ISO 27001 – Bilag A.9: Adgangskontrol

Hvad er bilag A.9?

Bilag A.9 handler udelukkende om adgangskontrolprocedurer. Formålet med bilag A.9 er at sikre adgangen til information og sikre, at medarbejderne kun kan se oplysninger, der er relevante for deres arbejde. Denne guide vil tage dig igennem alt, hvad du behøver at vide om bilag A.9.

Bilag A.9 er opdelt i fire sektioner, og du skal gennemarbejde hver enkelt. De er adgangskontrol, brugeradgangsstyring, brugeransvar og applikationsadgangskontrol.

Hvad er formålet med bilag A.9.1?

Bilag A.9.1 handler om forretningskrav til adgangskontrol. Formålet med denne kontrol i bilag A er at begrænse adgangen til informations- og informationsbehandlingsfaciliteter.

Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering. Lad os forstå disse krav og hvad de betyder lidt mere i dybden.

A.9.1.1 Adgangskontrolpolitik

En adgangskontrolpolitik skal etableres, dokumenteres og revideres regelmæssigt under hensyntagen til virksomhedens krav til aktiverne i omfang.

Adgangskontrolregler, rettigheder og begrænsninger sammen med dybden af ​​de anvendte kontroller bør afspejle informationssikkerhedsrisiciene omkring informationen og organisationens appetit på at administrere dem. Kort sagt handler adgangskontrol om, hvem der skal vide, hvem der skal bruge og hvor meget de får adgang til.

Adgangskontrol kan være af digital og fysisk karakter, f.eks. tilladelsesbegrænsninger på brugerkonti samt begrænsninger for, hvem der kan få adgang til bestemte fysiske lokationer (tilpasset bilag A.11 Fysisk og miljømæssig sikkerhed). Politikken skal tage højde for:

• Sikkerhedskrav til forretningsapplikationer og tilpasse sig informationsklassifikationsskemaet i brug i henhold til A.8 Asset Management;
• Afklar, hvem der skal have adgang til, vide, hvem der skal bruge oplysningerne – understøttet af dokumenterede procedurer og ansvar;
• Håndtering af adgangsrettigheder og privilegerede adgangsrettigheder (mere magt – se nedenfor), herunder tilføjelse af ændringer i livet (f.eks. superbrugere/administratorkontroller) og periodiske gennemgange (f.eks. ved regelmæssige interne revisioner i overensstemmelse med krav 9.2.
• Adgangskontrolregler bør understøttes af formelle procedurer og definerede ansvarsområder;

Adgangskontrol skal revideres baseret på ændringer i roller og især under exit, for at tilpasses bilag A.7 Human Resource Security.

A.9.1.2 Adgang til netværk og netværkstjenester

Princippet om mindste adgang er den generelle tilgang, der foretrækkes til beskyttelse, snarere end ubegrænset adgang og superbrugerrettigheder uden omhyggelig overvejelse.

Som sådan bør brugere kun få adgang til det netværk og de netværkstjenester, de skal bruge eller kende til til deres job. Politikken skal derfor tage fat på; De netværk og netværkstjenester, der er adgang til; Autorisationsprocedurer til at vise hvem (rollebaseret) der har adgang til hvad og hvornår; og ledelseskontroller og -procedurer for at forhindre adgang og overvåge den i livet.

Dette skal også overvejes under onboarding og offboarding, og er tæt forbundet med selve adgangskontrolpolitikken.

Hvad er formålet med bilag A.9.2?

Bilag A.9.2 handler om brugeradgangsstyring. Formålet med dette bilag A-kontrol er at sikre, at brugere har tilladelse til at få adgang til systemer og tjenester samt forhindre uautoriseret adgang.

A.9.2.1 Brugerregistrering og afregistrering

En formel brugerregistrerings- og afregistreringsproces skal implementeres. En god proces til administration af bruger-id inkluderer at kunne knytte individuelle ID'er til rigtige mennesker og begrænse delte adgangs-id'er, som skal godkendes og registreres, hvor det gøres.

