Wachtwoordbeleid. Documentcode: Versie: 1.0. Versiedatum College van Burgemeester en Wethouders

Vergelijkbare documenten
Beleid logische toegangsbeveiliging

Beleid uitwisseling van informatie

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Two Factor Authenticatie

Gebruik tweefactorauthenticatie

15 July Betaalopdrachten web applicatie beheerders handleiding

Hulp Toch nog hulp nodig? Kom langs bij ICT in de personeelskamer of stuur een mail naar

Gebruikershandleiding VITA Windows VITA. veilige internettoegang voor artsen v2.0 Gebruikerhandleiding. Link website VITA :

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Incura Handleiding 2-factor authenticatie (2FA)

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

FO Gebruikersadministratie

Gebruikershandleiding wachtwoord instellen en account ontgrendelen

Hoe verloopt de authenticatie met een authenticatie-applicatie precies? Wat moet ik doen om een mobiele authenticatie-app te kunnen gebruiken?

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt?

Handleiding Portero. voor organisatiebeheerders. Versie : 1.4 Datum : juli Portero Beheerdershandleiding v Pagina 1 van 12

Persoonsgegevens rechtstreeks door ons verzameld of rechtstreeks door u aan ons aangeleverd

Als je na het volgen van deze handleiding nog steeds niet kan inloggen, neem dan contact op met de Xtilton ServiceDesk

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

CitiManager: Beknopte migratiehandleiding voor kaarthouders

15 July Betaalopdrachten web applicatie gebruikers handleiding

Don Bosco Onderwijscentrum VZW voor: Don Bosco Halle Technisch Instituut / Centrum Leren & Werken

Q&A digitaal contracteren 2015 De Friesland Zorgverzekeraar

Registreren Inloggen - Profiel beheren

Gebruiksvoorwaarden DigiD

VZW Gesubsidieerde Vrije Basisschool De Kievit voor: Gesubsidieerde Vrije Basisschool De Kievit

WACHTWOORDBELEID Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB)

Wachtwoordbeleid. Handreiking

SesamID Gebruikershandleiding

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Databeveiligingsmaatregelen voor verenigingen

Taken verdelen portal Centrale Eindtoets

Gebruiker zonder rol weer zichtbaar in gebruikersadministratie

PRIVACYVERKLARING IBN versie mei 2018

Eddon Software B.V. Ingeschreven bij de Kamer van Koophandel onder nummer Artikel software Behorende bij release vanaf 1 Datum

Instructie inloggen loonstroken KendR

ESJ Salarisadviesbureau. Handleiding. Online Salarisportal. Werknemer Login. Loonstrookviewer

Handleiding Installatie Certificaat Extranet

WACHTWOORDBELEID. KBSM Leuven vzw voor: Basisschool Sancta Maria. Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB).

Handleiding Portero. voor organisatiebeheerders. Versie : 1.3 Datum : juni Portero Beheerdershandleiding v Pagina 1 van 11

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Checklist Beveiliging Persoonsgegevens

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

uw inloggegevens de procedure bij het inloggen in Teleboekhouden 7.2 het beheer van het gebruikersaccount

Privacyverklaring msx-shop.nl

Handleiding beginnen met Calculus VIP. Datum December 2016 Calculus Software

XIMEx handleiding Gebruiker. Uw XIMEx Portal URL:

ELEKTRONISCHE HANDTEKENINGEN IN CLIENT ONLINE

Gebruikersnaam- en wachtwoordbeheer

Hoe verloopt de authenticatie met een authenticatie-applicatie precies? Wat moet ik doen om een mobiele authenticatie-app te kunnen gebruiken?

SSRPM Self Service Reset Password Management

T-MOBILE CLOUD Android Installatiehandleiding. Private Planet, Ltd.

ZIVVER Gebruikershandleiding

Handleiding Client Self Service (Verwantenportaal)

Knab Verzekeren gebruiksvoorwaarden

Regeling ICT-gebruik Zuyd Hogeschool

0.1 Opzet Marijn van Schoote 4 januari 2016

Handleiding Portero. voor organisatiebeheerders. Versie : 2.0 Datum : 14 april Portero Beheerdershandleiding v Pagina 1 van 12

DM WEB PORTAAL Functionele handleiding 2-factor authenticatie Gebruikers. MediSoft. Versie

WACHTWOORDBELEID. Schoolcomite Sint-Jan Baptiste de la Salle vzw

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

How To Do Gebruikersbeheer mbconnect24 V2

Norm 1.3 Beveiligingsplan

Gebruiksvoorwaarden Expertisenetwerk Jonge Kind

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Verklaring van Toepasselijkheid

Gebruikshandleiding Rabo OmniKassa Downloadsite Versie 2.0 januari 2012

Gebruikershandleiding VITA Windows VITA. veilige internettoegang voor artsen v3.0 Gebruikerhandleiding. Link website VITA :

Taken verdelen portal Centrale Eindtoets

Privacyreglement Bureau Streefkerk B.V.

