Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl

Norm SM.02 Authenticatiemechanismes

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op IT-systemen moeten uniek en identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve ID’s in relevante applicaties. Dit is nodig om te bepalen of unieke gebruiker-ID’s zijn doorgevoerd, zodat activiteiten traceerbaar zijn. Daarnaast moet het management ervoor zorgen dat algemene- en systeemaccounts geblokkeerd zijn of op andere wijze beschermd zijn. Alle onjuiste of inactieve gebruiker-ID’s die tijdens het controleproces worden opgemerkt, worden direct gedeactiveerd.

Waarom is dit nodig?

Authenticatiemechanismes zorgen voor geoorloofde toegang tot programma’s en gegevens, doordat je daarmee activiteiten kunt herleiden tot gebruikers. Daarnaast voorkom je ongeoorloofde toegang als je de identiteit van gebruikers kunt vaststellen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid voor beheer van gebruikersauthenticatie.
  • Er is geen procedure voor identity- en accessmanagement.
  • Authenticatie niet afgedwongen voor het verlenen van toegang.
  • Niet alle systeemprocessen en activiteiten van gebruikers kunnen getraceerd worden naar een uniek identificeerbare gebruiker.
  • Ad-hocmaatregelen zijn afhankelijk van individuen.
2 Herhaalbaar
  • Er is een informeel beleid voor gebruikersauthenticatie.
  • Er zijn administratieve procedures voor identificatie, authenticatie en autorisatie van gebruikers, maar deze zijn niet formeel.
  • Voor het verlenen van toegang wordt authenticatie afgedwongen.
  • Alle activiteiten van gebruikers kunnen getraceerd worden naar uniek identificeerbare gebruikers.
  • De rollen die zijn vastgelegd voor het verlenen van toegang zijn in lijn met de organisatiebehoeften, gebaseerd op need-to-know en goedgekeurd door de proceseigenaar.
  • Functie-eisen zijn gekoppeld aan gebruiker-ID’s.
  • Systeem- of generieke gebruiker-ID’s zijn beschermd.
3 Bepaald (streefniveau)
  • Formeel beleid en procedures voor gebruikersauthenticatie en identity- en accessmanagement zijn gedefinieerd, gedocumenteerd, geformaliseerd en gecommuniceerd. Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
  • Voor logische toegang tot alle systemen en bronnen wordt gebruikgemaakt van toegangsbepaling en authenticatiebeheer voor alle gebruikers.
  • Er is een strikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
  • Gebruiker-ID’s en toegangsrechten worden bijgehouden in een centrale opslag.
  • Ongepaste of inactieve gebruikersrechten worden tijdig uitgeschakeld.
  • Het gebruik van tweefactorauthenticatie wordt afgedwongen voor toegang vanaf niet-vertrouwde omgevingen en kritieke systemen. Een bedrijfskritische applicatie waar (jonge) leerlingen op inloggen kan hierop een uitzondering zijn, omdat dit simpelweg te veel vraagt van de gebruiker. Voer in dat geval een risicoanalyse uit voor benodigde mitigerende maatregelen.
4 Beheerst

Aanvullend op niveau 3:

  • De implementatie en uitvoering van relevante procedures worden periodiek geëvalueerd en vastgelegd. Op basis van deze evaluaties worden verbeteringen doorgevoerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De performance en verbetering van identity- en accessmanagement, authenticatietechnieken en -controls worden voortdurend gemonitord.

Voorbeelddocumenten

Gerelateerde wetten en normen

Norm SM.02 Authenticatiemechanismes is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022
  • A5.3
  • A5.8
  • A5.15
  • A5.16
  • A5.17
  • A5.18
  • A8.3

Certificeringsschema IBP ROSA
  • Vertrouwelijkheid/Logische toegang

Alle normen van dit domein

Afdrukken

Op deze pagina