En god ind- og udgangsproces hænger sammen med A7 Human Resource Security for at vise hurtig og tydelig registrering/afregistrering sammen med undgåelse af genudstedelse af gamle ID'er. En regelmæssig gennemgang af ID'er vil illustrere god kontrol og styrke den løbende ledelse.

Det kan forbindes med de interne revisioner, der er nævnt ovenfor, for adgangskontrolrevisioner og periodiske gennemgange af ejerne af informationsaktivet eller behandlende applikationer.

A.9.2.2 Tildeling af brugeradgang

Der skal implementeres en proces (uanset enkel og dokumenteret) for at tildele eller tilbagekalde adgangsrettigheder for alle brugertyper til alle systemer og tjenester. Udført godt det hænger sammen med ovenstående punkter samt det bredere HR-sikkerhedsarbejde.

Provisionering og tilbagekaldelse bør omfatte; Tilladelse fra ejeren af ​​informationssystemet eller -tjenesten til brug af informationssystemet eller -tjenesten; Verifikation af, at den tildelte adgang er relevant for den rolle, der udføres; og beskyttelse mod at klargøring udføres, før autorisation er fuldført.

Brugeradgang bør altid være forretningsledet og adgang baseret på virksomhedens krav. Dette lyder måske bureaukratisk, men det behøver det ikke at være, og effektive simple procedurer med rollebaseret adgang fra systemer og tjenester kan løse det.

A.9.2.3 Forvaltning af privilegerede adgangsrettigheder

A.9.2.3 handler om at administrere normalt mere kraftfulde og højere 'privilegerede' adgangsniveauer, f.eks. systemadministrationstilladelser kontra normale brugerrettigheder.

Tildelingen og brugen af ​​privilegerede adgangsrettigheder skal kontrolleres nøje i betragtning af de ekstra rettigheder, der normalt overføres til informationsaktiver og de systemer, der kontrollerer dem. For eksempel muligheden for at slette arbejde eller fundamentalt påvirke informationernes integritet. Det bør tilpasses de formelle autorisationsprocesser sammen med adgangskontrolpolitikken.

Det kunne omfatte; system for system klarhed om privilegerede adgangsrettigheder (som kan administreres inde i applikationen); tildeling på basis af behov for brug, ikke en generel tilgang; En proces og registrering af alle tildelte rettigheder bør vedligeholdes (sammen med opgørelsen af ​​informationsaktiver eller som en del af A.9-beviset; og kompetencen hos brugere, der er tildelt rettighederne, skal gennemgås regelmæssigt for at tilpasse sig deres pligter.

Dette er endnu et godt område at inkludere i den interne revision for at demonstrere kontrol.

En af de største medvirkende årsager til fejl eller brud på systemer er uhensigtsmæssig og generel brug af systemadministrationsrettigheder med menneskelige fejl, der fører til mere skade eller tab, end hvis en tilgang med 'mindst adgang' blev taget.

Anden god praksis vedrørende dette område omfatter adskillelsen af ​​systemadministratorrollen fra den daglige brugerrolle og at have en bruger med to konti, hvis de udfører forskellige job på den samme platform.

A.9.2.4 Håndtering af hemmelige autentificeringsoplysninger for brugere

Hemmelige autentificeringsoplysninger er en gateway til at få adgang til værdifulde aktiver. Det inkluderer typisk adgangskoder, krypteringsnøgler osv., så det skal kontrolleres gennem en formel administrationsproces og skal holdes fortroligt for brugeren.

Dette er normalt bundet til ansættelseskontrakter og disciplinære processer (A.7) og leverandørforpligtelser (A13.2.4 og A.15), hvis de deler med eksterne parter.

Der bør etableres procedurer for at verificere en brugers identitet, inden der gives nye, erstatningsmæssige eller midlertidige hemmelige autentificeringsoplysninger. Alle hemmelige standardgodkendelsesoplysninger, der leveres som en del af en ny systembrug, bør ændres så hurtigt som muligt.

A.9.2.5 Gennemgang af brugeradgangsrettigheder

Aktivejere skal gennemgå brugernes adgangsrettigheder med jævne mellemrum, både omkring individuel ændring (onboarding, ændring af rolle og exit) samt bredere revisioner af systemadgangen.

