2.2 Maatregelen logische toegang
- Mens
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| LM11 | Voor bewustwording, gedragsregels en training van bedienaars, beheerders en overig ondersteunend personeel wordt verwezen naar paragraaf 2.7 de maatregelen-set “bewustwording en training” van de Cybersecurity Implementatierichtlijn Objecten | X | X | X | X |
- Procedures en Organisatie
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| LP1 | Er kunnen controles worden uitgevoerd op de naleving van het logische toegangsproces | X | X | X | X | |||
| LP2 | Er dient door het management erop toe te worden gezien dat: a. de toegang voor de bedienaars en beheerders tot ICS/SCADA en overige ondersteunende ICT-systemen uitsluitend plaatsvindt, rol gebaseerd en op basis van het ‘need to have’ en 'segregation of duties' principe; b. de toewijzing en het gebruik van privileges van administrators en systeembeheerders beperkt dienen te blijven tot het strikt noodzakelijke; c. fysieke toegang tot objecten en ruimten waar zich informatie, software en andere bedrijfsmiddelen (o.a. apparatuur) bevinden, alsmede de logische toegang tot systemen, uitsluitend wordt toegestaan voor personen die hiertoe geautoriseerd zijn; d. disciplinaire maatregelen worden genomen bij misbruik van accounts en autorisaties | X | X | X | X | |||
| LP3 | Er dient door het management erop toe te worden gezien dat: a. de toewijzing en het gebruik van privileges van software en apparatuur beperkt dienen te blijven tot het noodzakelijke, zodat alleen geauthentiseerde apparatuur toegang kan krijgen tot een vertrouwde zone; b. het voor een daartoe geautoriseerde gebruiker mogelijk is om privileges te koppelen aan rollen voor alle menselijke gebruikers; c. gebruikersaccounts door een procuratiehouder tijdelijk kunnen worden opgeschort | X | X | X | X | |||
| LP4 | De toegangsrechten van alle gebruikers dienen minimaal eenmaal per halfjaar te worden beoordeeld en geactualiseerd in een formeel proces. Opvolging van de bevindingen is gedocumenteerd en wordt behandeld als een beveiligingsincident | X | X | X | X | |||
| LP5 | De lokale logische toegang voor medewerkers (op basis van functieprofiel) tot de infrastructuur, ICT, ICS/SCADA systemen en de centrale en lokale objectnetwerken dient bij de hiertoe verantwoordelijk gestelde en gemandateerde lijnmanager te worden aangevraagd en goedgekeurd. Hierbij dient ten minste het volgende te worden gedocumenteerd: details van de accounthouder, autoriserend manager, permissies behorende bij het account, geautoriseerde apparatuur | X | X | X | X | |||
| LP6 | Bij remote toegang om beheeractiviteiten uit te voeren dient gebruik te worden gemaakt van de door de objecteigenaar beschikbaar gestelde diensten die speciaal hiervoor zijn ingericht | X | X | X | X | |||
| LP7 | Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd | X | X | X | X | |||
| LP8 | Beheerders, bedienaars en overig ondersteunend personeel wordt ondersteund in het beheren van hun wachtwoorden en krijgen hiertoe de beschikking over een wachtwoordkluis | X | X | X | X | |||
| LP9 | Toepassingen, functionaliteit of apparatuur om de toegangseisen te passeren mogen niet worden gebruikt | X | X | X | X | |||
| LP10 | Er dient een geborgde procedure te bestaan die de toewijzing en verspreiding van authenticatiemiddelen aan bedienaars, beheerders en overig ondersteunend personeel regelt alsmede het innemen daarvan bij functiewisseling of vertrek (in-, door- en uitstroming). In deze procedure dienen ook de voorgeschreven handelingen bij verlies, diefstal dan wel beschadiging te worden opgenomen | X | X | X | X | |||
| LP11 | Accounts dienen op uniforme wijze te worden beheerd | X | X | X | X | |||
| LP12 | De toegang voor beheer en onderhoud op afstand door een leverancier wordt alleen voor de geschatte duur van het beheer en onderhoud opengesteld op basis van een wijzigingsverzoek of storingsmelding. De toegang wordt bewaakt en afgesloten bij afmelding van het onderhoud, dan wel automatisch beëindigd na de vooraf ingestelde periode van openstelling | X | X | X | X | |||
