ISO 27001:2022 Bilag A 5.15 – Adgangskontrol

Adgangskontrolpolitik

For at administrere adgang til aktiver inden for rammerne af en organisation skal en adgangskontrolpolitik udvikles, dokumenteres og periodisk revideres.

Adgangskontrol styrer, hvordan menneskelige og ikke-menneskelige enheder på et netværk får adgang til data, it-ressourcer og applikationer.

Informationssikkerhedsrisici forbundet med informationen og organisationens appetit på at administrere dem bør afspejles i de regler, rettigheder og begrænsninger og dybden af ​​de anvendte kontroller. Det er simpelthen et spørgsmål om at beslutte, hvem der har adgang til hvad, hvor meget, og hvem der ikke har.

Det er muligt at opsætte digitale og fysiske adgangskontroller, såsom begrænsning af brugerkontotilladelser eller begrænsning af adgang til specifikke fysiske lokationer (tilpasset bilag A.7 Fysisk og miljømæssig sikkerhed). Politikken bør tage følgende hensyn:

• Det er vigtigt at tilpasse sikkerhedskravene til forretningsapplikationer med informationsklassifikationsskemaet, der er i brug i henhold til bilag A 5.9, 5.10, 5.11, 5.12, 5.13 og 7.10 vedrørende Asset Management.
• Identificer, hvem der kræver adgang til, viden om og brug af information – ledsaget af klart definerede procedurer og ansvar.
• Sørg for, at adgangsrettigheder og privilegier adgangsrettigheder (mere magt – se nedenfor) administreres effektivt, herunder tilføjelse af ændringer i livet (f.eks. kontroller for superbrugere/administratorer) og periodiske gennemgange (f.eks. periodiske interne revisioner pr. krav Bilag A 5.15, 5.16, 5.17, 5.18 og 8.2).
• En formel procedure og definerede ansvarsområder bør understøtte adgangskontrolreglerne.

Det er afgørende at gennemgå adgangskontrol efterhånden som roller ændres, især under udgange, for at overholde bilag A.7 Human Resource Security.

Netværk og netværkstjenester er tilgængelige for brugere

En generel tilgang til beskyttelse er mindst adgang snarere end ubegrænset adgang og superbrugerrettigheder uden nøje overvejelse.

Brugere bør derfor kun have adgang til netværk og netværkstjenester forpligtet til at opfylde deres ansvar. Politikken skal tage fat på; De netværk og netværkstjenester, der er adgang til; Autorisationsprocedurer til at vise hvem (rollebaseret) der har adgang til hvad og hvornår; og ledelseskontroller og -procedurer for at forhindre adgang og overvåge den i tilfælde af en hændelse.

On- og off-boarding bør også tage hensyn til dette spørgsmål, som er tæt forbundet med adgangskontrolpolitikken.

Formål med ISO 27001:2022 bilag A 5.15

Som en forebyggende kontrol forbedrer bilag A 5.15 en organisations underliggende evne til at kontrollere adgangen til data og aktiver.

Et konkret sæt af kommerciel og informationssikkerhed behov skal opfyldes, før der kan gives adgang til ressourcer og ændres i henhold til bilag A Kontrol 5.15.

ISO 27001 Annex A 5.15 giver retningslinjer for at lette sikker adgang til data og minimere risikoen for uautoriseret adgang til fysiske og virtuelle netværk.

Ejerskab af bilag A 5.15

Som vist i bilag A 5.15 er ledelsespersonale på tværs af forskellige dele af en organisationen skal bevare en grundig forståelse af hvilke ressourcer der skal tilgås (f.eks. Ud over at HR informerer medarbejderne om deres jobroller, som dikterer deres RBAC-parametre, er adgangsrettigheder i sidste ende en vedligeholdelsesfunktion, der kontrolleres af netværksadministratorer.

En organisations bilag A 5.15 ejerskab bør ligge hos et medlem af den øverste ledelse, som har overordnet teknisk myndighed over virksomhedens domæner, underdomæner, applikationer, ressourcer og aktiver. Dette kunne være IT-chefen.

Generel vejledning om ISO 27001:2022 bilag 5.15

En emnespecifik tilgang til adgangskontrol er påkrævet for at overholde ISO 27001:2022 Bilag A Kontrol 5.15 (mere kendt som en problemspecifik tilgang).

I stedet for at overholde en overordnet adgangskontrolpolitik, der gælder for ressource- og dataadgang på tværs af organisationen, tilskynder emnespecifikke tilgange organisationer til at oprette adgangskontrolpolitikker rettet mod individuelle forretningsfunktioner.

På tværs af alle emnespecifikke områder kræver bilag A Kontrol 5.15, at politikker vedrørende adgangskontrol skal tage højde for de 11 punkter nedenfor. Nogle af disse retningslinjer overlapper med andre politikker.

