Een op IT beveiliging gerichte risicoanalyse resulteert in een verzameling van beveiligingsmaatregelen die passen bij het risicoprofiel van een organisatie. Technische maatregelen in geautomatiseerde omgevingen worden ook wel IT beveiliging genoemd. Deze technische maatregelen worden toegepast binnen de IT infrastructuur. Bij IT beveiliging staat een ding centraal: het beschermen van de IT infrastructuur tegen ongewenste toegang.
Hoewel informatiesystemen niet noodzakelijk geautomatiseerd hoeven te zijn, spelen tegenwoordig geautomatiseerde systemen in toenemende mate een belangrijke rol in de informatieverwerking. Het resultaat hiervan is dat beveiliging van geautomatiseerde systemen en IT infrastructuur steeds belangrijker wordt. IT beveiliging is een discipline die zich primair richt op de beveiliging van de IT infrastructuur.
Volgens de ISO definitie behelst logische toegangscontrole:
“Logische toegangscontrole waarborgt dat toegang tot middelen is beperkt en geautoriseerd op basis van bedrijfsmatige en beveiligingseisen.”
Dit betekent dat logische toegangscontrole ook gericht is op het voorkomen dat ongeautoriseerde personen op welke wijze dan ook logische toegang krijgen tot de belangrijke bedrijfsmiddelen van een organisatie. Autorisatie bestaat daarbij uit een set van permissies. Zo’n permissie kan zeer simpel zijn, zoals het recht een bepaald record of bestand te zien. Permissies kunnen echter ook zeer complex zijn, zoals permissies die nodig zijn om facturen van leveranciers te betalen.
Er zijn verschillende concepten om logische toegangscontrole te implementeren in geautoriseerde systemen. Het type toegangscontrole dat toegepast moet worden op een bedrijfsmiddel wordt vastgesteld door de eigenaar van het bedrijfsmiddel. Als dit gebeurd is, moet de toegangscontrole worden geïmplementeerd in een geautomatiseerd systeem. Er zijn vier verschillende concepten hiervoor:
Met Discretionary Access Control (DAC) zijn individuele gebruikers in staat om te bepalen welke personen toegang mogen hebben tot hun gegevens, onafhankelijk van beleidsregels en op basis van hun eigen discretie. Een voorbeeld hiervan is het het geven van toegang aan anderen op de eigen “Mijn Documenten” folder. Het grote voordeel van DAC is dat het vanuit het perspectief van de gebruiker zeer flexibel is. Het nadeel is dat deze vorm van toegangscontrole niet bruikbaar is in een omgeving waar compliance eisen zeer strikt zijn.
Met Mandatory Access Control worden permissies afgeleid van een vastgesteld beleid. Eigenaren en gebruikers kunnen alleen toegang toestaan aan anderen binnen de grenzen van de hierin vastgelegde beleidsuitgangspunten. Gewoonlijk wordt zo’n informatiebeveiligingsbeleid centraal beheerd. Een MAC gebaseerd beleid bevat omschrijvingen van subjecten en objecten. Voorbeelden van subjecten zijn personen, systemen en toepassingen. Voorbeelden van objecten zijn informatie en systemen. In een MAC gebaseerd systeem wordt toegang verleend (of geweigerd) door het evalueren of de attributen van een subject dat toegang wil hebben overeenkomt met de eisen die hieraan gesteld worden door een object.
Role Based Acces Control (RBAC) heeft enkele overeenkomsten met MAC. Het grote verschil is echter dat permissies niet gebaseerd zijn op het evalueren van attributen. In RBAC worden toegangsbesluiten gebaseerd op de rol dat een subject, gewoonlijk een persoon, heeft. Een van de belangrijkste redenen om RBAC te introduceren is dat er binnen organisaties over het algemeen meer personen dan rollen zijn. Doordat er minder rollen zijn dan gebruikers is de beheerinspanning die nodig is voor het beheren van permissies op basis van rollen in principe lager, waardoor er ook weer kosten bespaard kunnen worden.
Claim Based Access Control (CBAC) is een relatief nieuwe en meer flexibele vorm van toegangscontrole. Met CBAC kan de eigenaar van de informatie of het systeem een set van claims definiëren waaraan voldaan moet worden voordat toegang verleend wordt. Een voorbeeld van zo’n claim is: ‘de gebruiker zit in functiegroep projectleiders’ of ‘de gebruiker heeft een bekend IP adres.’ Er zijn dus veel overeenkomsten tussen RBAC en CBAC. Het grote voordeel van CBAC is dat het veel flexibiliteit met zich mee brengt omdat het niet gelimiteerd is tot claims die bij een bepaalde rol horen.
"*" geeft vereiste velden aan
