Lezing over Role Based Access Control
De NGI Regio Den Haag nodigt u uit op 15 februari voor een boeiende en praktische lezing door Aart van Dijk en Ton Algra over autoriseren via Role-based Access Control (RBAC) in SAP bij het Korps landelijke politiediensten (KLPD).
De maatschappij verandert, dus verandert de Nederlandse politie mee. Dit betekent nieuwe uitdagingen voor de ondersteuning van de politie met behulp van moderne ICT-middelen. Daartoe is het “ICT-bestek politie” opgesteld. Ook met betrekking tot de bedrijfsvoering van de politie wordt de ICT-ondersteuning verder geprofessionaliseerd. Eén van de pakketten die reeds enkele jaren wordt ingezet bij het Korps landelijke politiediensten (KLPD) is SAP R/3. SAP wordt onder andere ingezet bij financiële zaken, personele zaken, logistiek, wapenregistratie, vliegdienst en sinds kort ook voor de salarisadministratie.
Bij het KLPD is SAP R/3 Enterprise in gebruik genomen. Bij de invoering hiervan is het autorisatieconcept door het KLPD geheel vernieuwd. Daarmee is ingespeeld op de behoefte van het KLPD, en van controlerende instanties als de Auditdienst van het Ministerie van Binnenlandse Zaken, om te komen tot een modern (“state of the art”), inzichtelijk en beheersbaar autorisatieconcept. Het nieuwe autorisatieconcept is gebaseerd op “Role-based access control”. Deze (nieuwe?) methode staat erg in de (internationale) belangstelling. Tijdens de presentatie wordt in het kort ingegaan op het project POTVIS, waarvan het deelproject autorisatie deel uitmaakt en wordt een samenvatting gegeven van het ICT-autorisatiebeleid van de Nederlandse politie in het algemeen en het KLPD in het bijzonder. Inzicht wordt gegeven in de wijze waarop het autorisatieconcept binnen het KLPD en met name binnen SAP R/3 is geïmplementeerd. De presentatie wordt besloten met een samenvatting van de inmiddels opgedane
ervaringen.
Het deelproject autorisatie, waarover zowel een Engelstalig artikel als twee Nederlandstalige artikelen zijn gepubliceerd, is in 2004 genomineerd voor de Joop Bautz Security Award - Categorie Professionals.
Ir. Aart van Dijk RE, voormalig bestuurslid van NGI Regio Den Haag en NGI afdeling Beheer, is werkzaam als onafhankelijk IT-adviseur/IT-auditor bij Avédé-Info b.v. te Zoetermeer. Hij heeft bij het KLPD IT-audits uitgevoerd en is projectleider van het project POTVIS dat de verbetering van de infrastructuur van SAP R/3 bij het KLPD beoogt.
Ton Algra is werkzaam als Senior SAP Consultant bij Ordina Enterprise Applications. Hij heeft veel bedrijven, waaronder multinationals, geadviseerd bij de invoering/verbetering van de autorisatiestructuur binnen SAP R/3. Hij is bij het KLPD betrokken bij het project POTVIS, met name bij de invoering van het nieuwe autorisatieconcept.
De lezing begint om 19.00 uur, maar U bent vanaf 18.45 welkom. Na afloop is er gelegenheid om onder het genot van een drankje nog wat na te praten. Zowel NGI-leden als niet-leden zijn van harte welkom. Deelnemers dienen zich vooraf aan te melden bij het NGI-bureau, bij voorkeur via de website www.ngi.nl .
De toegang voor NGI-leden, leden van PI, GvIB, Norea, ISACA en studenten (op vertoon van collegekaart) is gratis; overige niet leden betalen 20 Euro (te voldoen aan de zaal).
Datum: Dinsdagavond 15 februari 2005
Tijd: Aanvang 19.00 tot ongeveer 21.00 (zaal open om 18.45)
Plaats: Haagse Hogeschool, Ovaal 0.71, Johanna Westerdijkplein 75, Den Haag (vlak bij NS-station Hollands Spoor)
"Lezing over Role Based Access Control "
Lezing over SAP waarmee je ook Role Based Access Control kan doen.
