Ga direct naar inhoud

Autorisatieprofielen

Risico

Indien functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat ongeautoriseerde wijzigingen worden doorgevoerd.
Indien gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke.

Onderzoeksvraag

Wordt functievermenging voorkomen bij toegang en gebruik van het algoritme?

Beheersmaatregelen

  • Een autorisatieprofiel bevat geen ongewenste functievermenging.
  • Een functionaris heeft geen beschikking over meerdere autorisatieprofielen die kunnen leiden tot functievermenging.
  • Er wordt geen gebruik gemaakt van generieke beheeraccounts of groepsaccounts.
  • Gebruikersaccounts en beheeraccounts dienen altijd persoonsgebonden en verklaard te zijn, zodat handelingen altijd te herleiden zijn naar één verantwoordelijke.
  • Het aantal beheeraccounts is beperkt / staat in logische verhouding tot het aantal beheerders.
  • Beheeraccounts worden alleen gebruikt voor beheerwerkzaamheden.

Inspectiestappen

Opzet

  1. Stel vast dat beschreven is op welke wijze functievermenging wordt voorkomen bij het samenstellen van autorisatieprofielen.
  2. Stel vast dat beschreven is welke combinatie van autorisatieprofielen zijn toegestaan.
  3. Stel vast dat de generieke beheeraccount(s) en groepsaccounts zijn beschreven en verklaard.
  4. Stel vast dat beschreven is dat onpersoonlijke gebruikersaccounts niet zijn toegestaan.
    Mogelijke bronnen: security-beleid, logisch toegangsbeleid, technische inrichtingsdocumentatie.

Bestaan

  1. Stel vast dat bij het samenstellen of wijzigen van autorisatieprofielen getoetst is op ongewenste functievermening.
  2. Stel vast dat de autorisatieprofielen geen ongewenste functievermenging bevatten.
  3. Stel vast welke generieke beheeraccounts en groepsaccounts toegang hebben tot de omgeving van het algoritme.
  4. Stel vast dat het aantal beheeraccounts in verhouding staat tot het aantal beheerders.
    Mogelijke bronnen: observatie / uitvraag van aanwezige (beheer) accounts in het betreffende systeem, correspondentie, controlerapportages. interviews met beheerders, loggings.

Ethische principes

Privacy en data-bescherming