E-Toegang
Ordening
Beschrijving
E-Toegang is een voorziening die identificatie, authenticatie en autorisatie in de keten mogelijk maakt.
Toelichting
Een van de BIVA-eisen is vertrouwelijkheid. Dit is ingegeven door de eisen aan het beschermen van onderzoek en door wetgeving als de WvSv, WJSG, WPG, AVG, etc.
Om hieraan tegemoet te komen worden eisen gesteld aan het identificeren van een persoon of informatiesysteem en aan de autorisatie van personen en systemen. Samengevat eisen aan Identity en Access Management (IAM).
Hiervoor zijn Justitie-breed afspraken gemaakt over federatieve toegang en het stelsel van waarborgen daar omheen.
E-Toegang is een voorziening die identificatie en autorisatie in de keten mogelijk maakt. Het vaststellen van de identiteit van een gebruiker van de voorzieningen in de strafrechtketen kan door middel van:
- publieke inlogmiddelen (zoals DigiD, e-Herkenning);
- digitale inlogmiddelen voor beroepsgroepen (advocatenpas, UZI-pas voor zorgverleners);
- een federatiesysteem waarbij de identiteiten die een andere ketenpartner hanteert transparant zijn.
Voor autorisatie omvat E-Toegang regels en afspraken, zoals de benodigde doelbinding en grondslagen (met raadplegen van E-Compliance voor het grondslagenregister[1]) en de daaruit volgende benodigde attributen.
Het uitgangspunt voor vertrouwelijkheid is “need to know”. Er zijn echter situaties denkbaar, zie [IUS] dat in samenspraak bepaald moet worden wat “need to know” in een concrete situatie betekent. Vertrouwelijkheid is een balans tussen systeemmaatregelen vooraf en toezicht achteraf. In geval van nood mag een medewerker niet belemmerd worden in zijn handelen. De medewerker zal wel altijd verantwoording moeten afleggen voor het tijdelijk vergroten van zijn informatiepositie[2]. |
Rollen en attributen nodig voor autorisatiemechanismen als RBAC en ABAC zijn beschreven in E-Semantiek. Dit betreft zowel de typebeschrijving als de toegestane waarden, zolang deze laatste niet dynamisch zijn, bijvoorbeeld zaaknummer ‘123’. De toepassing ligt vast in E-Toegang. |
Voor de diensten van E-Toegang wordt gebruik gemaakt van de JenV-brede voorzieningen. Het inrichten van federatieve toegang bij de ketenpartijen reikt verder dan de strafrechtketen. Per ketenpartij buiten de keten zullen de (on)mogelijkheden voor federatieve toegang afgewogen moeten worden. |
Architectuur
Toetsingskader items[brontekst bewerken]
ID | Statement | Type | |
---|---|---|---|
Autorissatie op grond van bekende informatie bij authenticatie | WTA02 | Voor het uitvoeren van autorisaties wordt gebruik gemaakt van alle daarvoor benodigde informatie die al bij het authenticeren bekend is geworden. | Aanwijzing |
Bouwsteen IAM | WTG01 | Architectuurbouwsteen Identity and Access Management | Practice |
Federatieve toegang ter identificatie voor dienstverlening | WTA01 | Voor identificatie van medewerkers van ketenpartijen ten behoeve van het elektronisch kunnen afnemen dan wel leveren van diensten van ketenpartners wordt gebruik gemaakt van federatieve toegang, voor dienstverlening tot en met niveau DepV. | Aanwijzing |
Gebruik Federatieve Servicevoorziening | WTK03 | Gebruik Federatieve Servicevoorziening voor de aansluiting op gestandaardiseerde identificatiemiddelen. Gebruik Federatieve Servicevoorziening van Justid voor DigiD, Eidas, E-herkenning, Advocatenpas, Zorgpas | Constructieprincipe |
Gebruik gestandaardiseerde toegangsmiddelen voor ketenpartijen buiten SRK | WTK01 | Gebruik voor ketenpartijen die geen ketenpartner zijn gestandaardiseerde identificatiemiddelen die die ketenpartijen al hebben | Richtlijn/standaard |
RBAC of ABAC voor gebruik van gegevens | WTA04 | Autorisaties voor het inzien of bewerken van daadwerkelijke gegevens kunnen zowel rol- als attribuutgebaseerd zijn. | Aanwijzing |
RBAC voor dienstverlening | WTA03 | Voor het elektronisch kunnen afnemen dan wel leveren van diensten van ketenpartners wordt gebruikgemaakt van rolebased access control (RBAC). | Aanwijzing |
Vertrouwelijkheid van gegevens bepaalt maatregelen voor toegang | WTA05 | De vertrouwelijkheid van gegevens bepaalt welke maatregelen nodig zijn voor toegang tot die gegevens. | Aanwijzing |
Voor autorisatie wordt gebruik gemaakt van de interne voorzieningen van de ketenpartner | WTK02 | Voor autorisatie wordt gebruik gemaakt van de interne voorzieningen van de ketenpartner. | Richtlijn/standaard |
Voorschrijven toegestane typen en waarden per vertrouwelijkheidsniveau | WTA06 | Voor elk vertrouwelijkheidsniveau is voorgeschreven welke rol- en attribuuttypen en -waarden toegestaan en/of verplicht zijn | Aanwijzing |