11.2 Beheer van toegangsrechten van gebruikers
Dit is een Doelstelling (ID: 11.02) binnen het thema 11 Toegangsbeveiliging.
De tekst van deze doelsteling is: '
Beheersmaatregelen en voorbeelden[bewerken]
- 11.2.1 Registratie van gebruikers
- 11.2.1.1 Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
- 11.2.1.2 (A) Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.
- 11.2.1.3 (A) Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.
- 11.2.2 Beheer van (speciale) bevoegdheden
- 11.2.2.1 Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).
- 11.2.2.2 Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.
- 11.2.2.3 Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando’s.
- 11.2.2.4 Er is aandacht voor het wijzigen van bevoegdheden bij verandering van functie / afdeling.
- 11.2.3 Beheer van gebruikerswachtwoorden
- Wachtwoorden worden op een veilige manier uitgegeven (controle identiteit van de gebruiker).
- Tijdelijke wachtwoorden of wachtwoorden die standaard in software of hardware worden meegegeven worden bij eerste gebruik vervangen door een persoonlijk wachtwoord.
- Gebruikers bevestigen de ontvangst van een wachtwoord.
- Wachtwoorden zijn alleen bij de gebruiker bekend.
- Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 hoofdletter, 1 cijfer en 1 vreemd teken.
- Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden.
- 11.2.4 Beoordeling van toegangsrechten van gebruikers
- 11.2.4.1 Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.