiematrix gebruiken. Leg hierin ook vast hoe de functies binnen je organisatie zich verhouden tot de centrale rollen in je Active Directory.

Informeer en train medewerkers

Zorg dat medewerkers worden geïnformeerd over de verantwoordelijkheden die voortvloeien uit het beleid en het proces. Zorg ervoor dat de medewerkers over de juiste kennis en vaardigheden beschikken om aan hun verantwoordelijkheden te voldoen. Dit kun je onder andere doen door het aanbieden van trainingen.

Voer een controle uit op de huidige situatie

Als je het identiteits- en toegangsbeheer hebt ingericht, kan het zijn dat in het verleden bepaalde rollen en rechten zijn toegekend die niet meer in lijn zijn met de gewenste situatie. Om dit te beheersen, voer je een zogeheten IST-SOLL-controle uit. Je vergelijkt dan bestaande autorisaties met de verschillende autorisatiematrixen. Dit doe je per applicatie en je corrigeert waar nodig.

Let op

Een onderdeel van het deelproject Identiteits- en toegangsbeheer is het inrichten van je authenticatie. Een extra beveiliging tijdens de authenticatie is Multifactorauthenticatie (MFA). MFA – Tweefactorauthenticatie (2FA) – is veiliger dan het gebruik van alleen een gebruikersnaam en wachtwoord. Het aanmeldingsproces heeft dan een extra stap met een alternatieve verificatiemethode. Dit kan bijvoorbeeld een bericht via een mobiel nummer zijn of verificatie via een authenticatie-app.

Voorbeelddocumenten

Afdrukken

Op deze pagina