Som en retningslinje bør organisationer konsultere de medfølgende kontroller for yderligere oplysninger fra sag til sag:

• Identificer, hvilke enheder der kræver adgang til visse aktiver og oplysninger.
• Vedligeholdelse af en registrering af jobroller og krav til dataadgang i overensstemmelse med organisationsstrukturen i din organisation er den nemmeste måde at sikre overholdelse.
• Sikkerhed og integritet af alle relevante applikationer (linket til kontrol 8.2).
• En formel risikovurdering kunne udføres for at vurdere de enkelte applikationers sikkerhedskarakteristika.
• Kontrol af fysisk adgang til et websted (links til kontrol 7.2, 7.3 og 7.4).
• Som en del af dit overholdelsesprogram skal din organisation demonstrere et robust sæt af bygnings- og rumadgangskontroller, herunder administrerede adgangssystemer, sikkerhedsperimetre og besøgsprocedurer, hvor det er relevant.
• Når det kommer til distribution, sikkerhed og kategorisering af information, bør "need to know"-princippet anvendes i hele organisationen (linket til 5.10, 5.12 og 5.13).
• Virksomheder bør overholde strenge politikker for bedste praksis, der ikke giver generel adgang til data på tværs af en organisations hierarki.
• Sørg for, at privilegerede adgangsrettigheder er begrænset (relateret til 8.2).
• Adgangsrettighederne for brugere, der får adgang til data ud over en standardbrugers, skal overvåges og revideres.
• Sikre overholdelse af enhver gældende lovgivning, sektorspecifikke regulatoriske retningslinjer eller kontraktlige forpligtelser i forbindelse med dataadgang (se 5.31, 5.32, 5.33, 5.34 og 8.3).
• En organisations adgangskontrolpolitikker tilpasses i henhold til eksterne forpligtelser vedrørende dataadgang, aktiver og ressourcer.
• Hold øje med potentielle interessekonflikter.
• Politikkerne bør omfatte kontroller for at forhindre en person i at kompromittere en bredere adgangskontrolfunktion baseret på deres adgangsniveauer (dvs. en medarbejder, der kan anmode om, godkende og implementere ændringer til et netværk).
• En adgangskontrolpolitik bør behandle de tre hovedfunktioner – anmodninger, tilladelser og administration – uafhængigt.
• En politik for adgangskontrol skal anerkende, at den på trods af dens selvstændige karakter omfatter flere individuelle trin, der hver indeholder sine krav.
• For at sikre overholdelse af kravene i 5.16 og 5.18 bør adgangsanmodninger udføres på en struktureret, formel måde.
• Organisationer bør implementere formelle autorisationsprocesser, der kræver formel, dokumenteret godkendelse fra det relevante personale.
• Håndtering af adgangsrettigheder løbende (linket til 5.18).
• For at vedligeholde dataintegritet og sikkerhedsperimetre kræves periodiske revisioner, HR-tilsyn (fralader osv.) og jobspecifikke ændringer (f.eks. afdelingsflytninger og ændringer af roller).
• Vedligeholdelse af passende logfiler og kontrol af adgang til dem. omfattende hændelseshåndtering strategi.

Supplerende vejledning om bilag 5.15

I henhold til den supplerende vejledning nævner ISO 27001:2022 Bilag A Kontrol 5.15 (uden at begrænse sig til) fire forskellige typer adgangskontrol, som bredt kan klassificeres som følger:

• Mandatory Access Control (MAC) – Adgang administreres centralt af en enkelt sikkerhedsmyndighed.
• Et alternativ til MAC er diskretionær adgangskontrol (DAC), hvor ejeren af ​​objektet kan give andre privilegier inden for objektet.
• Et adgangskontrolsystem baseret på foruddefinerede jobfunktioner og privilegier kaldes rollebaseret adgangskontrol (RBAC).
• Ved at bruge ABAC (Attribute-Based Access Control) tildeles brugeradgangsrettigheder baseret på politikker, der kombinerer attributter.

Retningslinjer for implementering af adgangskontrolregler

Vi har diskuteret regler for adgangskontrol som værende givet til forskellige enheder (menneskelige og ikke-menneskelige), der opererer inden for et netværk, som tildeles roller, der definerer deres overordnede funktion.

Når du definerer og implementerer din organisations adgangskontrolpolitikker, anmoder bilag A 5.15 dig om at overveje følgende fire faktorer:

1. Der skal opretholdes overensstemmelse mellem de data, som adgangsretten gælder for, og typen af ​​adgangsret.
2. Det er vigtigt at sikre overensstemmelse mellem din organisations adgangsrettigheder og fysiske sikkerhedskrav (perimeter osv.).
3. Adgangsrettigheder i et distribueret computermiljø (såsom et cloudbaseret miljø) tager hensyn til implikationerne af data, der findes på tværs af et bredt spektrum af netværk.
4. Overvej implikationerne af dynamisk adgangskontrol (en granulær metode til at få adgang til et detaljeret sæt variabler implementeret af en systemadministrator).

