AP17. De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.

ArchiMate-modellen > WILMA > Principles > AP17. De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.
ArchiMate-element AP17. De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.
ArchiMate_Principle.png
Elementtype  : Principle
Element-id  : WILMAWaterschaps Informatie en Logische Model Architectuur (WILMA). De waterschappen willen beter en efficiënter samenwerken met elkaar en in de keten. Concrete kaders helpen bij het sturen van gemeenschappelijke ontwikkelingen zoals bijvoorbeeld de Omgevingswet. Architectuur is een strategisch hulpmiddel bij het opzetten en (continu) doorontwikkelen van de informatiehuishouding van een organisatie./id-63fc8dc3-0f9d-4226-b075-28050f93e692
ArchiMate-model  : WILMA
Label  : AP17. De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.
Documentatie  : Stelling:

De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.

Rationale: De gebruiker moet erop kunnen vertrouwen dat gegevens niet worden misbruikt.

Implicaties: De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. Fysieke en logische toegang:

  • Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld
  • Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening.
  • Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af.
  • De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit.
  • Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen.
  • Verleende toegangsrechten zijn inzichtelijk en beheersbaar.
  • De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis.

Zonering en Filtering:

  • De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld.
  • De fysieke en technische infrastructuur is opgedeeld in zones.
  • Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters').
  • Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd
Bron  : https://www.noraonline.nl/wiki/Vertrouwelijkheid_(principe)
SWC status  : In gebruik
SWC type  : Principe
Object ID  : 63fc8dc3-0f9d-4226-b075-28050f93e692
Object ID_nl  : 63fc8dc3-0f9d-4226-b075-28050f93e692
Original ID  : id-63fc8dc3-0f9d-4226-b075-28050f93e692
Semanticsearch  : ap17. de dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.
ArchiMate-views  : 
Relaties  : 
Contextdiagram
Stelling: De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. Rationale: De gebruiker moet erop kunnen vertrouwen dat gegevens niet worden misbruikt. Implicaties: De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. Fysieke en logische toegang: *Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld *Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening. *Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af. *De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit. *Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen. *Verleende toegangsrechten zijn inzichtelijk en beheersbaar. *De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis. Zonering en Filtering: *De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld. *De fysieke en technische infrastructuur is opgedeeld in zones. *Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters'). *Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd (Principle) AP17. De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. Grouping Afgeleide principes Stelling: Ons waterschap gaat op een vertrouwelijke manier met gegevens om Rationale: Klanten verwachten dat het waterschap op een zorgvuldige manier met hun gegevens om gaat en dat deze niet in handen komen van onbevoegden. De visiebrief digitale overheid besteedt daarom specifiek aandacht aan informatieveiligheid. Ontwikkelingen als consumerization en tijd- en plaatsonafhankelijk werken vragen ook om extra aandacht voor de beveiliging van informatie. Grenzen van organisaties vervagen en traditionele beveiligingsmaatregelen passen niet meer. Cybercriminaliteit kan zorgen voor ernstige ontregeling van organisaties. Het is daarom belangrijk de risico’s expliciet te maken. Hierdoor kunnen de meest passende maatregelen worden genomen en worden overmatige maatregelen vermeden. Implicaties: * Ons waterschap is aangesloten bij de Informatiebeveiligingsdienst voor waterschappen (IBD). * Ons waterschap heeft een informatiebeveiligingsbeleid, gebaseerd op de strategische en tactische Baseline Informatiebeveiliging Nederlandse Waterschappen (BIG). * Voor alle gegevens en applicatiefuncties (autorisatie-objecten) zijn verantwoordelijken aangewezen. * Voor alle autorisatie-objecten is aangegeven welke rollen of gebruikers geautoriseerd toegang kunnen krijgen. * Alle toegang tot autorisatie-objecten wordt expliciet geauthentiseerd en geautoriseerd, tenzij deze openbaar toegankelijk zijn. * Gegevens zijn voorzien van een BIV classificatie die aangeeft wat het gewenste niveau van Beschikbaarheid, Integriteit en Vertrouwelijkheid is. * Informatiebeveiligingsmaatregelen zijn gebaseerd op het informatiebeveiligingsbeleid, de BIV classificatie van de betrokken gegevens en een risicoanalyse vanuit procesperspectief. * Alle toegang tot gevoelige gegevens wordt gelogd en regelmatig beoordeeld. * Uitwisseling van gevoelige gegevens vindt niet in bulk plaats, maar is toegespitst op de vraag zodat het beperkt is tot wat noodzakelijk is. * Informatiebeveiliging wordt integraal meegenomen bij het ontwerp en de inrichting van applicaties en infrastructuur. * Informatiebeveiliging wordt ook geborgd in afspraken (en controle op naleving ervan) met samenwerkingspartners en leveranciers van diensten of IT-systemen. * Alle betrokkenen zijn zich bewust van informatiebeveiligingsmaatregelen en deze worden onder meer geborgd door periodieke interne en externe audits. (Principle) BP04: Ons waterschap gaat op een vertrouwelijke manier met gegevens om CompositionRelationship SpecializationRelationship geeft concrete invulling aan Deze svg is op 14-06-2021 16:04:29 CEST gegenereerd door ArchiMedes™ © 2016-2021 ArchiXL. ArchiMedes 14-06-2021 16:04:29 CEST