Adgangskontrol styrer de måder, hvorpå menneskelige og ikke-menneskelige enheder på et givet netværk får adgang til data, it-ressourcer og applikationer.
I henhold til den supplerende vejledning nævner Kontrol 5.15 (men begrænser sig ikke til) fire forskellige typer adgangskontrol, som bredt kan klassificeres som følger:
5.15 er en forebyggende kontrol, der fastholder risiko ved at forbedre en organisations underliggende formåen at kontrollere adgangen til data og aktiver.
5.15 er eksplicit ved at angive, at adgang til ressourcer bør gives og ændres baseret på et konkret sæt af kommercielle og informationsmæssige sikkerhedskrav.
Organisationer bør implementere 5.15 for at lette sikker adgang til data og minimere risikoen for uautoriseret adgang til deres netværk – det være sig fysisk eller virtuelt.
| Kontroltype | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle kapaciteter | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Identitets- og adgangsstyring | #Beskyttelse |
Mens 5.15 er afhængig af, at ledelsespersonale fra forskellige dele af en organisation opretholder en grundig forståelse af, hvem der har brug for adgang til hvilke ressourcer (dvs. HR-information om en medarbejders jobrolle, som igen dikterer deres RBAC-parametre), er adgangsrettigheder i sidste ende en vedligeholdelsesfunktion, der kontrolleres af personale med administrative rettigheder over et givet netværk.
Som sådan bør ejerskabet af 5.15 ligge hos et medlem af den øverste ledelse med overordnet teknisk autoritet på tværs af en organisations domæner, underdomæner, applikationer, ressourcer og aktiver, såsom en IT-chef.
Overholdelse af kontrol 5.15 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til adgangskontrol (mere kendt som en 'problemspecifik' tilgang).
Emnespecifikke tilgange tilskynder organisationer til at skabe Access Kontrolpolitikker der er skræddersyet til individuelle forretningsfunktioner i stedet for at overholde en generel adgangskontrolpolitik, der gælder for data- og ressourceadgang over hele linjen.
Kontrol 5.15 kræver adgangskontrolpolitikker på tværs af alle emnespecifikke områder for at tage de følgende 11 vejledningspunkter i betragtning. Nogle af nedenstående vejledningspunkter skærer hinanden med forskellige andre kontroller, som er angivet til reference.
Organisationer bør konsultere disse medfølgende kontroller fra sag til sag for yderligere information.
Overholdelse – Dette opnås nemt ved at føre en nøjagtig registrering af jobroller og krav til dataadgang, som er i overensstemmelse med din organisationsstruktur.
Overholdelse – En formel risikovurdering kunne udføres for at undersøge de enkelte applikationers sikkerhedskarakteristika.
Overholdelse – Din organisation skal kunne demonstrere, at du har et robust sæt af bygnings- og rumadgangskontroller, herunder administrerede adgangssystemer, sikkerhedsperimetre og besøgsprocedurer, hvor det er relevant.
Overholdelse – Virksomheder bør overholde strenge politikker for bedste praksis, der ikke giver generel adgang til data på tværs af et organisationsdiagram.
Overholdelse – Dataadgangsrettigheder ud over en standardbrugers rettigheder skal være tætte overvåget og revideret.
Overholdelse – Organisationer skræddersyer deres egne adgangskontrolpolitikker i overensstemmelse med eventuelle eksterne forpligtelser, de har med hensyn til data-, aktiv- og ressourceadgang.
Overholdelse – Politikker bør omfatte kontroller, der eliminerer en persons mulighed for at kompromittere en bredere adgangskontrolfunktion baseret på deres egne adgangsniveauer (dvs. en medarbejder, der har evnen til at anmode om, godkende og implementere ændringer i et netværk).
Overholdelse – Adgangskontrolpolitikker skal anerkende, at selv om adgangskontrol er en selvstændig funktion, består den af en række individuelle trin, der bærer deres eget sæt krav på emne-for-emne-basis.
Overholdelse – Organisationer bør implementere en godkendelsesproces, der kræver en formel, dokumenteret godkendelse fra et passende medlem af personalet.
Overholdelse – Dataintegritet og sikkerhedsperimetre skal opretholdes gennem en kontinuerlig cyklus af periodiske revisioner, HR-tilsyn (fralader osv.) og jobspecifikke ændringer (f.eks. afdelingsflytninger og rolleændringer).
Overholdelse – Organisationen bør indsamle og opbevare data om adgangsbegivenheder (f.eks. filaktivitet) sideløbende med sikring mod uautoriseret adgang til sikkerhedshændelseslogfiler og operere med et omfattende sæt af incident management procedurer.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Vi er omkostningseffektive og hurtige
Som vi har diskuteret, gives adgangskontrolregler til forskellige enheder (menneskelige og ikke-menneskelige), der eksisterer på et givet netværk, som igen får "roller", der dikterer deres overordnede krav.
Når din organisation definerer og vedtager sit eget sæt af adgangskontrolpolitikker, beder 5.15 dig om at tage følgende 4 punkter i betragtning:
Kontrol 5.15 er eksplicit i at kræve, at organisationer beskæftiger sig med dokumentation og en struktureret liste over ansvarsområder. ISO 27002 indeholder adskillige lignende krav på tværs af hele listen over kontroller - her er de individuelle kontroller, der er mest relevante for 5.15:
Kontrol 5.15 giver organisationer et betydeligt spillerum, når det kommer til at vælge det granularitetsniveau, der er indeholdt i deres adgangskontrolregler.
ISO råder virksomheder til at udøve deres egen vurdering af, hvor detaljeret et givet regelsæt skal være på medarbejder-for-medarbejder-basis, og hvor mange adgangsvariabler, der anvendes på ethvert stykke data.
5.15 anerkender udtrykkeligt, at jo mere detaljerede en virksomheds adgangskontrolpolitikker er, desto større omkostninger og jo sværere bliver hele konceptet med adgangskontrol på tværs af flere lokationer, netværkstyper og applikationsvariabler.
Adgangskontrol som koncept, medmindre det styres nøje, kan hurtigt komme ud af kontrol. Det er næsten altid en god idé at forenkle reglerne for adgangskontrol for at gøre dem nemmere og mere omkostningseffektive at administrere.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
27002:2013/5.15 er en sammenlægning af to lignende kontroller i 27002:2013 – 9.1.1 (Adgangskontrolpolitik) og 9.1.2 (Adgang til netværk og netværkstjenester).
Generelt behandler både 9.1.1 og 9.1.2 de samme underliggende temaer som 5.15 og følger i store træk det samme sæt retningslinjer for styring med nogle subtile operationelle forskelle.
Både 2022- og 2013-kontrollen beskæftiger sig med administration af adgang til information, aktiver og ressourcer og drift efter et "need to know"-princip, der behandler virksomhedsdata som en vare, der skal styres og beskyttes nøje.
Alle 27002:2013/9.1.1's 11 styrende retningslinjer løber efter de samme generelle linjer, som ses i 27002:2013/5.15, hvor sidstnævnte har en marginalt større vægt på fysisk sikkerhed og perimetersikkerhed.
Understøttende vejledning om implementering af adgangskontrol er stort set den samme, men 2022-kontrollen gør et meget bedre stykke arbejde med at tilbyde kortfattet, praktisk vejledning på tværs af sine 4 implementeringsretningslinjer.
5.15 anerkender de forskellige former for adgangskontrolmetoder, der er opstået i løbet af de sidste 9 år (MAC, DAC, ABAC), hvorimod 27002:2013/9.1.1 begrænser sin vejledning til RBAC – den mest almindelige metode til kommerciel adgangskontrol på det tidspunkt .
I forbindelse med teknologiske ændringer, der giver organisationer større kontrol over deres data, indeholder ingen af kontrollerne fra 2013 nogen meningsfuld vejledning om, hvordan en organisation skal gribe granuleret adgangskontrol til, hvorimod 27002:2013/5.15 giver organisationer et betydeligt spillerum.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
