NEN 7510 en Identity and Access Management

NEN 7510 en Identity and Access Management

Door: Robert van der Zwan

Tools4ever heeft als leverancier van Identity and Access Managementoplossingen jarenlange ervaring in de zorgmarkt ten aanzien van het optimaliseren van beheerprocessen en het verbeteren van de informatiebeveiliging. De implementaties van Tools4ever hebben onder meer tot doel om eenvoudig te voldoen aan de eisen die gesteld worden in de NEN 7510.

De IAM-oplossingen van Tools4ever helpen zorginstellingen bij het voldoen aan de NEN 7510 norm op de volgende punten:

8.3.2. Risico van toegang tot gegevens

UMRA – Identity and Access Management software zorgt voor een automatische ontmantelingprocedure of aanpassing van de toegangsrechten bij uitdiensttreding of functiewijziging. UMRA zorgt voor een automatische koppeling tussen de contractgegevens van medewerkers in het personeelssysteem en de Active Directory. Voor de niet-loondienst medewerkers (externe partij, uitzendkrachten, maatschappen, etc.) biedt UMRA verschillende opties, zoals beperkte levensduur van het user account, periodieke terugkoppeling met leidinggevende, overzichten van niet gebruikte user accounts, etc.

8.3.3 Teruggeven van voorzieningen

UMRA biedt een koppeling met facility management systemen zoals Ultimo, Planon en TOPdesk. Dankzij deze koppeling kan UMRA bepalen welke items een vertrekkende medewerker in bezit heeft. Afhankelijk van de gebruikte procedure in de zorginstelling zorgt UMRA ervoor dat de betrokken medewerkers (directe leidinggevende, medewerker PZ en FM) geïnformeerd worden en de voorzieningen geretourneerd worden.

8.3.4 Intrekken van toegangsrechten

UMRA zet een automatische ontmantelingprocedure in gang waarbij de toegangsrechten bij het beëindigen van de aanstelling of het contract gedisabled worden. Zie ook item 8.3.2. voor meer informatie.

9.1.2 Fysieke toegangsbeveiliging

UMRA biedt de mogelijkheid om de informatie uit het personeelssysteem met een automatische koppeling te verbinden aan de beheerapplicatie van het toegangssysteem. Hierdoor kan ingeregeld worden dat een gebruiker alleen een toegangspas/smartcard krijgt op het moment dat deze een geldig dienstverband heeft. Daarnaast is het mogelijk een verband te leggen tussen de functie/afdeling van het contract van de medewerker en de beveiligde zones waar een medewerker toegang toe behoort te hebben. UMRA kan koppelen met de meeste fysieke toegangssystemen, zoals Galaxy, Chubb – Afx, EAL ATS, Nedap – AEOS en Keyprocessor – iProtect.

10.1.2 Beheer van wijzigingen

UMRA houdt een volledige log bij van alle wijzigingen die middels UMRA doorgevoerd worden. Zowel automatische wijzigingen door UMRA op basis van de koppeling met het personeelssysteem als wijzigingen door bijvoorbeeld helpdesk medewerkers op basis van de UMRA formulieren worden gelogd. Deze log-informatie is conform de NEN 7510 standaard en voorziet in informatie als: welke beheerder, wanneer en wat voor welke eindgebruiker is aangepast.

10.1.3 Functiescheiding

UMRA biedt een volledige RBAC (Role Based Access Control) aanpak voor het beheer van (toegangs)rechten op basis van de rol die een medewerker vervult in de organisatie. Daarnaast biedt UMRA een uitgebreide Workflow Management omgeving waar gebruikers middels CBAC (Claim Based Access Control) rechten op applicaties en systemen aan kunnen vragen en de goedkeuringen door de verantwoordelijke personen verleend worden. Ingesteld kan worden dat voor het verkrijgen van bepaalde rechten de goedkeuring van meerdere bevoegde personen benodigd is. Alle verleende goedkeuringen worden gelogd. Binnen UMRA RBAC en CBAC kunnen allerlei additionele regels vastgelegd worden die ervoor zorgen dat bepaalde taken (of verantwoordelijkheden) worden gescheiden en indien mogelijk worden verdeeld over meer personen (Segregation of duty).

