Registratiewijze | Identificatieproces | Uitgifte authenticatiemiddel |
---|---|---|
1 | Een gebruiker maakt zichzelf voor een bepaald domein bekend met een identificator. De identificator is uniek binnen dat domein. De regels ten aanzien van de toekenning, registratie en geldigheidsduur van een identificator zijn voor het domein vastgelegd en bekendgemaakt. De regels voor het domein kunnen toelaten of voorschrijven dat geen controle plaatsvindt van de identiteit van de gebruiker. Indien anonimiteit moet worden gewaarborgd, mag de identificator geen informatie geven over de gebruiker die deze representeert. Karakteristiek: Geen controle van gegevens, eigen opgave; pseudoniem mogelijk, fysieke aanwezigheid niet vereist. en geen toezicht op proces. |
Geen toezicht op proces, middel mogelijk in bezit van anderen. |
2 | Voordat de registrerende instantie een aanvrager registreert en een identificator toekent controleert de registrerende instantie de identiteit en eventuele kwalificaties van de aanvrager. Deze controle vindt plaats door de identificerende gegevens te vergelijken met een register dat door het domein is erkend. De controle kan direct plaatsvinden, danwel indirect, uitgevoerd door een andere, door het domein vertrouwde instantie. De feitelijk uitgevoerde controle wordt bij de registratie van de koppeling tussen entiteit en identificator gedocumenteerd. Karakteristiek: Fysieke aanwezigheid niet vereist en geen toezicht op het proces. Verificatie van gegevens die mogelijk niet uitsluitend bij hem/haar bekend zijn, herleidbaar naar een unieke identiteit. Beperkte toetsing van de opgegeven identiteit met gegevens uit erkend register. |
Indien van toepassing worden gebruikersnaam en wachtwoord afzonderlijk verstrekt, via verschillende kanalen, en moeten direct worden geactiveerd. |
3 fysiek | De identiteit van de aanvrager wordt gecontroleerd door de registrerende instantie aan de hand van fysieke verschijning en op basis van een document bedoeld als in artikel 1 van de Wet op de identificatieplicht. Eventuele kwalificaties worden daarbij gecontroleerd aan de hand van een voor het domein erkend register. Na de controle kent de registrerende instantie de aanvrager een identificator voor het desbetreffende domein toe. Karakteristiek: Directe controle (face-to-face), eenmalig. Verificatie van gegevens die mogelijk niet uitsluitend bij hem/haar bekend zijn, herleidbaar naar een unieke identiteit. Het tonen en toetsen van een document, incl. foto en handtekening, volgens Artikel 1 van de Wet op de identificatieplicht. |
Indien van toepassing worden gebruikersnaam en wachtwoord afzonderlijk verstrekt, via verschillende kanalen, en moeten direct worden geactiveerd. |
3 online | Eventuele kwalificaties worden gecontroleerd aan de hand van een voor het domein erkend register. Na de controle kent de registrerende instantie de aanvrager een identificator voor het desbetreffende domein toe. Karakteristiek: Bij online-registratie verificatie van meervoudige unieke gegevens waarvan kan worden aangenomen dat deze uitsluitend bekend zijn bij de entiteit, herleidbaar naar een unieke identiteit, en toetsbaar bij een erkend register. Eenvoudige digitale handtekening vereist. |
Wordt ter beschikking gesteld via aangetekende post naar een getoetst adres of elektronisch beschikbaar gesteld na invoer van (persoonlijk verstrekt) wachtwoord of elektronische handtekening. |
4 | De identiteit van de aanvrager wordt gecontroleerd door de registrerende instantie aan de hand van fysieke verschijning en op basis van een document bedoeld als in artikel 1 van de Wet op de identificatieplicht. Eventuele kwalificaties worden daarbij gecontroleerd aan de hand van een voor het domein erkend register. Na de controle kent de registrerende instantie de aanvrager een identificator voor het desbetreffende domein toe. Karakteristiek: Ten minste directe controle (face-to-face), eenmalig, aan de hand van een document volgens Artikel 1 van de Wet op de identificatieplicht. Strenge toetsing van een wettelijk ID, incl. foto en handtekening. Verificatie van meervoudige unieke gegevens waarvan kan worden aangenomen dat deze uitsluitend bekend zijn bij de entiteit, herleidbaar naar een unieke identiteit, en toetsbaar bij een erkend register. |
Persoonlijke verstrekking van het middel direct na strenge toetsing van identiteit. Of, na uitgebreide toetsing van de identiteit, wordt later ter beschikking gesteld (zoals onder registratiewijze 3). |
Authenticatiemiddel | Registratiewijze | Aanvullende maatregelen | Zekerheidsniveau |
---|---|---|---|
Geen | 1 | Laag | |
Geheime kennis (wachtwoord of PIN-code) | 1 | Laag | |
2 | Procedures voor veilig initialiseren en geheimhouden conform NEN-EN 12251[7] |
Midden | |
Fysiek kenmerk (biometrie) | 3 | Gebruiken in combinatie met ander authenticatiemiddel | Hoog |
3 | Midden | ||
Fysiek bezit (token) | 4 | Token conform CWA 14169; Initialiseren en uitreiken via waterdichte procedure; Gebruiken in combinatie met ander authenticatiemiddel |
Zeer Hoog |
3 | Gebruiken in combinatie met ander authenticatiemiddel | Hoog | |
2 | Midden | ||
1 | Laag | ||
Toetsbare verklaring (digitaal certificaat) | 4 | Uitgifte volgens ETSI-norm; Privésleutel alleen met PIN-code of biometrie te gebruiken en niet te kopiëren |
Zeer Hoog |
3 | Privésleutel alleen te gebruiken in combinatie met ander authenticatiemiddel | Hoog | |
2 | Privésleutel wel te kopiëren, maar alleen met PIN-code of biometrie te gebruiken | Midden | |
1 | Privésleutel te kopiëren | Laag |
OPMERKING 'Verwerken' is hier bedoeld zoals gedefinieerd in de Wet bescherming persoonsgegevens, Artikel 1.b: “Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.
