ISO 27001:2022 Bilag A 5.16 – Identitetsstyring

Hvad gør ISO 27001:2022 Annex A 5.16?

Formålet med bilag A 5.16 er at beskrive, hvordan en organisation kan identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) får adgang til data eller it-aktiver på ethvert givet tidspunkt, og hvordan disse identiteter tildeles adgangsrettigheder.

Som en forebyggende foranstaltning har bilag A 5.16 til formål at fastholde risikoen ved at etablere hovedomkredsen for al relateret informationssikkerhed og cybersikkerhedsoperationer, såvel som den primære styringsform, der bestemmer en organisations identitets- og adgangsstyringsproces.

Ejerskab af bilag A 5.16

I betragtning af at ISO 27001:2022 Bilag A 5.16 tjener som en primær vedligeholdelsesfunktion, bør ejerskab gives til it-personale med globale administratorrettigheder (eller tilsvarende for ikke-Windows-infrastruktur).

Ud over andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (såsom domæneadministrator), bør bilag A 5.16 ejes af den person, der er ansvarlig for hele organisationens netværk, inklusive alle underdomæner og Active Directory-lejere.

Generel vejledning om ISO 27001:2022 Bilag A 5.16

Overholdelse af bilag A 5.16 opnås ved at udtrykke identitetsbaserede procedurer klart i politikdokumenter og overvåge medarbejdernes overholdelse på daglig basis.

Seks procedurer er anført i bilag A 5.16 for at sikre, at en organisation opfylder de nødvendige standarder for infosec og cybersikkerhedsstyring:

1. Når en person tildeles en identitet, er denne person den eneste, der kan autentificere med denne identitet og/eller bruge den, når den tilgår netværksressourcer.

Opnåelse af overholdelse betyder, at it-politikker klart skal foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået.

2. I nogle tilfælde kan det være nødvendigt at tildele en enkelt identitet til flere personer, også kendt som en 'delt identitet'. Brug kun denne tilgang, når der er behov for et eksplicit sæt operationelle krav.

For at opnå overholdelse bør registrering af delte identiteter håndteres adskilt fra enkeltbrugerregistrering med en dedikeret godkendelsesproces.

3. 'Ikke-menneskelige' enheder (enhver identitet, der ikke er knyttet til en rigtig person) bør behandles anderledes end brugerbaserede identiteter ved registrering.

En ikke-menneskelig identitet bør også have sin egen godkendelses- og registreringsproces, der anerkender den grundlæggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.

4. I tilfælde af en afgang, overflødige aktiver eller andre ikke-påkrævede identiteter, bør en netværksadministrator deaktivere dem eller fjerne dem fuldstændigt.

IT-afdelingen bør udføre regelmæssige revisioner for at afgøre, hvilke identiteter der bruges, og hvilke enheder der kan suspenderes eller slettes. Det er vigtigt for HR-medarbejdere at inkludere identitetsstyring i offboarding-procedurer og at informere IT-medarbejdere med det samme, når en forlader forlader.

5. Det er bydende nødvendigt at undgå duplikerede identiteter for enhver pris. En regel om "én enhed, én identitet" bør følges af alle organisationer.

For at overholde dette bør it-personale sikre, at enheder ikke modtager adgangsrettigheder baseret på mere end én identitet, når de tildeler roller på tværs af et netværk.

6. Identitetsstyring og godkendelsesoplysninger bør dokumenteres tilstrækkeligt for alle 'væsentlige begivenheder'.

Det er muligt at fortolke udtrykket "betydelig begivenhed" forskelligt, men på et grundlæggende niveau skal organisationer sørge for, at deres styringsprocedurer omfatter en omfattende liste over tildelte identiteter på et givet tidspunkt, robuste ændringsanmodningsprotokoller med passende godkendelsesprocedurer og en godkendt ændringsanmodningsprotokol.

