Risico

Indien het IDU-proces niet beheerst is, bestaat het risico dat onbevoegde toegang tot de omgeving van het algoritme kan worden verkregen of behouden.

Onderzoeksvraag

Worden accounts en autorisaties beheerst aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding?

Beheersmaatregelen

  • Een formele gebruikerstoegangsverleningsprocedure is geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
  • Gebruikersaccounts en toegangsrechten worden uitgegeven door bevoegde functionarissen.
  • Er wordt functiescheiding toegepast tussen aanvragen, autoriseren en verwerken van wijzigingen in gebruikersaccounts en toegangsrechten.
  • De gebruikersaccounts en toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten worden bij beëindiging van hun contract of overeenkomst verwijderd, en bij wijzigingen aangepast.

Inspectiestappen

Algemeen

  1. Stel vast welke functionarissen toegang hebben tot het systeem/database/software in scope (bijv. via een volledige screenprint die dit aantoont, en een uitdraai van dezelfde lijst).
  2. Stel vast dat de lijst en uitdraai daadwerkelijk het systeem/database/software betreft vanwaar uit aanpassingen in het algoritme kunnen worden gemaakt.
  3. Stel vast dat de functionarissen met toegang in de toetsperiode in dienst zijn adhv een lijst met medewerkers van bijvoorbeeld HR systeem.

Opzet

  1. Stel vast dat in een autorisatieproces is vastgelegd op welke wijze toegangsrechten worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken. 
  2. Stel vast dat dit autorisatieproces van toepassing is voor de toegang op de componenten in scope.
  3. Stel vast dat beschreven is op welke wijze functiescheiding wordt toegepast binnen het autorisatieproces, met minimaal een functiescheiding tussen aanvragen, autoriseren en verwerken van wijzigingen in gebruikersaccounts en toegangsrechten.
  4. Stel vast dat is vastgelegd, bijvoorbeeld in een mandaatregister, welke functionarissen welke bevoegdheden hebben in het autorisatieproces. 
  5. Stel vast dat beschreven is op welke wijze een autorisatiematrix opgesteld dient te worden waarin de toegangsrechten per profiel / medewerker en per systeem worden weergegeven en door welke functionaris deze vastgesteld dient te worden.

Mogelijke bronnen: securitybeleid, logisch toegangsbeleid, autorisatieproces of -procedure, mandaatregister.

Bestaan

  1. Stel vast dat toegangsrechten zijn aangevraagd, geautoriseerd, gewijzigd en ingetrokken in overeenstemming met het vastgestelde autorisatieproces. (bv via mails, screenshots etc).
  2. Stel vast dat functiescheiding is toegepast tussen het aanvragen, autoriseren en verwerken van wijzigingen in gebruikersaccounts en toegangsrechten.
  3. Stel vast dat de gebruikersaccounts en toegangsrechten zijn uitgegeven door bevoegde functionarissen.
  4. Stel vast dat een formeel vastgestelde autorisatiematrix aanwezig is, waarin de toegangsrechten per profiel / medewerker en per systeem zijn weergegeven.  
  5. Stel vast dat deze matrix van toepassing is op gebruikers (i.e., )beheerders die gebruik maken van de componenten in scope. 

Mogelijke bronnen: autorisatieaanvragen, autorisatiematrices, loggings, controlerapportages.

Ethische principes

Privacy en data-bescherming