"Bij het KLPD is SAP R/3 Enterprise in gebruik genomen. Bij de invoering
hiervan is het autorisatieconcept door het KLPD geheel vernieuwd.
Daarmee is ingespeeld op de behoefte van het KLPD, en van
controlerende instanties als de Auditdienst van het Ministerie van
Binnenlandse Zaken, om te komen tot een modern (“state of the art”),
inzichtelijk en beheersbaar autorisatieconcept. Het nieuwe
autorisatieconcept is gebaseerd op “Role-based access control”. Deze
(nieuwe?) methode staat erg in de (internationale) belangstelling. "
nieuwe met vraagteken ?
Voor Christus was men al bekend met "Role-based access control"
immers niet elke idioot mocht het bastion (kasteel) in.
Sinds men op aarde leiders/dictators kent, kent men role-based security.
"Ir. Aart van Dijk RE, voormalig bestuurslid van NGI Regio Den Haag en
NGI afdeling Beheer, is werkzaam als onafhankelijk IT-adviseur/IT-auditor
bij Avédé-Info b.v. te Zoetermeer. Hij heeft bij het KLPD IT-audits uitgevoerd
en is projectleider van het project POTVIS dat de verbetering van de
infrastructuur van SAP R/3 bij het KLPD beoogt. "
Huur Avede-info b.v. te zoetermeer in! (ps ze trappen in de basic scams,
zoals 10 euro betalen voor Internet registratie gidsje.)
Ik vraag me af wat de KLPD er mee opschiet als een tweetal organisaties
die hun ermee hebben geholpen hun met reclame doordrenkte lezing
gaan houden.
Overigens zegt dit zeer veel over de manier waarop Ordina en die
eenmanszaak in de markt staan, of vind men het normaal dat je lezingen
geeft over security die je bij klanten hebt geïmplementeerd?
(btw: was dit een persbericht, of een advertentie, want voor RBAC heb je
geen SAP nodig, in de mainframe wereld is dit al tientallen jaren
doodgewoon.)
in 1992 by Ferraiolo and Kuhn, has become the predominant model for
advanced access control because it reduces the complexity and cost of
security administration in large networked applications.
bron: http://csrc.nist.gov/rbac/
AN INTRODUCTION TO ROLE-BASED ACCESS CONTROL
http://csrc.nist.gov/rbac/NIST-ITL-RBAC-bulletin.html
Overigens was er in de (DoD 5200.28-STD) Orangebook er al min of meer
sprake van:
3.3.3.1.4 Trusted Facility Management
The TCB shall support separate operator and administrator functions. The
functions performed in the role of a security administrator shall be
identified. The ADP system administrative personnel shall only be able to
perform security administrator functions after taking a distinct auditable
action to assume the security administrator role on the ADP system. Non-
security functions that can be performed in the security administration
role shall be limited strictly to those essential to performing the security
role effectively.
http://www.dynamoo.com/orange/fulltext.htm
control. Dit is in het orange book vereist als C level. Maar ook Rule based
of content dependant is een vorm van DAC.
Manadatory access control is in het orange book vereist als B level.
user name & password he? ;-)
If so, afbreken die tent! :P
keycard en begin ajb niet over
bio-faken-kost-toch-al-snel-een-tientje-metrie
een keycard", op een keycard ZIT normaal gesproken OOK nog
eens een PASSWORD dan wel PIN. Verder kan ik een PASSWORD
afkijken, een keycard niet, en als iemand m'n keycard jat
dan WEET ik tenminste dat ie gestolen IS.
Dus, een rare opmerking vind ik het, wat bedoel je nou precies?
En mij hoor je niets zeggen over biometrie in het bijzonder,
echter, wel over multi-factor authentication.
Role based is verder gewoon een andere term voor group
based, de classificatie term is slechts "role" in plaats van
"group", niets geks aan de hand, wilt u alstublieft allen
doorlopen? :-)
Vertel er 'ns wat meer over? Hoe fake je dat dan? Nog nooit
wat over gehoord nl.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
