Deelproject 5.6 Scheiden van rollen en verantwoordelijkheden
Functiescheiding is het scheiden van rollen en verantwoordelijkheden. Het voorkomt dat één persoon te veel macht of verantwoordelijkheid krijgt binnen een proces of systeem. Het is daarom een belangrijk principe binnen informatiebeveiliging. Door taken, bevoegdheden en verantwoordelijkheden te verdelen over meerdere rollen, verklein je de kans op fouten, misbruik of fraude.
Resultaat van dit deelproject
- Functiescheiding is toegevoegd aan het IAM-beleid.
- Het IBP-beleid, financieel beleid en andere beleidsdocumenten zijn doorgenomen om te veel conflicterende verantwoordelijkheden te beperken.
- Functiescheiding is toegepast bij het toekennen van rollen en rechten binnen systemen.
Let op
Bij norm ID.02 en SM.o2 uit dit deelproject werk je alleen aan het derde punt van volwassenheidsniveau 3.
Scheiden van controle en uitvoering
In de praktijk betekent het scheiden van rollen en verantwoordelijkheden dat voorkomen wordt dat één medewerker alle stappen van een gevoelig proces kan uitvoeren, zoals bijvoorbeeld het aanvragen, goedkeuren én uitvoeren van een betaling, of het aanmaken én toekennen van gebruikersrechten in een systeem. Functiescheiding zorgt dus ervoor dat controle en uitvoering van elkaar gescheiden blijven. Het volledig afdwingen van functiescheiding is niet altijd mogelijk, zeker niet in kleine organisaties. Daarom is het belangrijk om hierin bewuste keuzes te maken, afwijkingen vast te leggen en compenserende maatregelen te treffen, zoals extra controle of logging.
Wie doet wat
- Het bestuur stelt het IAM-beleid vast en ziet toe op naleving.
- De IBP’er of security officer ondersteunt bij de inrichting van functiescheiding binnen de verschillende beleidsstukken en processen, en controleert of dit juist is toegepast.
Aan de slag
Onderstaande stappen helpen je bij het scheiden van rollen en functies in jouw schoolorganisatie.
1 Stel beleid op voor functiescheiding
Begin met het beoordelen in hoeverre functiescheiding voldoende is opgenomen in het IAM-beleid binnen het deelproject 3.2 Inrichten van identiteits- en toegangsbeheer.
2 Analyseer de kritieke functies
Bepaal binnen de processen welke taken gescheiden moeten zijn. Denk hierbij aan het goedkeuren van financiële handelingen of het toekennen van admin-accounts aan medewerkers.
3 Beoordeel bestaande rollen
Zorg dat de taken die gescheiden dienen te zijn bij verschillende medewerkers worden belegd. Analyseer de autorisatiematrixEen schema waarin is vastgelegd wie toegang krijgt tot welke persoonsgegevens. Dat gebeurt bij voorkeur op basis van rollen, functies of een mix daarvan, zodat het need-to-know-principe wordt toegepast. die je binnen het deelproject 3.2 Inrichten van identiteits- en toegangsbeheer hebt ingericht of de juiste taken gescheiden zijn.
4 Neem maatregelen
Is het niet mogelijk om bepaalde taken te scheiden omdat er een beperkt aantal medewerkers is die het werk doet? Werk dan met een vierogenprincipe. Hierbij zorg je ervoor dat kritieke taken door meerdere medewerkers gedaan worden of dat er naast het werk van de uitvoerende medewerker ook nog een controle plaatsvindt.
Indien het niet mogelijk is om binnen een systeem van je leverancier makkelijk taken te scheiden of een vierogenprincipe in te richten, bespreek dit dan met je leverancier en kijk of je mitigerende maatregelen kunt inrichten.
5 Beperk de toegang tot logging en monitoring
Logs binnen systemen mogen niet worden beheerd door de personen van wie acties worden gelogd. Zorg daarom dat de toegang tot logging- en monitoringtools zo veel mogelijk beperkt is.
6 Train medewerkers
Zorg dat leidinggevenden, proceseigenaren en beheerders begrijpen wat functiescheiding inhoudt en waarom dit belangrijk is. Training of toelichting helpt om bewustwording te vergroten.
7 Voer periodieke controles uit
Controleer minstens jaarlijks of de afgesproken functiescheiding nog juist wordt toegepast en of compenserende maatregelen effectief zijn.