Identiteter bruges af computernetværk til at identificere en enheds (en bruger, gruppe af brugere, enhed eller it-aktiv) underliggende evne til at få adgang til et forudbestemt sæt hardware- og softwareressourcer.
Kontrol 5.16 omhandler godkendelse, registrering og administration – defineret som den 'fulde livscyklus' – af menneskelige og ikke-menneskelige identiteter på et givet netværk.
5.16 omhandler en organisations evne til at identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) der til enhver tid får adgang til data eller it-aktiver, og hvordan disse identiteter tildeles adgangsrettigheder på tværs af netværket.
5.16 er en forebyggende kontrol, der fastholder risiko ved at fungere som hovedperimeter for alle tilknyttede informationssikkerhed og cybersikkerhed operationer, såvel som den primære styringsmåde, der dikterer en organisations Identity and Access Management-ramme.
Kontroltype | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle kapaciteter | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Identitets- og adgangsstyring | #Beskyttelse |
Da 5.16 tjener det, der primært er en vedligeholdelsesfunktion, bør ejerskabet rettes mod it-personale, som er blevet tildelt globale administratorrettigheder (eller tilsvarende for ikke-Windows-baseret infrastruktur).
Mens der er andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (f.eks. domæneadministrator), bør ejerskabet af 5.16 ligge hos den person, der har den ultimative ansvar for hele en organisations netværk, inklusive alle underdomæner og Active Directory-lejere.
Overholdelse af kontrol 5.16 opnås gennem en kombination af at sikre, at identitetsbaserede procedurer er klart formuleret i politiske dokumenter, og overvågning af den daglige overholdelse blandt personalet.
5.16 angiver seks hovedprocedurer, som en organisation skal følge for at opfylde de nødvendige standarder for infosec og cybersikkerhedsstyring:
Overholdelse – IT-politikker skal klart foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået tildelt.
Overholdelse – Organisationer bør behandle registreringen af delte identiteter som en separat procedure for enkeltbrugeridentiteter med en dedikeret godkendelsesworkflow.
Overholdelse – Som med delte identiteter bør ikke-menneskelige identiteter til gengæld have deres egen godkendelses- og registreringsproces, der anerkender den underliggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.
Overholdelse – IT-personale bør udfører regelmæssige revisioner at angive identiteter i rækkefølge af brug, og identificere hvilke enheder (menneskelige eller ikke-menneskelige) der kan suspenderes eller slettes. HR-medarbejdere bør inkludere identitetsstyring i deres offboarding-procedurer og informere IT-medarbejdere om forladere i tide.
Overholdelse – IT-medarbejdere bør forblive på vagt, når de tildeler roller på tværs af et netværk, og sikre, at enheder ikke tildeles adgangsrettigheder baseret på flere identiteter.
Overholdelse – Begrebet 'væsentlig begivenhed' kan fortolkes på forskellige måder, men på et grundlæggende niveau organisationer har brug for at sikre, at deres styringsprocedurer omfatter identitetsregistreringsdokumentation, robuste ændringsanmodningsprotokoller med en passende godkendelsesprocedure og evnen til at producere en omfattende liste over tildelte identiteter på ethvert givet tidspunkt.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Ud over de seks vigtigste operationelle overvejelser oplister 5.16 også fire trin, som organisationer skal følge, når de opretter en identitet og tildeler den adgang til netværksressourcer (ændring eller fjernelse af adgangsrettigheder behandles i kontrol 5.18):
Overholdelse – Det er vigtigt at erkende, at identitetsstyring bliver eksponentielt vanskeligere for hver ny identitet, der skabes. Organisationer bør kun skabe nye identiteter, når der er et klart behov for det.
Overholdelse – Når en business case er blevet godkendt, bør identitets- og adgangsstyringsprocedurer indeholde trin til at sikre, at den person eller aktiv, der modtager en ny identitet, har den nødvendige autoritet til at gøre det, før en identitet oprettes.
Når enheden er blevet verificeret, bør it-medarbejdere oprette en identitet, der er i overensstemmelse med business case-kravene og er begrænset til, hvad der er angivet i eventuelle ændringsanmodningsdokumenter.
27002:2022 / 5.16 erstatter 27002:2013/9.2.1 (Brugerregistrering og afregistrering) – som selv udgjorde en del af 27002:2013's kontrolsæt for brugeradgangsstyring. Selvom der er nogle ligheder mellem de to kontroller – for det meste i vedligeholdelsesprotokoller og deaktivering af redundante id'er – indeholder 5.16 et langt mere omfattende sæt retningslinjer, der søger at adressere Identity and Access Management som et end-to-end koncept.
Den største forskel mellem 2022-kontrollen og dens 2013-forgænger er erkendelsen af, at selvom der er forskelle i registreringsprocessen, behandles menneskelige og ikke-menneskelige identiteter ikke længere adskilt fra hinanden af generelle netværksadministrationsformål.
Med begyndelsen af moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller taler IT-styring og retningslinjer for bedste praksis om menneskelige og ikke-menneskelige identiteter mere eller mindre i flæng. 27002:2013/9.2.1 indeholder ingen vejledning om, hvordan man administrerer ikke-menneskelige identiteter, og beskæftiger sig udelukkende med administrationen af, hvad det refererer til som "bruger-id'er" (dvs. loginoplysninger, der bruges til at få adgang til et netværk, sammen med en adgangskode).
Som vi har set, indeholder 27002:2013/5.16 eksplicit vejledning om ikke kun de generelle sikkerhedsimplikationer af identitetsstyring, men også hvordan organisationer skal registrere og behandle information, før en identitet tildeles, og gennem hele dens livscyklus. Til sammenligning nævner 27002:2013/9.2.1 kun kort den medfølgende rolle, som IT-governance spiller, og begrænser sig til den fysiske praksis med identitetsadministration, som udføres af IT-medarbejdere.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
ISMS.online vil spare dig tid og penge
Få dit tilbud