9. Toegangsbeveiliging

9.1 Bedrijfseisen voor toegangsbeveiliging

Doelstelling:
9.1.1
bbn: 1
Beleid voor toegangsbeveiliging
Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.
logischetoegangbeveiligingsbeleid
9.1.2
bbn: 1
Toegang tot netwerken en netwerkdiensten
Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.
802.1xzoneringlogischetoegangbeveiligingsbeleid
9.1.2.1
bbn: 1

Alleen geauthenticeerde apparatuur kan toegang krijgen tot een vertrouwde zone.

9.1.2.2
bbn: 1

Gebruikers met eigen of ongeauthenticeerde apparatuur (Bring Your Own Device) krijgen alleen toegang tot een onvertrouwde zone.

9.2 Beheer van toegangsrechten van gebruikers

Doelstelling:
9.2.1
bbn: 1
Registratie en afmelden van gebruikers
Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
toegangsbeleidlogischetoegangbeveiligingsbeleid
9.2.1.1
bbn: 1

Er is een sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties.

9.2.1.2
bbn: 1

Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.

9.2.2
bbn: 1
Gebruikers toegang verlenen
Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
toegangsbeleidlogischetoegangbeveiligingsbeleid
9.2.2.1
bbn: 1

Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris.

9.2.2.2
bbn: 1

Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.

9.2.2.3
bbn: 2

Er is een actueel mandaatregister waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen.

9.2.3
bbn: 1
Beheren van speciale toegangsrechten
Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.
toegangsbeleidlogischetoegangbeveiligingsbeleid
9.2.3.1
bbn: 2

De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.

9.2.4
bbn: 1
Beheer van geheime authenticatie-informatie van gebruikers
Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.
wachtwoordbeleidlogischetoegangbeveiligingsbeleid
9.2.5
bbn: 1
Beoordeling van toegangsrechten van gebruikers
Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.
toegangsbeleidlogischetoegangbeveiligingsbeleid
9.2.5.1
bbn: 1

Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.

9.2.5.2
bbn: 1

De opvolging van bevindingen is gedocumenteerd en wordt behandeld als beveiligingsincident.

9.2.5.3
bbn: 2

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.

9.2.6
bbn: 1
Toegangsrechten intrekken of aanpassen
De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.
logischetoegangbeveiligingsbeleid

9.3 Verantwoordelijkheden van gebruikers

Doelstelling:
9.3.1
bbn: 1
Geheime authenticatie-informatie gebruiken
Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.
wachtwoordbeleidlogischetoegangbeveiligingsbeleid
9.3.1.1
bbn: 2

Medewerkers worden ondersteund in het beheren van hun wachtwoorden door het beschikbaar stellen van een wachtwoordenkluis.

9.4 Toegangsbeveiliging van systeem en toepassing

Doelstelling:
9.4.1
bbn: 1
Beperking toegang tot informatie
Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.
LTBzoneringwachtwoordbeleidlogischetoegangbeveiligingsbeleid
9.4.1.1
bbn: 2

Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen.

9.4.1.2
bbn: 2

Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.

9.4.2
bbn: 1
Beveiligde inlogprocedures
Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.
802.1xzoneringwachtwoordbeleidlogischetoegangbeveiligingsbeleid
9.4.2.1
bbn: 1

Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie.

9.4.2.2
bbn: 2

Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.

9.4.3
bbn: 1
Systeem voor wachtwoordbeheer
Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.
wachtwoordbeleidlogischetoegangbeveiligingsbeleid
9.4.3.1
bbn: 1

Als er geen gebruik wordt gemaakt van two-factor authenticatie is de wachtwoordlengte minimaal 8 posities en complex van samenstelling. Vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis. Het aantal inlogpogingen is maximaal 10. De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.

9.4.3.2
bbn: 2

In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd (zie ook 9.4.2.1.).

9.4.3.3
bbn: 2

Het wachtwoordbeleid wordt geautomatiseerd afgedwongen.

9.4.3.4
bbn: 2

Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd.

9.4.3.5
bbn: 2

Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden.

9.4.4
bbn: 1
Speciale systeemhulpmiddelen gebruiken
Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd.
Loggingsteppingstonewachtwoordbeleidantimalwarebeleidlogischetoegangbeveiligingsbeleid
9.4.4.1
bbn: 1

Alleen bevoegd personeel heeft toegang tot systeemhulpmiddelen.

9.4.4.2
bbn: 2

Het gebruik van systeemhulpmiddelen wordt gelogd. De logging is een halfjaar beschikbaar voor onderzoek

9.4.5
bbn: 1
Toegangsbeveiliging op programmabroncode
Toegang tot de programmabroncode behoort te worden beperkt.