Logo Optimus Def

voor elkaar!

home
p
Informatie beveiliging
E
Startpagina
E
Optimus Onderwijs & Informatie beveiliging
E
Optimus onderwijs & Privacy (AVG)

Datalek..?

Ook bij twijfel, gewoon even melden.

Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.

 

Datalek melden
thema kalender
actueel
avg nieuwsbrief
avg team

Uitzonderingen en noodprocedures

Dit onderwerp valt onder het IBP domein 10: Identity- en access en geeft invulling aan deze IBP- normen.

Waar gaat dit over? (Scope)

Dit onderwerp beschrijft de afhandeling van autorisatie-uitzonderingen en noodtoegang (‘breaking glass’) wanneer in hoogrisico-applicaties snel tijdelijke toegang moet worden verleend of toegang direct moet worden ingetrokken.

Uitzonderingen worden expliciet goedgekeurd, vastgelegd en achteraf beoordeeld; breaking glass vereist CvB-toestemming.  

Wat valt binnen de Scope:

  • Uitzonderingsaanvragen op autorisaties van kernapplicatie (afwijkend van rol/proces/applicatie of autorisatiematrix): proceseigenaar keurt goed, PSO vooraf geïnformeerd, vastleggen in dossier.

  • Breaking-glass/noodtoegang tot (super)user/admin-rechten: procedure, opslag sleutels, gebruik alleen bij nood en met CvB-toestemming, registratie en review verplicht.

  • Noodmaatregelen bij incidenten: direct intrekken/blokkeren van accounts/rechten en controle op misbruik; documenteren en terugkoppelen.

  • Herziening/terugdraaien van toegang die buiten proces is verleend.
Wat valt buiten de Scope:

  • Reguliere uitgifte/wijziging/intrekking van rechten (on-/offboarding, periodieke herziening) → standaard IAM-proces.

  • Wijzigingen aan systemen/infrastructuurChangemanagement

  • Leveranciers/SLA’sLeveranciersmanagement.
  • Fysieke toegang (gebouwen/sleutels) → fysiek beveiligingsbeleid
🐴 Ezelsbruggetje

Afwijking van de autorisatiematrix of (tijdelijke) hoog-privilege toegang door nood/incident → Uitzonderingen & noodprocedures.

Gewone uitgifte of structurele wijziging? → IAM-standaardproces of Change. .

ProcesScope (aanpak)

  • Wanneer? Alleen bij acute nood: continuïteit/veiligheid in gevaar of direct herstel/onderzoek nodig.

  • Melden & registreren: ticket aanmaken met wie/wat/waarom/welke applicatie; PSO informeren.

  • Besluit & toestemming: vier-ogencontrole; minimale set rechten; einddatum instellen; extra inlogstap verplicht. CvB geeft vooraf toestemming of bekrachtigt direct erna.

  • Activeren: tijdelijke (beheer)toegang aanzetten; logging en monitoring inschakelen.

  • Beperken & controleren: betrokken systemen controleren op misbruik/afwijkingen; waar nodig accounts blokkeren/resetten; bewijs (logs) veiligstellen.

  • Afronden: toegang automatisch/handmatig op eindtijd intrekken; wachtwoorden zo nodig resetten; fysieke middelen innemen.

  • Evalueren (ex-post review): vastleggen wat/waarom/hoelang/resultaat; verbeterpunten bepalen.

  • Terugkoppelen & borgen: rapporteren aan leidinggevende en PSO; CvB bekrachtigt en besluit over eventuele vervolgacties.

I&T onderdelen

Identiteits- en toegangsbeheer bevat verschillende onderdelen. Klik op het onderdeel om de onderdeel te bezoeken.

Speerpunten

  • Uitzonderingen die afwijken van de autorisatiematrix worden vooraf beoordeeld door de domein of procesbeheerder.
  • Breaking glass-procedure: In noodsituaties kunnen autorisaties tijdelijk worden aangepast, maar dit moet achteraf worden gerapporteerd en beoordeeld.