Instructie Inloggen op Mijn a.s.r. Bank

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Handleiding Opstarten InSite. Eerste keer inloggen op InSite In en uitloggen InSite Wachtwoord wijzigen Wachtwoord vergeten

Handleiding beginnen met de Calculus VIP app. Voor zorgverleners. Datum Juli 2017 Calculus Software

Stappenplan naar GDPR compliance

HANDLEIDING APPLICATIE VERREKENING NEVENINKOMSTEN DECENTRALE POLITIEKE AMBTSDRAGERS (NIPA APPLICATIE) (VERSIE 1.1)

Handleiding Portero. voor organisatiebeheerders. Versie : 2.1 Datum : 9 juni Portero Beheerdershandleiding v Pagina 1 van 13

ALGEMENE VOORWAARDEN JGZ ACADEMIE. 1. DEFINITIES In deze voorwaarden wordt onder de volgende begrippen verstaan:

HANDLEIDING MAGISTER 6

Startershandleiding ProCheck+

Handleiding voor Unit4 Salarisonline Werknemersportal ODG Accountants Adviseurs

KBO inst.nr.: Inrichtend Comité van het Vrij Instituut voor Secundair Onderwijs Gent vzw voor:

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

GEBRUIKERSVOORWAARDEN STOCKSPOTS PLATFORM

Handleiding voor het herstellen van uw ouderaccount voor toegang Magister / ouderportaal

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Verwerkersovereenkomst Openworx

Aan welke eisen moet het beveiligingsplan voldoen?

versie: HANDLEIDING MIJN DE LEEUW

Handleiding GRID Token

Instructie inloggen loonstroken KendR (v/h Vrij Beroep Advies)

Handleiding MMS accountbeheer MMS. Handleiding voor de Beheerder binnen de bronhoudersorganisatie

Procedure activeren van de MFA applicatie op een mobiele telefoon

GEBRUIKERSHANDLEIDING T8530

Transcriptie:

Wachtwoordbeleid Documentcode: Versie: 1.0 Versiedatum 29-9-2016 Gemaakt door: Goedgekeurd door: V-Classificatie: Eric van Leuven College van Burgemeester en Wethouders Intern document / openbaar

Versiegegevens Datum Versie Gemaakt door Omschrijving van de aanpassing 29-9-2016 1.0 Eric van Leuven Concept basisdocument Inhoudsopgave 1. INLEIDING... 2 2. DOEL, AFBAKENING EN DOELGROEP... 2 3. DOCUMENTBEHEER, CONTROLE EN REFERENTIES... 3 4. UITGANGSPUNTEN WACHTWOORDBELEID... 3 4.1. EISEN AAN WACHTWOORD... 3 4.2. GEMEENTELIJKE INSTELLINGEN VOOR WACHTWOORDEN... 4 4.3. WACHTWOORDBEHEER... 5 4.4. GEDRAGSREGELS GEBRUIKERS... 6 4.5. AANVULLENDE EISEN... 6 4.6. CONTROLE EN RAPPORTAGE... 7 5. FORMELE VASTSTELLING... 7 1

