Home » Informatiebeveiliging » Domein 11: Securitymanagement » Norm SM.02

Norm SM.02 Authenticatiemechanismes

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op it-systemen moeten uniek en identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve id’s in relevante applicaties. Dit is nodig om te bepalen of unieke gebruiker-id’s zijn doorgevoerd, zodat activiteiten traceerbaar zijn. Daarnaast moet het management ervoor zorgen dat algemene- en systeemaccounts geblokkeerd zijn of op andere wijze beschermd zijn. Alle onjuiste of inactieve gebruiker-id’s die tijdens het controleproces worden opgemerkt, worden direct gedeactiveerd.

Waarom is dit nodig?

Authenticatiemechanismes zorgen voor geoorloofde toegang tot programma’s en gegevens, doordat je daarmee activiteiten kunt herleiden tot gebruikers. Daarnaast voorkom je ongeoorloofde toegang als je de identiteit van gebruikers kunt vaststellen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid voor beheer van gebruikersauthenticatie.
Er is geen procedure voor identity- en accessmanagement.
AuthenticatieAuthenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt. niet afgedwongen voor het verlenen van toegang.
Niet alle systeemprocessen en activiteiten van gebruikers kunnen getraceerd worden naar een uniek identificeerbare gebruiker.
Ad-hocmaatregelen zijn afhankelijk van individuen.

2 Herhaalbaar

Er is een informeel beleid voor gebruikersauthenticatie.
Er zijn administratieve procedures voor identificatie, authenticatie en autorisatie van gebruikers, maar deze zijn niet formeel.
Voor het verlenen van toegang wordt authenticatie afgedwongen.
Alle activiteiten van gebruikers kunnen getraceerd worden naar uniek identificeerbare gebruikers.
De rollen die zijn vastgelegd voor het verlenen van toegang zijn in lijn met de organisatiebehoeften, gebaseerd op need-to-know en goedgekeurd door de proceseigenaar.
Functie-eisen zijn gekoppeld aan gebruiker-id’s.
Systeem- of generieke gebruiker-id’s zijn beschermd.

3 Bepaald (streefniveau)

Formeel beleid en procedures voor gebruikersauthenticatie en identity- en accessmanagement zijn gedefinieerd, gedocumenteerd, geformaliseerd en gecommuniceerd. Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
Voor logische toegang tot alle systemen en bronnen wordt gebruikgemaakt van toegangsbepaling en authenticatiebeheer voor alle gebruikers.
Er is een strikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
Gebruiker-id’s en toegangsrechten worden bijgehouden in een centrale opslag.
Ongepaste of inactieve gebruikersrechten worden tijdig uitgeschakeld.
Het gebruik van tweefactorauthenticatie wordt afgedwongen voor toegang vanaf niet-vertrouwde omgevingen en kritieke systemen. Een bedrijfskritische applicatie waar (jonge) leerlingen op inloggen kan hierop een uitzondering zijn, omdat dit simpelweg te veel vraagt van de gebruiker. Voer in dat geval een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. uit voor benodigde mitigerende maatregelen.

4 Beheerst

Aanvullend op niveau 3:

De implementatie en uitvoering van relevante procedures worden periodiek geëvalueerd en vastgelegd. Op basis van deze evaluaties worden verbeteringen doorgevoerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De performance en verbetering van identity- en accessmanagement, authenticatietechnieken en -controls worden voortdurend gemonitord.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Definieer de kaders voor authenticatie in het IBP-beleid. Zie voor meer informatie over het opstellen van een IBP-beleid norm GO.02 Beleid informatiebeveiliging. Richt een proces in voor het aanvragen, toekennen, toewijzen en intrekken van toegang.
Houd gebruiker-id’s en toegangsrechten op een centrale plek bij.
Controleer periodiek op inactieve gebruikers en schakel deze inactieve gebruikers uit.
Pas tweefactorauthenticatie toe voor toegang vanaf niet-vertrouwde omgevingen en kritieke systemen.

Gerelateerde wetten en normen

Norm SM.02 Authenticatiemechanismes is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

A5.3
A5.8
A5.15
A5.16
A5.17
A5.18
A8.3

Certificeringsschema IBP ROSA

Vertrouwelijkheid/Logische toegang

Afdrukken