10.6.1 Maatregelen voor netwerken

UMRA biedt een uitgebreid ICT beheersmodel om de beheeractiviteiten nauwkeurig vast te leggen. UMRA biedt de optie om (moeilijk te beheersen) handmatige beheerstaken gedelegeerd onder te brengen in UMRA. De zorginstelling heeft hiermee de mogelijkheid om beheeractiviteiten nauwkeurig te coördineren zonder dat hiervoor gedetailleerde ICT kennis noodzakelijk is.

11.1.1 Beleid ten aanzien van toegangsbeveiliging

UMRA ondersteunt middels RBAC (Role Based Access Control) het beheer van (toegangs)rechten op basis van de rol die een medewerker vervult in de organisatie. Daarnaast biedt UMRA de mogelijkheid om de informatie uit het personeelssysteem dankzij een automatische koppeling te linken aan de beheerapplicatie van het passysteem. Hierdoor kan ingeregeld worden dat een gebruiker alleen een toegangspas/smartcard krijgt op het moment dat deze een geldig dienstverband heeft.

11.2.1 Registratie van gebruikers

UMRA biedt een gestandaardiseerde manier van gebruikersbeheer aan. Middels dit model worden user accounts in het gehele netwerk op een uniforme manier beheerd en wordt iedere wijziging altijd geregistreerd. Het model kan gekoppeld worden aan een gedelegeerde beheersinterface (zie 10.6.1 voor meer informatie) en/of het personeelssysteem en/of medewerkers (leidinggevenden) in de organisatie.

11.2.2 Gebruikersidentificatie

Bij het (automatisch) aanmaken van de gebruikersidentificaties (user names) door UMRA, hanteert UMRA de exacte naamgevingstandaard als gekozen door de zorginstelling en wordt een account altijd aangemaakt conform de vastgestelde procedures. De gebruikersidentificatie wordt uniek aangemaakt per informatiesysteem maar ook over verschillende informatiesystemen heen. Het is ook mogelijk om een gebruikersidentificatie historisch uniek te maken.

11.2.3 Keuze van authenticatiewijze

Met Enterprise Single Sign-On Manager (E-SSOM) worden alle bekende technologieën voor gebruikersidentificatie en authenticatie waarbij voorzien wordt in authenticatie op het applicatielandschap ondersteund. Dankzij de Single Sign-On functionaliteit van E-SSOM wordt voorkomen dat een gebruiker zich steeds voor iedere applicatie dient te authenticeren.

11.2.4 Beheer van identificatie-/authenticatiesystemen

Tools4ever biedt een reeks van producten aan die ervoor zorgen dat de procedures betreffende het wachtwoord- en smartcardbeleid op een voor de eindgebruiker prettige manier worden nageleefd. De ervaring leert dat alleen het introduceren van een complex wachtwoord niet het juiste effect heeft. Tools4ever biedt de volgende producten die op verschillende aspecten van het identificatie- en authenticatiebeleid inhaken.

  • Self Service Reset Password Management (SSRPM) voorziet de gebruikers van een Self-Service mogelijkheid voor het resetten van het wachtwoord. Pas nadat de gebruiker zichzelf heeft geïdentificeerd door het beantwoorden van een aantal persoonlijke vragen, kan de gebruiker een nieuw wachtwoord instellen en worden daarbij de complexiteitsregels voor het nieuwe wachtwoord real-time in beeld afgevinkt.
  • Password Complexity Manager (PCM) ondersteunt de gebruiker bij het instellen of wijzigen van het wachtwoord bij de eerste inlog of de periodieke wijziging (30/60/90 dagen) door het real-time in beeld afvinken van de complexiteitsregels voor het nieuwe wachtwoord.
  • UMRA biedt de mogelijkheid om de informatie uit het personeelssysteem met een automatische koppeling te linken aan de beheerapplicatie van het passysteem. Hierdoor kan ingeregeld worden dat een gebruiker alleen een smartcard krijgt op het moment dat deze een geldig dienstverband heeft. Voor het intrekken van authenticatiemiddelen heeft UMRA de mogelijkheid tot koppeling met helpdesksystemen als bijvoorbeeld TOPdesk. Daarmee kan automatisch voorafgaand aan de uit-dienstdatum worden uitgelezen welke eigendommen van de instelling een medewerker nog in bezit heeft. Dit overzicht wordt per e-mail aan de leidinggevende toegestuurd zodat deze kan toezien op het inleveren van eventuele fysieke authenticatiemiddelen (bijv. smartcard, token).