Beheersmaatregelen NEN 7512 | Kwaliteitsaspect | Zekerheidsniveau | NEN 7510 | |||
---|---|---|---|---|---|---|
BIV | L | M | H | ZH | ||
6.2 Beheersmaatregelen omtrent de te maken afspraken | ||||||
6.2.1 Beleid en procedures voor gegevensuitwisseling | BIV | x | x | x | x | 10.8.1 |
6.2.2 Uitwisselingsovereenkomsten | BIV | x | x | x | x | 10.8.2 |
6.2.3 Beheer van de dienstverlening door derde partij | ||||||
a) SLA / contract | BIV | x | x | x | 10.2.1 | |
b) Beheer van wijzigingen SLA / contract | BIV | x | x | x | 10.2.3 | |
c) Controle op naleving en verbetering | BIV | x | x | x | 10.2.2 | |
6.2.4 Bedieningsprocedures | ||||||
a) Gedocumenteerde bedieningsprocedures | BIV | x | x | x | 10.1.1 | |
b) Wijzigingsbeheer | BIV | x | x | x | 10.1.2 | |
6.3 Beheersmaatregelen omtrent de uitvoering van de afspraken | ||||||
6.3.1 Toekenning en beheer van identificatoren | IV | x | x | x | 11.2.1 | |
6.3.2 Registratie van entiteiten | ||||||
a) Registratie van entiteiten | IV | x | x | x | 11.2.1 | |
b) Registratie van verantwoordelijke (geen natuurlijk persoon) | IV | x | x | x | ||
c) Processen voor registratie | IV | x | x | x | x | 11.2.1 |
6.3.3 Authenticatie | ||||||
6.3.3.1 Zekerheidsniveaus | IV | x | x | x | x | |
6.3.3.2 Authenticatiemiddelen | IV | x | x | x | x | 11.5.2 |
6.3.4 Elektronische berichtenuitwisseling | ||||||
a) Passende bescherming | BIV | x | x | x | x | 10.8.4 |
b) Vaststellen identiteit partners | IV | x | x | x | 10.8.4 | |
c) Integriteit gegevenstransport | I | x | x | x | 10.8.4 | |
d) Zekerheid geadresseerde | V | x | x | x | 10.8.4 | |
6.3.5 Ondertekening | I | x | x | x | ||
Eenvoudige ondertekening | I | a | ||||
Elektronische handtekening | I | a | ||||
Geavanceerde elektronische handtekening | I | a | ||||
6.3.6 Logging | ||||||
a) Naleving NEN 7513 | IV | x | x | x | x | 10.10.1 |
b) Voorzieningen inzage logging | IV | x | x | x | x | 10.10.1 |
c) Afspraken inzage en systematische controle | IV | x | x | x | x | |
d) Wederzijdse inzage en termijnen | IV | x | x | x | x | |
Wederzijdse inzage in gegevens is mogelijk binnen twee maanden | IV | a | a | |||
Wederzijdse inzage in gegevens is mogelijk binnen twee werkweken | IV | a | a | |||
6.4 Beheersmaatregelen omtrent beheer en naleving | ||||||
6.4.1 Beheer van informatiebeveiligingsincidenten | BIV | x | x | x | x | 13.1 13.2 |
De systeemverantwoordelijke meldt registratie van incidenten aan de communicatiepartner: Binnen twee werkdagen |
BIV | a | ||||
Binnen vier uren | BIV | a | ||||
Onmiddellijk | BIV | a | a | |||
Het in behandeling nemen van gemelde incidenten: Binnen vier werkdagen | BIV | a | ||||
Binnen een werkdag | BIV | a | ||||
Onmiddellijk | BIV | a | a | |||
6.4.2 Capaciteitsbeheer | ||||||
a) Afstemmen IT-middelen | B | x | x | x | x | 10.3.1 |
b) Inzicht in verwacht gebruik | B | x | x | x | x | 10.3.1 |
6.4.3 Back-up en herstel | ||||||
a) Netwerkinstellingsparameters | BI | x | x | x | x | 10.5 |
b) Testen herstelprocedures | BI | x | x | x | x | 10.5 |
6.4.4 Continuïteitsbeheer | ||||||
a) Maatregelen voor beschikbaarheid | B | x | x | x | 14.1 | |
b) Continuïteitsplannen vastleggen | B | x | x | x | 14.1.1 | |
c) Continuïteitsplannen testen en actualiseren | B | x | x | x | 14.1.5 | |
6.4.5 Naleving | ||||||
a) Controle op naleving van uitwisselingsovereenkomsten | BIV | x | x | x | x | 15.1 |
b) Controle implementatie technische beveiligingsnormen | BIV | x | x | x | x | 15.2.2 |