  • Noodsleutels: veilig opgeslagen (kluis/envelop of gesplitste USB + wachtwoord via PSO)

  • CvB-toestemming (vooraf of direct erna) bij noodtoegang, twee-persoonscontrole, tijdslot/einddatum, extra inlogstap, logging en review achteraf.
  • Incidentmanagement: Bij beveiligingsincidenten worden accounts zo nodig direct ingetrokken en systemen gecontroleerd.

Rollen, taken en verantwoordelijkheden

Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.

Alle medewerkers

Verantwoordelijkheden

  • Vraagt alleen aan bij aantoonbare noodzaak; gebruikt toegang uitsluitend voor het doel.

  • Houdt zich aan minimaal & tijdelijk en deelt géén accounts/gegevens.

Taken

  • Dien uitzonderingsaanvraag of noodmelding in (met onderbouwing/ticketnummer).

  • Werkzaamheden uitvoeren, afronden en terugmelden; onregelmatigheden direct melden.

Domein/procesbeheerder

Verantwoordelijkheden

  • Beoordeelt noodzaak t.o.v. autorisatiematrix; adviseert minimale set.

  • Ziet toe op 4-ogen en functiescheiding (keurt eigen toegang niet zelf goed).

Taken

  • Impact bepalen; voorwaarden formuleren (MFA, logging, einddatum, scope).

  • Toegang tijdgebonden toekennen of laten toekennen; na afloop intrekken en log laten bewaren.

  • Registreren uitzonderingen (wat, waarom, hoelang, resultaat).

ICT- dienstverlener

Verantwoordelijkheden:

  • Alleen bij nood: tijdelijke extra rechten uitsluitend inzetten als het echt niet anders kan.

  • Minimaal en tijdelijk: zo weinig mogelijk rechten, zo kort mogelijk, met dubbele controle.

  • Direct registreren & melden: wie/wat/wanneer/waarom vastleggen en direct rapporteren.

  • Schade beperken: bij incidenten meteen accounts blokkeren/intrekken en misbruik voorkomen.

  • Onderzoek & bewijs: controles uitvoeren, logbestanden en ander bewijsmateriaal bewaren.

  • Achteraf beoordelen: altijd ex-post review/goedkeuring en verbeterpunten vastleggen.

  • Terugkoppelen: resultaten delen met leidinggevende en Security Officer (PSO).

Taken:

  • Melden & registreren van de nood/het incident aan Privacy- Security Officer, korte omschrijving, betrokkenen).

  • Beperk schade: trek/blokkeer direct betrokken accounts of rechten in.

  • Bepaal noodtoegang: echt nodig voor herstel/onderzoek? Verleen tijdelijke extra rechten
    – met extra inlogstap, eindtijd, en twee-persoonscontrole.

  • Loggen & monitoren: zet bewaking aan en leg alle handelingen vast.

  • Controleer systemen op misbruik of afwijkingen; voer herstelmaatregelen uit.

  • Rond af: trek tijdelijke rechten in, reset wachtwoorden waar nodig, neem fysieke middelen in.

  • Documenteer: acties, tijden, betrokken systemen, bevindingen en bewijs volledig vastleggen.

  • Terugkoppelen & review: rapporteer aan leidinggevende/PSO; voer een korte evaluatie uit (wat ging goed/beter) en besluit over eventuele vervolgacties.

 

Privacy- en Security Officer

Verantwoordelijkheden

  • Toets privacy/security-risico; ziet toe op proportionaliteit.

Taken

  • Meekijken bij bijzondere persoonsgegevens/hoog risico; voorwaarden aanscherpen waar nodig.

  • Vooraf informeren bij uitzonderingen; achteraf review/PIR (conclusie + verbeterpunten).

  • Rapporteren van trends/afwijkingen aan CvB.

College van Bestuur (CvB)

Verantwoordelijkheden

  • Autoriseert breaking-glass (of mandateert dit expliciet) en accepteert restrisico’s.

Taken

  • Vooraf toestemming voor noodtoegang (of directe ex-post bekrachtiging bij acute nood).

  • Beoordeelt periodieke PSO-rapportage; stelt bij (beleid, middelen, mandaten).

Documentatie

Klik op hieronder voor toegang tot het materiaal: