Hvad er formålet med kontrol 5.16?
5.16 omhandler en organisations evne til at identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) der til enhver tid får adgang til data eller it-aktiver, og hvordan disse identiteter tildeles adgangsrettigheder på tværs af netværket.
5.16 er en forebyggende kontrol, der fastholder risiko ved at fungere som hovedperimeter for alle tilknyttede informationssikkerhed og cybersikkerhed operationer, såvel som den primære styringsmåde, der dikterer en organisations Identity and Access Management-ramme.
Kontrolattributter 5.16
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Identitets- og adgangsstyring | #Beskyttelse |
| #Integritet | ||||
| #Tilgængelighed |
Ejerskab
Da 5.16 tjener det, der primært er en vedligeholdelsesfunktion, bør ejerskabet rettes mod it-personale, som er blevet tildelt globale administratorrettigheder (eller tilsvarende for ikke-Windows-baseret infrastruktur).
Mens der er andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (f.eks. domæneadministrator), bør ejerskabet af 5.16 ligge hos den person, der har den ultimative ansvar for hele en organisations netværk, inklusive alle underdomæner og Active Directory-lejere.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning
Overholdelse af kontrol 5.16 opnås gennem en kombination af at sikre, at identitetsbaserede procedurer er klart formuleret i politiske dokumenter, og overvågning af den daglige overholdelse blandt personalet.
5.16 angiver seks hovedprocedurer, som en organisation skal følge for at opfylde de nødvendige standarder for infosec og cybersikkerhedsstyring:
- Hvor identiteter er tildelt en person, er det kun den specifikke person, der har tilladelse til at autentificere med og/eller bruge denne identitet, når han får adgang til netværksressourcer.
Overholdelse – IT-politikker skal klart foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået tildelt.
- Nogle gange kan det være nødvendigt at tildele en identitet til flere personer – også kendt som en 'delt identitet'. Denne tilgang bør bruges sparsomt og kun for at opfylde et eksplicit sæt operationelle krav.
Overholdelse – Organisationer bør behandle registreringen af delte identiteter som en separat procedure for enkeltbrugeridentiteter med en dedikeret godkendelsesworkflow.
- Såkaldte 'ikke-menneskelige' enheder (som navnet antyder, enhver identitet, der ikke er knyttet til en faktisk bruger) bør betragtes anderledes end brugerbaserede identiteter på registreringsstedet.
Overholdelse – Som med delte identiteter bør ikke-menneskelige identiteter til gengæld have deres egen godkendelses- og registreringsproces, der anerkender den underliggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.
- Identiteter, der ikke længere er påkrævet (leavers, redundante aktiver osv.) bør deaktiveres af en netværksadministrator eller fjernes fuldstændigt efter behov.
Overholdelse – IT-personale bør udfører regelmæssige revisioner at angive identiteter i rækkefølge af brug, og identificere hvilke enheder (menneskelige eller ikke-menneskelige) der kan suspenderes eller slettes. HR-medarbejdere bør inkludere identitetsstyring i deres offboarding-procedurer og informere IT-medarbejdere om forladere i tide.
- Duplikerede identiteter bør undgås for enhver pris. Virksomheder bør overholde en regel om "én enhed, én identitet" over hele linjen.
Overholdelse – IT-medarbejdere bør forblive på vagt, når de tildeler roller på tværs af et netværk, og sikre, at enheder ikke tildeles adgangsrettigheder baseret på flere identiteter.
- Der bør føres tilstrækkelige registre over alle "væsentlige begivenheder" vedrørende identitetshåndtering og autentificeringsoplysninger.
Overholdelse – Begrebet 'væsentlig begivenhed' kan fortolkes på forskellige måder, men på et grundlæggende niveau organisationer har brug for at sikre, at deres styringsprocedurer omfatter identitetsregistreringsdokumentation, robuste ændringsanmodningsprotokoller med en passende godkendelsesprocedure og evnen til at producere en omfattende liste over tildelte identiteter på ethvert givet tidspunkt.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Supplerende vejledning
Ud over de seks vigtigste operationelle overvejelser oplister 5.16 også fire trin, som organisationer skal følge, når de opretter en identitet og tildeler den adgang til netværksressourcer (ændring eller fjernelse af adgangsrettigheder behandles i kontrol 5.18):
- Opret en business case før en identitet bliver skabt
Overholdelse – Det er vigtigt at erkende, at identitetsstyring bliver eksponentielt vanskeligere for hver ny identitet, der skabes. Organisationer bør kun skabe nye identiteter, når der er et klart behov for det.
- Sørg for, at den enhed, der bliver tildelt identiteten (menneskelig eller ikke-menneskelig), er blevet uafhængigt verificeret.
Overholdelse – Når en business case er blevet godkendt, bør identitets- og adgangsstyringsprocedurer indeholde trin til at sikre, at den person eller aktiv, der modtager en ny identitet, har den nødvendige autoritet til at gøre det, før en identitet oprettes.
- Etablering af en identitet
Når enheden er blevet verificeret, bør it-medarbejdere oprette en identitet, der er i overensstemmelse med business case-kravene og er begrænset til, hvad der er angivet i eventuelle ændringsanmodningsdokumenter.
- Endelig konfiguration og aktivering
Finalen trin i processen involverer tildele en identitet til dens forskellige adgangsbaserede tilladelser og roller (RBAC) og eventuelle tilknyttede godkendelsestjenester, der er påkrævet.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer fra ISO 27002:2013
Generelt
27002:2022 / 5.16 erstatter 27002:2013/9.2.1 (Brugerregistrering og afregistrering) – som selv udgjorde en del af 27002:2013's kontrolsæt for brugeradgangsstyring. Selvom der er nogle ligheder mellem de to kontroller – for det meste i vedligeholdelsesprotokoller og deaktivering af redundante id'er – indeholder 5.16 et langt mere omfattende sæt retningslinjer, der søger at adressere Identity and Access Management som et end-to-end koncept.
Menneskelige vs. ikke-menneskelige identiteter
Den største forskel mellem 2022-kontrollen og dens 2013-forgænger er erkendelsen af, at selvom der er forskelle i registreringsprocessen, behandles menneskelige og ikke-menneskelige identiteter ikke længere adskilt fra hinanden af generelle netværksadministrationsformål.
Med begyndelsen af moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller taler IT-styring og retningslinjer for bedste praksis om menneskelige og ikke-menneskelige identiteter mere eller mindre i flæng. 27002:2013/9.2.1 indeholder ingen vejledning om, hvordan man administrerer ikke-menneskelige identiteter, og beskæftiger sig udelukkende med administrationen af, hvad det refererer til som "bruger-id'er" (dvs. loginoplysninger, der bruges til at få adgang til et netværk, sammen med en adgangskode).
Dokumentation
Som vi har set, indeholder 27002:2013/5.16 eksplicit vejledning om ikke kun de generelle sikkerhedsimplikationer af identitetsstyring, men også hvordan organisationer skal registrere og behandle information, før en identitet tildeles, og gennem hele dens livscyklus. Til sammenligning nævner 27002:2013/9.2.1 kun kort den medfølgende rolle, som IT-governance spiller, og begrænser sig til den fysiske praksis med identitetsadministration, som udføres af IT-medarbejdere.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