Yderligere supplerende vejledning til bilag A 5.16

Når du opretter en identitet og giver den adgang til netværksressourcer, angiver bilag A 5.16 også fire trin, som virksomheder skal følge (ændring eller fjernelse af adgangsrettigheder er vist i ISO 27001:2022 Bilag A 5.18):

1. Inden du opretter en identitet, skal du etablere en business case.

Hver gang en identitet skabes, bliver identitetsstyring eksponentielt mere udfordrende. Det er tilrådeligt for organisationer kun at skabe nye identiteter, når det er klart nødvendigt.

2. Sørg for, at den enhed (menneskelige eller ikke-menneskelige), der er tildelt en identitet, er blevet uafhængigt verificeret.

Identitets- og adgangsstyringsprocedurer bør sikre, at en person eller et aktiv, der modtager nye identiteter, har den nødvendige autoritet, før en identitet oprettes, når først business casen er blevet godkendt.

3. Oprettelse af en identitet

Dine it-medarbejdere skal opbygge en identitet i tråd med business casen krav, og det bør begrænses til det, der er skitseret i enhver ændringsanmodningsdokumentation.

4. De endelige konfigurationstrin for en identitet

Som det sidste trin i processen tildeles en identitet til hver af dens adgangsbaserede tilladelser og roller (RBAC) samt eventuelle nødvendige godkendelsestjenester.

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001: 2022 Bilag A 5.16 erstatter ISO 27001:2013 A.9.2.1 (tidligere kendt som 'Brugerregistrering og afregistrering').

Mens de to kontroller deler nogle slående ligheder - primært i vedligeholdelsesprotokoller og deaktivering af redundante ID'er - indeholder bilag A 5.16 et omfattende sæt retningslinjer, der omhandler identitets- og adgangsstyring som helhed.

Bilag A 5.16 Menneskelige vs. ikke-menneskelige identiteter forklaret

Der er nogle forskelle mellem 2022-bilaget og dets forgænger, idet på trods af forskelle i registreringsprocesser, behandles mennesker og ikke-mennesker ikke længere separat, når det kommer til generel netværksadministration.

Det er blevet mere almindeligt i IT-styring og retningslinjer for bedste praksis at tale om menneskelige og ikke-menneskelige identiteter i flæng siden fremkomsten af ​​moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller.

I bilag A 9.2.1 til ISO 27001:2013 er der ingen vejledning i, hvordan man administrerer ikke-menneskelige identiteter, og teksten handler kun om at administrere, hvad den kalder "Bruger-ID'er" (dvs. login-oplysninger sammen med en adgangskode, der bruges for at få adgang til et netværk).

ISO 27001:2022 Bilag A 5.16 Dokumentation

Bilag A 5.16 giver eksplicit vejledning om både de generelle sikkerhedsimplikationer af identitetsstyring, og hvordan organisationer bør registrere og behandle information forud for tildelingen af ​​identiteter, såvel som gennem hele identitetens livscyklus.

Til sammenligning nævner ISO 27001:2013 A.9.2.1 kun kort den IT-styringsrolle, der omgiver administrationen af ​​identiteter, og begrænser sig til den fysiske praksis med identitetsadministration.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvordan ISMS.online hjælper dig med at opnå Annex A 5.16 Overholdelse

Så længe du opdaterer dit sikkerhedsstyringssystems processer for at afspejle de forbedrede kontroller, vil du være i overensstemmelse med ISO 27001:2022. Dette kan ISMS.online håndtere, hvis du ikke har de nødvendige ressourcer i hus.

Vi forenkler implementeringen af ​​ISO 27001:2022 gennem vores intuitive arbejdsgang og værktøjer, herunder rammer, politikker, kontroller, handlingsvenlig dokumentation og vejledning. Med vores cloud-baserede software kan du administrere alle dine ISMS løsninger på ét sted.

Vores platform giver dig mulighed for at definere omfanget af din ismer, identificere risici og implementere kontroller nemt.

For at lære mere om, hvordan ISMS.online kan hjælpe dig med at nå dine ISO 27001-mål, bedes du kontakt os i dag for at bestille en demo.