11.2.5 Inlogprocedures

E-SSOM ondersteunt alle bekende technologieën voor gebruikersidentificatie en authenticatie om te komen tot een veilig inlogproces. Vooral smartcards bieden hierbij een sterke authenticatie gecombineerd met een snelle inlogprocedure. Omdat E-SSOM de wachtwoordafhandeling doet, hoeft de eindgebruiker dit niet meer te doen en vervalt de voorwaarde dat een beeldscherm onleesbaar voor onbevoegden moet worden opgesteld.

11.2.6 Gebruik van wachtwoorden en authenticatiemiddelen

Voor het afdwingen van complexe wachtwoorden kan Password Complexity van Microsoft (MS PCM) gebruikt worden. Nadeel van MS PCM is de lage gebruikersacceptatie, verhoging van wachtwoord reset calls naar de helpdesk en het probleem dat eindgebruikers wachtwoorden gaan opschrijven. Tools4ever biedt verschillende alternatieven om de negatieve gevolgen van complexe wachtwoorden te voorkomen.

  • Password Complexity Manager (PCM), deze oplossing zorgt ervoor dat het wachtwoord complex is maar past tegelijkertijd ook de communicatie naar de eindgebruiker aan waardoor de gebruikers het complexe wachtwoord volledig accepteren.
  • Self Service Reset Password Management (SSRPM), deze oplossing biedt de eindgebruiker de mogelijk om, zonder tussenkomst van de helpdesk, zelfstandig en veilig het eigen wachtwoord te resetten. Het aantal wachtwoord reset calls blijft hierdoor laag.
  • Enterprise SSO Manager (E-SSOM), deze oplossing biedt de mogelijkheid om voor het gehele applicatielandschap een uniforme wachtwoordcomplexiteit door te voeren met een verhoging van het gebruikersgemak voor de eindgebruiker.

11.2.9 Onbeheerde gebruikersapparatuur

Gebruikers kunnen tijdelijk onbeheerde computers beveiligen door deze te locken. Wanneer gebruikers individueel hebben ingelogd op een gedeelde computer en deze voor langere tijd locken, is deze computer niet meer beschikbaar voor andere medewerkers zonder dat deze de helpdesk moeten bellen om deze te kunnen unlocken.
Middels E-SSOM kunnen de gebruikers zelf eenvoudig een gelockte computer unlocken en inloggen middels hun username/password of met een smartcard. Middels de in E-SSOM geïntegreerde functionaliteit Fast-User-Switching heeft de gebruiker dan direct zijn/haar belangrijkste applicaties voor zich zonder verder in te hoeven loggen.

11.2.10 ‘Time-out’ voor werkstations

Een automatische ‘time-out’ op werkstations kent in de praktijk een tweetal belangrijke nadelen:

  • Een gedeelde computer die gelocked is, kan door een andere gebruiker niet unlocked worden zonder hiervoor de helpdesk te bellen.
  • Gebruikers ervaren een korte ‘time-out’ periode als hinderlijk aangezien ze dan steeds opnieuw in moeten loggen.

E-SSOM biedt voor beide nadelen een oplossing. Zo kan de gebruiker met E-SSOM zelf eenvoudig een gelockte computer unlocken en daar middels de eigen gebruikers-ID (username/password of smartcard) op inloggen en heeft middels Fast-User-Switching snel zijn/haar desktop met applicaties voor zich. De ondersteuning van een smartcard binnen E-SSOM zorgt er voor dat het inlogproces voor de gebruikers eenvoudiger wordt en een korte ‘time-out’ periode niet langer als hinderlijk ervaren wordt.