1. Inleiding Wachtwoorden vormen een belangrijk aspect van de gemeentelijke informatiebeveiliging. Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot gemeentelijke informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde wachtwoord procedures zijn niet alleen een bedreiging voor de vertrouwelijkheid en integriteit van gemeentelijke informatie, maar uiteindelijk ook slecht voor het imago van de gemeente. Alle gebruikers van gemeentelijke informatiesystemen dienen goede wachtwoorden te kiezen en zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en login-gegevens. Wachtwoorden hebben als nadeel dat ze onthouden moeten worden en dat is zeker lastig als het gaat om willekeurige combinaties van letters (kleine letter en hoofdletter), cijfers en leestekens. Het wachtwoordbeleid voorziet in ruimte voor het gebruikmaken van wachtwoorden die eenvoudiger te onthouden zijn zoals het gebruik van wachtzinnen 1. Wachtwoorden die vandaag als sterk en veilig worden beschouwd, kunnen in de nabije toekomst als onveilig worden beschouwd vanwege de voortgaande technologische ontwikkelingen op dit terrein. Dit beleidsdocument voorziet hierin door periodieke toetsing op dit aspect en geeft eveneens aan hoe gebruikers van gemeentelijke informatiesystemen behoren om te gaan met wachtwoorden. 2. Doel, afbakening en doelgroep Het doel van het wachtwoordbeleid is er voor te zorgen dat op een uniforme wijze omgegaan wordt met het gebruik en beheer van wachtwoorden om te voorkomen dat onbevoegden wachtwoorden eenvoudig kunnen achterhalen, raden of verkrijgen en daardoor toegang kunnen krijgen tot de gemeentelijke informatiesystemen. Een wachtwoord is per definitie voor elk individu persoonlijk en geheim en altijd gerelateerd aan een gebruikersnaam die een fysieke gebruiker uniek identificeert. De gebruikersnaam is meestal openbaar, het wachtwoord is en blijft altijd geheim. Het wachtwoordbeleid heeft eveneens betrekking op locaties waar met behulp van een wachtwoordcode toegang verkregen kan worden zoals een computerruimte of een kluis. Het wachtwoordbeleid is van toepassing op iedereen waarvoor toegang is verleend tot het gemeentelijk netwerk, gemeentelijke informatiesystemen en op afgesloten gemeentelijke locaties waarmee met een geheime code toegang kan worden verleend. 1 Wachtzinnen zijn wachtwoorden bestaande uit een zin met een beperkt aantal willekeurige woorden die geen onderling verband hebben en de zin taalkundig geen betekenis heeft. Deze wachtzinnen hebben een lange lengte, zijn eenvoudiger te onthouden en moeilijker te raden. Dit in combinatie met hoofdletters, cijfers of leestekens of het verwijderen van de klinkers uit een wachtzin, maakt een wachtwoord sterk. 2

3. Documentbeheer, controle en referenties Het college van B&W is bestuurlijk verantwoordelijk voor het wachtwoordbeleid. Eigenaar van dit document is de gemeentesecretaris en behoort uit dien hoofde dit document periodiek te controleren en indien nodig te (laten) herzien. Het beheer van dit document ligt bij de afdeling Informatiemanagement die belast is met het actueel houden van dit document en voor archivering en distributie naar de organisatie. Minimaal om de 3 jaar behoort dit beleid te worden herzien. Implementatie en naleving van dit beleid ligt bij de leidinggevenden en systeemeigenaren. Dit document treedt in werking na formele goedkeuring van het college van B&W. Indien naleving van dit document getest wordt, behoort aandacht te worden besteed aan: Formele vaststelling van dit beleid en toetsing naleving Periodiek herijken van de waarden voor wachtwoordinstellingen (zie 4.2) Beoordelen wachtwoordinstellingen voor toegang tot gemeentelijk netwerk en (kritische) informatiesystemen Toetsen of informatiesystemen voldoen aan het wachtwoordbeleid Toetsen bewustwording van medewerkers in gebruik van wachtwoorden Referenties andere documenten: ISO27002 en tactische BIG; clausule 9.1.2, 11.2.3, 11.3.1,11.5.1, 11.5.2, 11.5.3, 11.7.1, 12.1.1 IBD handreiking wachtwoordbeleid versie 1.11 4. Uitgangspunten wachtwoordbeleid 4.1. Eisen aan wachtwoord 1. Een wachtwoord is altijd toegewezen aan een gebruikersnaam die een fysieke gebruiker uniek identificeert. 2. Groepsaccounts met 1 wachtwoord zijn niet toegestaan tenzij dit de informatiebeveiliging van de gemeente niet in gevaar brengt. 3. Er wordt gebruik gemaakt van sterke of veilige wachtwoorden die het risico van raden vermindert. Dit uitgangspunt wordt waar mogelijk afgedwongen door het systeem. De sterkte van een wachtwoord wordt bepaald door de lengte, de complexiteit en de onvoorspelbaarheid. Een sterk wachtwoord is veilig indien deze niet te eenvoudig en niet te kort is. 3