Autorisationer til privilegerede adgangsrettigheder bør revideres med hyppigere intervaller på grund af deres højere risiko. Dette stemmer overens med 9.2 for interne revisioner og bør udføres mindst årligt, eller når der finder større ændringer sted.

A.9.2.6 Fjernelse eller justering af adgangsrettigheder

Som beskrevet ovenfor skal adgangsrettigheder for alle ansatte og eksterne parters brugere til informations- og informationsbehandlingsfaciliteter fjernes ved opsigelse af deres ansættelse, kontrakt eller aftale (eller justeres ved ændring af rolle, hvis det er nødvendigt).

En god exit-politik og -procedurer, der passer sammen med A.7, vil også sikre, at dette opnås og demonstreres til revisionsformål, når folk tager af sted.

Hvad er formålet med bilag A.9.3?

Bilag A.9.3 handler om brugeransvar. Formålet med dette bilag A kontrol er at gøre brugerne ansvarlige for at beskytte deres autentificeringsoplysninger.

A.9.3.1 Brug af hemmelige godkendelsesoplysninger

Dette handler blot om at sikre, at brugerne følger politikkerne og vil derfor tilslutte sig A7 Human Resource Security for kontrakter, brugeruddannelse for bevidsthed og compliance samt sund fornuftspraksis.

Disse omfatter: Hold enhver hemmelig godkendelsesinformation fortrolig; Undgå at føre en fortegnelse over det, som kan tilgås af uautoriserede parter; Skift det, når der er et forslag om muligt kompromis; vælg kvalitetsadgangskoder med tilstrækkelig minimumlængde og styrke til at følge bredere adgangskodepolitikkontroller i bilag A.9.4.

Hvad er formålet med bilag A.9.4?

Bilag A.9.4 handler om system- og applikationsadgangskontrol. Formålet med dette bilag A kontrol er at forhindre uautoriseret adgang til systemer og applikationer.

A.9.4.1 Begrænsning af informationsadgang

Adgang til information og applikationssystemfunktioner skal være knyttet til adgangskontrolpolitikken. Nøgleovervejelser bør omfatte:

Disse omfatter:

• Rollebaseret adgangskontrol (RBAC);
• Adgangsniveauer;
• Design af "menu"-systemer inden for applikationer;
• Læs, skriv, slet og eksekver tilladelser;
• Begrænsning af output af information; og
• Fysiske og/eller logiske adgangskontroller til følsomme applikationer, data og systemer.

Revisor vil kontrollere, at der er taget hensyn til at begrænse adgangen inden for systemer og applikationer, der understøtter adgangskontrolpolitikker, forretningskrav, risikoniveauer og adskillelse af opgaver.

A.9.4.2 Sikker log-on-procedurer

Adgang til systemer og applikationer skal kontrolleres af en sikker log-on procedure for at bevise brugerens identitet.

Dette kan gå ud over den typiske adgangskodetilgang til multifaktorautentificering, biometri, smartkort og andre krypteringsmetoder baseret på den risiko, der tages i betragtning.

Sikker log-on bør designes, så den ikke let kan omgås, og at enhver autentificeringsinformation transmitteres og opbevares krypteret for at forhindre aflytning og misbrug.

ISO 27002-vejledning er vigtig omkring dette emne, ligesom specialistorganer som National Cyber ​​Security Center (NCSC). Yderligere tips omfatter:

• Log-on-procedurer bør udformes, så de ikke let kan omgås, og at enhver autentificeringsinformation transmitteres og opbevares krypteret for at forhindre aflytning og misbrug.
• Log-on-procedurer bør også omfatte et display, der angiver, at adgang kun er for autoriserede brugere. Dette er designet til at understøtte cybersikkerhedslovgivning som f.eks
• Computer Misuse Act 1990 (UK).
• Både et vellykket og mislykket log-on og log-off skal logges på en sikker måde for at give retsmedicinsk bevisevne, og advarsler om mislykkede forsøg og mulige lock-outs bør overvejes.
• Afhængigt af systemets art bør adgangen begrænses til bestemte tidspunkter på dagen eller tidsperioder og potentielt endda være begrænset i henhold til placering.

