ISO 27002:2022- Kontrol 5.16 – Identitetsstyring

Hvad er formålet med kontrol 5.16?

5.16 omhandler en organisations evne til at identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) der til enhver tid får adgang til data eller it-aktiver, og hvordan disse identiteter tildeles adgangsrettigheder på tværs af netværket.

5.16 er en forebyggende kontrol, der fastholder risiko ved at fungere som hovedperimeter for alle tilknyttede informationssikkerhed og cybersikkerhed operationer, såvel som den primære styringsmåde, der dikterer en organisations Identity and Access Management-ramme.

Kontrolattributter 5.16

Ejerskab

Da 5.16 tjener det, der primært er en vedligeholdelsesfunktion, bør ejerskabet rettes mod it-personale, som er blevet tildelt globale administratorrettigheder (eller tilsvarende for ikke-Windows-baseret infrastruktur).

Mens der er andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (f.eks. domæneadministrator), bør ejerskabet af 5.16 ligge hos den person, der har den ultimative ansvar for hele en organisations netværk, inklusive alle underdomæner og Active Directory-lejere.

Generel vejledning

Overholdelse af kontrol 5.16 opnås gennem en kombination af at sikre, at identitetsbaserede procedurer er klart formuleret i politiske dokumenter, og overvågning af den daglige overholdelse blandt personalet.

5.16 angiver seks hovedprocedurer, som en organisation skal følge for at opfylde de nødvendige standarder for infosec og cybersikkerhedsstyring:

• Hvor identiteter er tildelt en person, er det kun den specifikke person, der har tilladelse til at autentificere med og/eller bruge denne identitet, når han får adgang til netværksressourcer.

Overholdelse – IT-politikker skal klart foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået tildelt.

• Nogle gange kan det være nødvendigt at tildele en identitet til flere personer – også kendt som en 'delt identitet'. Denne tilgang bør bruges sparsomt og kun for at opfylde et eksplicit sæt operationelle krav.

Overholdelse – Organisationer bør behandle registreringen af ​​delte identiteter som en separat procedure for enkeltbrugeridentiteter med en dedikeret godkendelsesworkflow.

• Såkaldte 'ikke-menneskelige' enheder (som navnet antyder, enhver identitet, der ikke er knyttet til en faktisk bruger) bør betragtes anderledes end brugerbaserede identiteter på registreringsstedet.

Overholdelse – Som med delte identiteter bør ikke-menneskelige identiteter til gengæld have deres egen godkendelses- og registreringsproces, der anerkender den underliggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.

• Identiteter, der ikke længere er påkrævet (leavers, redundante aktiver osv.) bør deaktiveres af en netværksadministrator eller fjernes fuldstændigt efter behov.

Overholdelse – IT-personale bør udfører regelmæssige revisioner at angive identiteter i rækkefølge af brug, og identificere hvilke enheder (menneskelige eller ikke-menneskelige) der kan suspenderes eller slettes. HR-medarbejdere bør inkludere identitetsstyring i deres offboarding-procedurer og informere IT-medarbejdere om forladere i tide.

• Duplikerede identiteter bør undgås for enhver pris. Virksomheder bør overholde en regel om "én enhed, én identitet" over hele linjen.

Overholdelse – IT-medarbejdere bør forblive på vagt, når de tildeler roller på tværs af et netværk, og sikre, at enheder ikke tildeles adgangsrettigheder baseret på flere identiteter.

• Der bør føres tilstrækkelige registre over alle "væsentlige begivenheder" vedrørende identitetshåndtering og autentificeringsoplysninger.

Overholdelse – Begrebet 'væsentlig begivenhed' kan fortolkes på forskellige måder, men på et grundlæggende niveau organisationer har brug for at sikre, at deres styringsprocedurer omfatter identitetsregistreringsdokumentation, robuste ændringsanmodningsprotokoller med en passende godkendelsesprocedure og evnen til at producere en omfattende liste over tildelte identiteter på ethvert givet tidspunkt.

Supplerende vejledning

Ud over de seks vigtigste operationelle overvejelser oplister 5.16 også fire trin, som organisationer skal følge, når de opretter en identitet og tildeler den adgang til netværksressourcer (ændring eller fjernelse af adgangsrettigheder behandles i kontrol 5.18):

• Opret en business case før en identitet bliver skabt

Overholdelse – Det er vigtigt at erkende, at identitetsstyring bliver eksponentielt vanskeligere for hver ny identitet, der skabes. Organisationer bør kun skabe nye identiteter, når der er et klart behov for det.

• Sørg for, at den enhed, der bliver tildelt identiteten (menneskelig eller ikke-menneskelig), er blevet uafhængigt verificeret.

Overholdelse – Når en business case er blevet godkendt, bør identitets- og adgangsstyringsprocedurer indeholde trin til at sikre, at den person eller aktiv, der modtager en ny identitet, har den nødvendige autoritet til at gøre det, før en identitet oprettes.

• Etablering af en identitet

Når enheden er blevet verificeret, bør it-medarbejdere oprette en identitet, der er i overensstemmelse med business case-kravene og er begrænset til, hvad der er angivet i eventuelle ændringsanmodningsdokumenter.

• Endelig konfiguration og aktivering

Finalen trin i processen involverer tildele en identitet til dens forskellige adgangsbaserede tilladelser og roller (RBAC) og eventuelle tilknyttede godkendelsestjenester, der er påkrævet.

Ændringer fra ISO 27002:2013

Generelt

27002:2022 / 5.16 erstatter 27002:2013/9.2.1 (Brugerregistrering og afregistrering) – som selv udgjorde en del af 27002:2013's kontrolsæt for brugeradgangsstyring. Selvom der er nogle ligheder mellem de to kontroller – for det meste i vedligeholdelsesprotokoller og deaktivering af redundante id'er – indeholder 5.16 et langt mere omfattende sæt retningslinjer, der søger at adressere Identity and Access Management som et end-to-end koncept.

Menneskelige vs. ikke-menneskelige identiteter

Den største forskel mellem 2022-kontrollen og dens 2013-forgænger er erkendelsen af, at selvom der er forskelle i registreringsprocessen, behandles menneskelige og ikke-menneskelige identiteter ikke længere adskilt fra hinanden af ​​generelle netværksadministrationsformål.

Med begyndelsen af ​​moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller taler IT-styring og retningslinjer for bedste praksis om menneskelige og ikke-menneskelige identiteter mere eller mindre i flæng. 27002:2013/9.2.1 indeholder ingen vejledning om, hvordan man administrerer ikke-menneskelige identiteter, og beskæftiger sig udelukkende med administrationen af, hvad det refererer til som "bruger-id'er" (dvs. loginoplysninger, der bruges til at få adgang til et netværk, sammen med en adgangskode).

Dokumentation

Som vi har set, indeholder 27002:2013/5.16 eksplicit vejledning om ikke kun de generelle sikkerhedsimplikationer af identitetsstyring, men også hvordan organisationer skal registrere og behandle information, før en identitet tildeles, og gennem hele dens livscyklus. Til sammenligning nævner 27002:2013/9.2.1 kun kort den medfølgende rolle, som IT-governance spiller, og begrænser sig til den fysiske praksis med identitetsadministration, som udføres af IT-medarbejdere.

Nye ISO 27002 kontroller