4. Wachtwoorden behoren altijd versleuteld te zijn opgeslagen volgens gangbare technieken 2 die niet verouderd zijn en mogen nimmer leesbaar zijn op een inlogscherm tijdens het ingeven en als data over het netwerk. 5. Een ingegeven wachtwoord in het inlogscherm kan niet gekopieerd worden naar een tekstveld of ander scherm. Dit om het achterhalen van wachtwoorden te voorkomen 3. 6. Bij een foutieve inlogpoging wordt geen informatie verstrekt over de fout. Er wordt alleen gemeld dat de combinatie gebruikersnaam en wachtwoord ongeldig is. 7. Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen de authenticiteit en/of misbruik van het systeem. Dit is afhankelijk van de technische mogelijkheden van applicaties en een risico-afweging. Voor de toegang tot de Velsense netwerkomgeving kan dit ingesteld worden. 8. De afdeling Informatiemanagement bepaalt in overleg met systeemeigenaren de maximale geldigheidsduur en welke afwijkingen hierop van toepassing zijn die een beperktere geldigheidsduur nodig maken. Denk in het laatste geval aan BRP, PNIK en Suwinet. 4.2. Gemeentelijke instellingen voor wachtwoorden De wachtwoordinstellingen van de informatiesystemen van de gemeente Velsen behoren te voldoen aan de volgende eisen: 1. Wachtwoorden hebben een minimale lengte van 8 posities. 2. Wachtwoorden mogen na wijzigen niet opeenvolgend zijn en mogen pas na 6 keer herhaald worden. 3. Het account van een gebruiker mag niet verwerkt zijn in een wachtwoord. 4. Wachtwoorden behoren minimaal 1 hoofdletter, 1 cijfer en 1 leesteken te hebben. 5. Wachtwoorden zijn maximaal 60 dagen geldig. 6. Een account wordt automatisch geblokkeerd na 3 foutieve inlogpogingen. Bij de laatste poging wordt de gebruiker hiervan op de hoogte gesteld via een melding. 7. Wanneer een wachtwoord is verlopen, wordt het daaraan gerelateerde gebruikersaccount automatisch geblokkeerd. 2 Het versleutelen van wachtwoorden geschiedt doorgaans via hash- en saltfuncties. Zie verder https://nl.wikipedia.org/wiki/salt_(cryptografie) 3 Het achterhalen van een niet-leesbaar wachtwoord kan door gebruik te maken van allerlei hulpprogramma s die te downloaden zijn via internet. 4

Voor bovenstaande geldt dat de systemen dit technisch moeten kunnen ondersteunen en het is afhankelijk van een risico-afweging. Minimaal dienen de systemen die de kritische bedrijfsprocessen van de gemeente Velsen ondersteunen aan de wachtwoordeisen te voldoen en uiteraard ook het systeem dat toegang geeft tot de netwerkomgeving van Velsen. De afdeling Informatiemanagement beoordeelt jaarlijks of de waarden voor wachtwoordinstellingen volgens het beleid nog toereikend zijn voor een sterk en veilig wachtwoord, rekening houdend met de stand der techniek zowel aan de kant van de bedreigingen (hackers) als die van de mogelijkheden (nieuwe en verbeterde technieken) 4. 4.3. Wachtwoordbeheer 1. Wachtwoorden worden op een veilige manier uitgegeven (verstrekken en resetten). Er zijn hiervoor deugdelijke gestandaardiseerde procedures (schriftelijk vastgelegd). 2. Bij het verstrekken van een tijdelijk wachtwoord vindt controle op de identiteit van de gebruiker plaats. Gebruikers bevestigen de ontvangst van een wachtwoord. 3. Een wachtwoord dat via functioneel of technisch beheer (nieuw of reset) wordt verstrekt aan een gebruiker behoort direct na inlog van de gebruiker te worden aangepast. Voor zover mogelijk dwingt het geautomatiseerde systeem dit af. 4. Bij verandering van functie/afdeling of uitdiensttreding moet functioneel en technisch beheer in staat worden gesteld om tijdig rechten te kunnen veranderen en/of weg te nemen. Dit geldt eveneens voor de beheerders van applicaties en diensten in de cloud of bij ketenpartners. 5. Wachtwoordbeheer heeft de mogelijkheid een account direct te blokkeren indien het vermoeden aanwezig is dat het wachtwoord van het betreffende account bekend is bij anderen. 6. Elke systeemeigenaar is verantwoordelijk voor de juiste inrichting van de wachtwoordinstellingen in zijn informatiesysteem dat voldoet aan het wachtwoordbeleid van de gemeente. 7. Elke gebruiker kan zijn wachtwoord wijzigen. Bij het wijzigen controleert het authenticatiesysteem automatisch of het nieuwe wachtwoord voldoet aan de vooraf ingevoerde wachtwoordinstellingen. Indien dat niet het geval is dan wordt de wijziging niet geaccepteerd. 4 Gelet op de voortschrijdende technologische ontwikkelingen is het niet uitgesloten dat de minimale lengte van een wachtwoord in de nabije toekomst verhoogd moet worden naar 10 of 12. Vraag is dan of de huidige informatiesystemen dit wel aan kunnen of gebruikers hierop al voorbereid zijn (bewustwording). 5