11.3.1 Autorisatieregels

UMRA biedt een volledige RBAC (Role Based Access Control) aanpak voor het beheer van (toegangs)rechten op basis van de rol die een medewerker vervult in de organisatie. Daarnaast biedt UMRA een geïntegreerde Workflow Management omgeving waar gebruikers middels CBAC (Claim Based Access Control) rechten op applicaties en systemen aan kunnen vragen en de goedkeuringen door de verantwoordelijke personen verleend worden. Ingesteld kan worden dat voor het verkrijgen van bepaalde rechten de goedkeuring van meerdere bevoegde personen benodigd is. Alle verleende goedkeuringen worden gelogd. De RBAC aanpak van Tools4ever is dusdanig opgezet dat de implementatie met minimale inspanning verricht kan worden en dat gelijk voldaan wordt aan de NEN normering.

11.3.2 Autorisatieproces

Het vaststellen van procedures en regels voor de toekenning en intrekking van bevoegdheden wordt volledig ondersteund door de RBAC en Workflow Management onderdelen van UMRA (zie 11.3.1). Zo kunnen bijvoorbeeld ook tijdelijke rechten toegekend worden (voor bijvoorbeeld een bepaald project) die dan na het verlopen van de ingestelde geldigheid automatisch worden ingetrokken.

11.3.3 Toegang tot gegevens en systemen

Het zodanig inrichten van toepassingen, systemen en netwerkvoorzieningen dat toegang alleen mogelijk is in overeenstemming met geldige bevoegdheden wordt volledig ondersteund door de RBAC functionaliteit in UMRA (zie 11.3.1).

11.3.5 Controle op toegangsrechten

De RBAC-functionaliteit in UMRA biedt uitgebreide mogelijkheden om de IST- en de SOLL-situatie te vergelijken. De IST-situatie is de situatie zoals deze feitelijk is in het netwerk met daarin alle toegekende rechten. De SOLL-situatie betreft de situatie zoals deze zou moeten zijn op basis van de rolgebaseerde rechten uit het RBAC model. Een Security Officer kan op gezette tijden een SOLL-IST vergelijking maken om zodoende de uitgegeven toegangsrechten te controleren. Hiermee kan bijvoorbeeld gecontroleerd worden of middels Claim Based Access Control (CBAC) aangevraagde en toegekende extra toegangsrechten wel in lijn zijn met de rol die een persoon vervult in de organisatie.

11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten

Middels RBAC ondersteunt UMRA de autorisatieprocedures om te bepalen wie toegang heeft tot welke netwerken en netwerkdiensten. Daarnaast kan met UMRA de uitgifte van bijvoorbeeld een smartcard of token worden gekoppeld aan het hebben van een actief dienstverband in het personeelssysteem. RBAC richt zich primair op het reguleren van de toegang tot resources door eindgebruikers. Naast RBAC heeft UMRA een gedelegeerd beheermodel waarmee toegang tot netwerkdiensten gecontroleerd uitgevoerd kan worden. Middels het gedelegeerd beheermodel is exact in te stellen wie waar toegang toe heeft en hoe procedures uitgevoerd moeten worden.

Robert van der Zwan

Geschreven door:
Robert van der Zwan

Robert van der Zwan is als Senior Account Manager Healthcare werkzaam bij Tools4ever. Hij beschikt over zowel een technische als commerciële achtergrond en is in staat om op basis van de wensen en behoeftes van prospects en klanten te komen tot een passende oplossing.

Anderen bekeken ook

Naleving wetgeving HIPAA, SOX, NEN 7510, HKZ

Naleving wetgeving HIPAA, SOX, NEN 7510, HKZ

17 september 2015

Single Sign-On in combinatie met virtual desktop (VDI): ingelogde sessie meenemen

Single Sign-On in combinatie met virtual desktop (VDI): ingelogde sessie meenemen

30 september 2015

NEN 7510 versus cliënttevredenheid

NEN 7510 versus cliënttevredenheid

10 juni 2015

Scope van permissies: the next big audit thing?

Scope van permissies: the next big audit thing?

23 april 2019