Definition af ansvar og dokumentation af processen

I henhold til ISO 27001:2022 Bilag A Kontrol 5.15 skal organisationer udvikle og vedligeholde en struktureret liste over ansvarsområder og dokumentation. Der er adskillige ligheder mellem hele ISO 27001:2022's liste over kontroller, hvor bilag A 5.15 indeholder de mest relevante krav:

Dokumentation

• ISO 27001:2022 Bilag A 5.16
• ISO 27001:2022 Bilag A 5.17
• ISO 27001:2022 Bilag A 5.18
• ISO 27001:2022 Bilag A 8.2
• ISO 27001:2022 Bilag A 8.3
• ISO 27001:2022 Bilag A 8.4
• ISO 27001:2022 Bilag A 8.5
• ISO 27001:2022 Bilag A 8.18

ansvar

• ISO 27001:2022 Bilag A 5.2
• ISO 27001:2022 Bilag A 5.17

granularitet

Kontrol 5.15 i bilag A giver organisationer betydelig frihed til at specificere detaljeret i deres adgangskontrolpolitikker.

Generelt råder ISO virksomheder til at bruge deres dømmekraft med hensyn til, hvor detaljeret et givet regelsæt skal være på medarbejder-for-medarbejder-basis, og hvor mange variabler der skal anvendes på en given information.

Specifikt anerkender bilag A 5.15, at jo mere detaljerede en virksomheds adgangskontrolpolitikker er, jo større omkostninger og jo mere udfordrende bliver konceptet for adgangskontrol på tværs af flere lokationer, netværkstyper og applikationsvariabler.

Adgangskontrol, medmindre den styres omhyggeligt, kan komme ud af hånden meget hurtigt. Det er klogt at forenkle adgangskontrolreglerne for at sikre, at de er nemmere at administrere og mere omkostningseffektive.

Casestudier

MIRACL gør tillid til en konkurrencefordel med ISO 27001-certificering

Læs casestudie

Casestudier

Xergys værktøj Proteus genererer vækst gennem ISO 27001 overholdelse ved hjælp af ISMS.online

Læs casestudie

← →

Hvad er ændringerne fra ISO 27001:2013?

Bilag A 5.15 i 27001:2022 er en sammenlægning af to lignende kontroller i 27001:2013 – Bilag A 9.1.1 (Adgangskontrolpolitik) og bilag A 9.1.2 (Adgang til netværk og netværkstjenester).

De underliggende temaer i A.9.1.1 og A.9.1.2 ligner dem i bilag A 5.15, bortset fra nogle subtile operationelle forskelle.

Som i 2022 vedrører begge kontroller administration af adgang til information, aktiver og ressourcer og fungerer efter princippet om "need to know", hvor virksomhedsdata behandles som en vare, der kræver omhyggelig styring og beskyttelse.

Der er 11 styrende retningslinjer i 27001:2013 Bilag A 9.1.1, som alle følger de samme generelle principper som 27001:2022 Bilag A Kontrol 5.15 med lidt større vægt på perimetersikring og fysisk sikring.

Der er generelt de samme implementeringsretningslinjer for adgangskontrol, men 2022-kontrollen giver meget mere kortfattet og praktisk vejledning på tværs af dens fire implementeringsvejledninger.

Typer af adgangskontrol brugt i ISO 27001:2013 Annex A 9.1.1 Er ændret

Som angivet i ISO 27001 Annex A 5.15 er der opstået forskellige former for adgangskontrol i løbet af de sidste ni år (MAC, DAC, ABAC), hvorimod i 27001:2013 Annex A Control 9.1.1, den primære metode til kommerciel adgangskontrol tid var RBAC.

Granularitetsniveau

2013-kontrollerne skal indeholde meningsfulde retningslinjer for, hvordan en organisation bør gribe detaljerede adgangskontroller an i lyset af teknologiske ændringer, der giver organisationer øget kontrol over deres data.

I modsætning hertil giver bilag A 5.15 til 27001:2022 organisationer en betydelig fleksibilitet.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvordan kan ISMS.online hjælpe?

Bilag A 5.15 i ISO 27001:2022 er sandsynligvis den mest omtalte klausul i bilag A, og nogle hævder, at den er den mest betydningsfulde.

Dit Information Security Management System (ISMS) har til formål at sikre, at de relevante personer har adgang til de korrekte oplysninger på det rigtige tidspunkt. En af nøglerne til succes er at få det rigtige, men at gøre det forkert kan påvirke din virksomhed negativt.

Overvej scenariet, hvor du ved et uheld afslørede fortrolige medarbejderoplysninger til de forkerte personer, såsom hvad alle i organisationen får betalt.

Hvis du ikke er forsigtig, kan konsekvenserne af at få denne del forkert være alvorlige. Derfor er det bydende nødvendigt at tage sig tid til nøje at overveje alle aspekter, før du fortsætter.

I denne forbindelse vores platform kan være et reelt aktiv. Det er fordi det følger hele strukturen i ISO 27001 og giver dig mulighed for at adoptere, tilpasse og berige det indhold, vi leverer til dig, hvilket giver dig et betydeligt forspring.

Få et gratis demo fra ISMS.online i dag.