| LP13 | Systeemhulpmiddelen waarmee beheersmaatregelen kunnen worden omzeild dienen nauwkeurig te worden gecontroleerd en geminimaliseerd, waarbij uitsluitend bevoegd personeel toegang heeft tot deze hulpmiddelen en gebruik wordt gelogd en bewaard voor tenminste 6 maanden | X | X | X | X | |||
| LP14 | Het overnemen van sessies op remote werkplekken vanuit een andere werkplek is alleen mogelijk via dezelfde beveiligde loginprocedure als waarmee de sessie is gecreëerd. Uitsluitend mag hiervan worden afgeweken na een expliciete risicoafweging op dit punt | X | X | X | X |
- Techniek
| Techniek | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| LT1 | De logische toegang tot informatiesystemen en netwerk dient plaats te vinden na het succesvol doorlopen van het identificatie, authenticatie en autorisatieproces (IAA), waarbij de IAA-gegevens in principe in versleutelde vorm worden uitgewisseld en opgeslagen | X | X | X | X | |||
| LT2 | De toegang tot ICS/SCADA en overige ondersteunende ICT-systemen is geblokkeerd, tenzij het expliciet is toegestaan | X | X | X | X | |||
| LT3 | Voor bedienaars, beheerders en systemen worden unieke ID’s gehanteerd zodat uitgevoerde handelingen terug te leiden zijn tot een persoon of systeem | X | X | X | X | |||
| LT4 | Voor bedienaars, beheerders, software processen en systemen worden unieke ID’s gehanteerd zodat uitgevoerde handelingen terug te leiden zijn tot een persoon, software proces of systeem | X | X | |||||
| LT5 | Het aantal gelijktijdige sessies dat kan worden opgezet door enige gebruiker (mens, software-proces of apparaat) dient te worden beperkt en instelbaar te zijn | X | X | X | X | |||
| LT6 | Toegang tot de programmabroncode behoort te worden beperkt | X | X | X | X | |||
| LT7 | (Standaard) wachtwoorden moeten door gebruikers bij het in gebruik nemen van de systemen gewijzigd kunnen worden | X | X | X | X | |||
| LT8 | Wanneer systemen alleen met generieke accounts kunnen werken, moet dit worden gemotiveerd, vastgelegd en de risico’s in beeld gebracht en voorgelegd worden aan Opdrachtgever voor acceptatie van de afwijking om met generieke accounts te mogen werken | X | X | X | X | |||
| LT9 | Gedurende het gehele authenticatieproces dient er geen feedback te worden geven over de authenticatie-informatie | X | X | X | X | |||
| LT10 | Alvorens aan te melden dient een systeemnotificatie op het scherm te worden weergegeven. Hierin worden restricties omtrent (on)geautoriseerd systeemgebruik aangegeven, evenals logging en monitoring van het systeemgebruik | X | X | X | X | |||
| LT11 | Broncode van ontwikkelde programma’s dient te worden beschermd en toegang tot de code beperkt | X | X | X | X | |||
| LT12 | De logische toegang dient als volgt te worden ingevuld: a. Lokaal bediening – minimaal een user-ID en wachtwoord combinatie; b. Lokaal beheer en administrator accounts – ‘two-factor’ authenticatie (‘bezit’ plus ‘kennis’); c. Remote toegang voor beheer en onderhoud - ‘two-factor’ authenticatie en uitsluitend via de centrale beveiligde voorzieningen | X | X | |||||
| LT13 | De logische toegang dient als volgt te worden ingevuld: a. Lokaal bediening, beheer en administrator accounts – elektronisch toegangsbeheersysteem (‘bezit’ plus ‘kennis’), bijvoorbeeld Rijkspas; b. Remote toegang voor beheer en onderhoud - ‘two-factor’ authenticatie en uitsluitend via de centrale beveiligde voorzieningen; c. Apparatuur en applicaties dienen bij onderlinge task-to-task communicatie uniek geauthentiseerd te worden middels Mac-adres, en/of IP-adres, device naam, elektronische sleutel, etc | X | X | |||||
| LT14 | Het gebruik van sterke wachtwoorden en vervangingsfrequentie dient instelbaar te zijn en te worden afgedwongen | X | X | X | X | |||
| LT15 | Indien 10 keer achter elkaar een foutieve inlogpoging plaatsvindt, dient het account voor een minimale periode van 24 uur te worden geblokkeerd | X | X | X | X | |||
| LT16 | Bij het gebruik van een chipcardtoken of NFC-tokens voor toegang tot systemen wordt bij het verwijderen van het token de toegangsbeveiligingslock automatisch geactiveerd. | X | X | X | X |