4.4. Gedragsregels gebruikers 1. Nalatigheid in het beheer en gebruik van wachtwoorden wordt gezien als een ernstig beveiligingsincident en kan consequenties hebben voor de betreffende medewerker(s). 2. Wachtwoorden zijn alleen bij de gebruiker bekend. 3. Wachtwoorden worden niet opgeschreven. 4. Wachtwoorden worden niet gedeeld met anderen ook al zijn dit bekenden, hoger in functie of vertrouwelingen. 5. Het opslaan van wachtwoorden in de webbrowser (denk aan cloud-toepassingen) is niet toegestaan. 6. Indien een gebruiker het vermoeden heeft dat zijn wachtwoord bekend is bij een ander dan wijzigt de gebruiker onmiddellijk zijn wachtwoord. 7. Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijvoorbeeld opgeslagen onder een functietoets of in een macro). 8. Nut en noodzaak en do s en don ts voor het gebruik van wachtwoorden is een vast onderdeel van het bewustwordingsprogramma informatiebeveiliging bij de gemeente Velsen. 4.5. Aanvullende eisen 1. Standaard wachtwoorden die in software of hardware worden meegegeven, worden voor ingebruikname gewijzigd. 2. Nieuwe apparatuur waarbij gebruik gemaakt wordt van wachtwoorden moet minimaal voldoen aan het wachtwoordbeleid van de gemeente. 3. Bij aanschaf van nieuwe geautomatiseerde systemen waar het gebruik van wachtwoorden volgens een inlogprocedure noodzakelijk is, behoort rekening te worden gehouden met de lengte van het wachtwoord en versleutelingstechniek. Minimaal moet een nieuw systeem 20 posities aan kunnen en gebruik maken van de meest gangbare versleutelingstechniek (opnemen in programma van eisen). 4. Het gebruik kunnen maken van wachtzinnen (zie inleiding) bij nieuw aan te schaffen geautomatiseerde systemen moet mogelijk zijn. 5. Het gebruik van twee-factor authenticatie waarbij naast het gebruik van een wachtwoord een aanvullende code moet worden toegevoegd om toegang te krijgen, wordt gebruikt bij 6

toegang tot het netwerk van de gemeente via externe verbinding (denk aan telewerken, thuiswerkplekken) of voor toegang tot informatiesystemen waarbij het gebruik ervan vereist of gerechtvaardigd is. 6. Voor mobiele apparaten wordt de Wipe functie 5 geactiveerd bij vaker dan 5 maal foutief inloggen. 4.6. Controle en rapportage Periodiek vindt controle plaats op het gebruik en beheer van wachtwoorden. Technisch beheer moet kunnen aantonen dat wachtwoorden beveiligd zijn opgeslagen en in het dataverkeer veilig over het netwerk loopt. Functioneel beheer behoort aan te tonen dat de procedure voor het verstrekken, wijzigen en resetten van wachtwoorden wordt nageleefd en elke systeemeigenaar moet kunnen aantonen dat zijn wachtwoordinstellingen voldoen aan het wachtwoordbeleid van de gemeente. De afdeling Informatiemanagement behoort jaarlijks te beoordelen of de wachtwoordinstellingen nog toereikend zijn en vanuit bewustwordingsprogramma s moet het wachtwoordbeleid inclusief gedragsregels nadrukkelijk aan de orde komen. Concerncontrol is belast met de uitvoering van deze controlewerkzaamheden. Informatie over de controlebevindingen uitvoering wachtwoordbeleid verloopt via de periodieke rapportages van de beveiligingscoördinator aan het management vanuit de PDCA-cyclus ISMS. 5. Formele vaststelling Het college van burgemeester en wethouders van de gemeente Velsen heeft dit document formeel vastgesteld op <datum>. 5 Met een wipe functie is het mogelijk om alle gegevens op een mobiel apparaat op afstand te verwijderen. 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback