ISO 27002:2022, Kontrol 5.16 – Identitetsstyring

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderede kontroller

tæt,op,på,hænder,på,en,sort,afrikansk,amerikansk,mand

close,up,on,hands,of,a,black,african,american,man

Identiteter bruges af computernetværk til at identificere en enheds (en bruger, gruppe af brugere, enhed eller it-aktiv) underliggende evne til at få adgang til et forudbestemt sæt hardware- og softwareressourcer.

Kontrol 5.16 omhandler godkendelse, registrering og administration – defineret som den 'fulde livscyklus' – af menneskelige og ikke-menneskelige identiteter på et givet netværk.

Formål

5.16 omhandler en organisations evne til at identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) der til enhver tid får adgang til data eller it-aktiver, og hvordan disse identiteter tildeles adgangsrettigheder på tværs af netværket.

5.16 er en forebyggende kontrol, der fastholder risiko ved at fungere som hovedperimeter for alle tilknyttede informationssikkerhed og cybersikkerhed operationer, såvel som den primære styringsmåde, der dikterer en organisations Identity and Access Management-ramme.

Attributter tabel

Kontroltype	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle kapaciteter	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed #Integritet #Tilgængelighed	#Beskytte	#Identitets- og adgangsstyring	#Beskyttelse

Ejerskab

Da 5.16 tjener det, der primært er en vedligeholdelsesfunktion, bør ejerskabet rettes mod it-personale, som er blevet tildelt globale administratorrettigheder (eller tilsvarende for ikke-Windows-baseret infrastruktur).

Mens der er andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (f.eks. domæneadministrator), bør ejerskabet af 5.16 ligge hos den person, der har den ultimative ansvar for hele en organisations netværk, inklusive alle underdomæner og Active Directory-lejere.

Gå til emne

Formål med kontrol
Kontrolegenskaber
Ejerskab af kontrol
Generel vejledning
Supplerende vejledning
Ændringer fra ISO 27002:2013
Dokumentation

Få et forspring på ISO 27001

Alt sammen opdateret med 2022 kontrolsættet
Foretag 81 % fremskridt fra det øjeblik, du logger ind
Enkel og nem at bruge

Book din demo

Generel vejledning

Overholdelse af kontrol 5.16 opnås gennem en kombination af at sikre, at identitetsbaserede procedurer er klart formuleret i politiske dokumenter, og overvågning af den daglige overholdelse blandt personalet.

5.16 angiver seks hovedprocedurer, som en organisation skal følge for at opfylde de nødvendige standarder for infosec og cybersikkerhedsstyring:

Hvor identiteter er tildelt en person, er det kun den specifikke person, der har tilladelse til at autentificere med og/eller bruge denne identitet, når han får adgang til netværksressourcer.

Overholdelse – IT-politikker skal klart foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået tildelt.
Nogle gange kan det være nødvendigt at tildele en identitet til flere personer – også kendt som en 'delt identitet'. Denne tilgang bør bruges sparsomt og kun for at opfylde et eksplicit sæt operationelle krav.

Overholdelse – Organisationer bør behandle registreringen af delte identiteter som en separat procedure for enkeltbrugeridentiteter med en dedikeret godkendelsesworkflow.
Såkaldte 'ikke-menneskelige' enheder (som navnet antyder, enhver identitet, der ikke er knyttet til en faktisk bruger) bør betragtes anderledes end brugerbaserede identiteter på registreringsstedet.

Overholdelse – Som med delte identiteter bør ikke-menneskelige identiteter til gengæld have deres egen godkendelses- og registreringsproces, der anerkender den underliggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.
Identiteter, der ikke længere er påkrævet (leavers, redundante aktiver osv.) bør deaktiveres af en netværksadministrator eller fjernes fuldstændigt efter behov.

Overholdelse – IT-personale bør udfører regelmæssige revisioner at angive identiteter i rækkefølge af brug, og identificere hvilke enheder (menneskelige eller ikke-menneskelige) der kan suspenderes eller slettes. HR-medarbejdere bør inkludere identitetsstyring i deres offboarding-procedurer og informere IT-medarbejdere om forladere i tide.
Duplikerede identiteter bør undgås for enhver pris. Virksomheder bør overholde en regel om "én enhed, én identitet" over hele linjen.

Overholdelse – IT-medarbejdere bør forblive på vagt, når de tildeler roller på tværs af et netværk, og sikre, at enheder ikke tildeles adgangsrettigheder baseret på flere identiteter.
Der bør føres tilstrækkelige registre over alle "væsentlige begivenheder" vedrørende identitetshåndtering og autentificeringsoplysninger.

Overholdelse – Begrebet 'væsentlig begivenhed' kan fortolkes på forskellige måder, men på et grundlæggende niveau organisationer har brug for at sikre, at deres styringsprocedurer omfatter identitetsregistreringsdokumentation, robuste ændringsanmodningsprotokoller med en passende godkendelsesprocedure og evnen til at producere en omfattende liste over tildelte identiteter på ethvert givet tidspunkt.

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Opdateret til ISO 27001 2022

81 % af arbejdet udført for dig
Assured Results Metode til certificeringssucces
Spar tid, penge og besvær

Book din demo

Supplerende vejledning

Ud over de seks vigtigste operationelle overvejelser oplister 5.16 også fire trin, som organisationer skal følge, når de opretter en identitet og tildeler den adgang til netværksressourcer (ændring eller fjernelse af adgangsrettigheder behandles i kontrol 5.18):

Opret en business case før en identitet bliver skabt

Overholdelse – Det er vigtigt at erkende, at identitetsstyring bliver eksponentielt vanskeligere for hver ny identitet, der skabes. Organisationer bør kun skabe nye identiteter, når der er et klart behov for det.
Sørg for, at den enhed, der bliver tildelt identiteten (menneskelig eller ikke-menneskelig), er blevet uafhængigt verificeret.

Overholdelse – Når en business case er blevet godkendt, bør identitets- og adgangsstyringsprocedurer indeholde trin til at sikre, at den person eller aktiv, der modtager en ny identitet, har den nødvendige autoritet til at gøre det, før en identitet oprettes.
Etablering af en identitet

Når enheden er blevet verificeret, bør it-medarbejdere oprette en identitet, der er i overensstemmelse med business case-kravene og er begrænset til, hvad der er angivet i eventuelle ændringsanmodningsdokumenter.
Endelig konfiguration og aktivering

Finalen trin i processen involverer tildele en identitet til dens forskellige adgangsbaserede tilladelser og roller (RBAC) og eventuelle tilknyttede godkendelsestjenester, der er påkrævet.

Ændringer fra ISO 27002:2013

Generelt

27002:2022 / 5.16 erstatter 27002:2013/9.2.1 (Brugerregistrering og afregistrering) – som selv udgjorde en del af 27002:2013's kontrolsæt for brugeradgangsstyring. Selvom der er nogle ligheder mellem de to kontroller – for det meste i vedligeholdelsesprotokoller og deaktivering af redundante id'er – indeholder 5.16 et langt mere omfattende sæt retningslinjer, der søger at adressere Identity and Access Management som et end-to-end koncept.

Menneskelige vs. ikke-menneskelige identiteter

Den største forskel mellem 2022-kontrollen og dens 2013-forgænger er erkendelsen af, at selvom der er forskelle i registreringsprocessen, behandles menneskelige og ikke-menneskelige identiteter ikke længere adskilt fra hinanden af generelle netværksadministrationsformål.

Med begyndelsen af moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller taler IT-styring og retningslinjer for bedste praksis om menneskelige og ikke-menneskelige identiteter mere eller mindre i flæng. 27002:2013/9.2.1 indeholder ingen vejledning om, hvordan man administrerer ikke-menneskelige identiteter, og beskæftiger sig udelukkende med administrationen af, hvad det refererer til som "bruger-id'er" (dvs. loginoplysninger, der bruges til at få adgang til et netværk, sammen med en adgangskode).

Dokumentation

Som vi har set, indeholder 27002:2013/5.16 eksplicit vejledning om ikke kun de generelle sikkerhedsimplikationer af identitetsstyring, men også hvordan organisationer skal registrere og behandle information, før en identitet tildeles, og gennem hele dens livscyklus. Til sammenligning nævner 27002:2013/9.2.1 kun kort den medfølgende rolle, som IT-governance spiller, og begrænser sig til den fysiske praksis med identitetsadministration, som udføres af IT-medarbejdere.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

ISMS.online vil spare dig tid og penge

Få dit tilbud