I praksis bør de forretningsmæssige behov og informationer, der er i fare, drive log på og af-procedurerne. Det er ikke værd at have 25 trin til at logge på, så have hurtige timeouts osv., hvis personalet så ikke er i stand til at udføre deres arbejde godt og bruger uforholdsmæssig meget tid i denne løkke.

A.9.4.3 Password Management System

Formålet med et password management system er at sikre kvalitetsadgangskoder opfylder det krævede niveau og anvendes konsekvent.

Adgangskodegenerering og administrationssystemer giver en god måde at centralisere leveringen af ​​adgang på, og de tjener til at reducere risikoen for, at folk bruger det samme login til alting, som illustreret i denne lille historie om, hvad der sker, når en kunde kontakter vores team om en glemt adgangskode !

Som med enhver kontrolmekanisme skal adgangskodegenerering og -administrationssystemer implementeres omhyggeligt for at sikre tilstrækkelige og forholdsmæssige niveauer af beskyttelse.

Hvor det er muligt, bør brugere kunne vælge deres egne adgangskoder, da dette gør dem nemmere at huske end maskingenererede, men det skal være op til et vist niveau af styrke.

Der er masser af modstridende synspunkter om adgangskodestyringssystemer og adgangskodepolitikker, så vi opfordrer organisationer til at se på de hyppigt skiftende bedste praksisser og vedtage tilgange baseret på organisationens risikovillighed og kultur.

Som nævnt ovenfor er NCSC et godt sted at gennemgå den seneste praksis eller blot bede os om at introducere dig til en af ​​vores partnere for at få hjælp.

A.9.4.4 Brug af privilegerede hjælpeprogrammer

Hjælpecomputerprogrammer, der kan være i stand til at tilsidesætte system- og applikationskontroller, skal administreres omhyggeligt.

Kraftfulde system- og netværksprogrammer kan skabe et attraktivt mål for ondsindede angribere, og adgangen til dem skal begrænses til det mindste antal personer. Da sådanne hjælpeprogrammer nemt kan lokaliseres og downloades fra internettet, er det også vigtigt, at brugere begrænses i deres evne til at installere software så meget som muligt afvejet i forhold til forretningskrav og risikovurdering. Brug af hjælpeprogrammer skal logges og overvåges/gennemgås med jævne mellemrum for at imødekomme revisoranmodninger.

A.9.4.5 Adgangskontrol til programkildekode

Adgang til programmets kildekode skal være begrænset. Adgang til programmets kildekode og tilhørende elementer (såsom design, specifikationer, verifikationsplaner og valideringsplaner) bør kontrolleres strengt.

Programkildekode kan være sårbar over for angreb, hvis den ikke er tilstrækkeligt beskyttet, og kan give en angriber et godt middel til at kompromittere systemer på en ofte skjult måde. Hvis kildekoden er central for virksomhedens succes, kan dets tab også hurtigt ødelægge forretningsværdien.

Kontroller bør omfatte hensyn til:

• Så få mennesker som muligt har adgang
• Holde kildekoden væk fra operationelle systemer (kun kompileret kode)
• Adgang til kildekoden er så begrænset som muligt (deny-by-default)
• Adgang til kildekode, der logges, og logfilerne gennemgås med jævne mellemrum
• Stærke og strenge ændringskontrolprocedurer
• Hyppige revisioner og anmeldelser

Hvorfor er bilag A.9 vigtigt?

Bilag A.9 er sandsynligvis den mest omtalte klausul i hele bilag A, og nogle vil hævde, at den er den vigtigste.

Dette skyldes, at hele dit Information Security Management System (ISMS) er baseret på at sikre, at de rigtige personer har adgang til den rigtige information på det rigtige tidspunkt. At få det rigtigt er en af ​​nøglerne til succes, men at gøre det forkert kan have en enorm indflydelse på din virksomhed.

Forestil dig, hvis du ved et uheld gav adgang til fortrolige medarbejderoplysninger til de forkerte personer, som f.eks. at afsløre, hvad alle i virksomheden får betalt.

Konsekvenserne af at få denne del forkert kan være betydelige, så det er værd at bruge tilstrækkelig tid på at tænke det hele igennem.