ISO 27701 – Klausul 6.6.2 – Administration af brugeradgang

ISO 27701 klausul 6.6.2: En vejledning til brugeradgangsstyring

User Access Management styrer metoderne igennem med brugernes adgang til PII og privatlivsrelateret information, og hvordan organisationer er i stand til at kontrollere sådan adgang ved hjælp af en række fysiske og logiske foranstaltninger.

Hvad er dækket af ISO 27701 klausul 6.6.2

ISO 27701 6.6.2 er en relativt stor klausul (i betragtning af emnet), som indeholder seks underklausuler vedrørende levering, brug og styring af brugeradgangsrettigheder.

Hver underklausul indeholder oplysninger fra en tilstødende underklausul i ISO 27002, med vejledning tilpasset privatlivsbeskyttelse og PII, snarere end generaliseret informationssikkerhed:

• ISO 6.6.2.1 – Brugerregistrering og afregistrering (Referencer ISO 27002 kontrol 5.16).
• ISO 6.6.2.2 – Brugeradgangsforsyning (Referencer ISO 27002 kontrol 5.18).
• ISO 6.6.2.3 – Administration af privilegerede adgangsrettigheder (Referencer ISO 27002 kontrol 8.2).
• ISO 6.6.2.4 – Håndtering af hemmelige autentificeringsoplysninger for brugere (Referencer ISO 27002 kontrol 5.17).
• ISO 6.6.2.5 – Gennemgang af brugeradgangsrettigheder (Referencer ISO 27002 kontrol 5.18).
• ISO 6.6.2.6 – Fjernelse eller justering af adgangsrettigheder (Referencer ISO 27002 kontrol 5.18).

To klausuler indeholder vejledning, der har potentiale til at påvirke Storbritanniens GDPR-overholdelse, og de relevante artikler er stillet til rådighed for din bekvemmelighed.

Gennem alle dens klausuler indeholder ISO 27701 6.6.2 ingen yderligere vejledning fra ISO om brugen af ​​et PIMS.

Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.

ISO 27701 klausul 6.6.2.1 – Brugerregistrering og afregistrering

Referencer ISO 27002 Kontrol 5.16

Brugerregistrering er styret af brugen af ​​tildelte 'identiteter'. Identiteter giver organisationer en ramme til at styre brugeradgang til PII og privatlivsrelaterede aktiver og materiale inden for et netværks grænser.

Organisationen skal følge seks hovedvejledningspunkter for at sikre, at identiteter administreres korrekt, og PII er beskyttet, uanset hvor det gemmes, behandles eller tilgås:

1. Hvor identiteter tildeles et menneske, er det kun denne person, der har tilladelse til at autentificere med og/eller bruge denne identitet, når han får adgang til PII.
2. Delte identiteter – flere personer registreret på samme identitet – bør kun implementeres for at opfylde et unikt sæt af operationelle krav.
3. Ikke-menneskelige enheder bør betragtes og administreres anderledes end brugerbaserede identiteter, der får adgang til PII og privatlivsrelateret materiale.
4. Identiteter bør fjernes, når de ikke længere er nødvendige - især dem med adgang til PII eller privatlivsbaserede roller.
5. Organisationer bør holde sig til en "én enhed, én identitet"-regel, når de distribuerer identiteter på tværs af netværket.
6. Registreringer skal logges og registreres gennem klar dokumentation, herunder tidsstempler, adgangsniveauer og identitetsoplysninger.

Organisationer, der arbejder i partnerskab med eksterne organisationer (især cloud-baserede platforme), bør forstå de iboende risici forbundet med sådan praksis og tage skridt til at sikre, at PII ikke påvirkes negativt i processen (se ISO 27002 kontroller 5.19 og 5.17).

Relevante ISO 27002 kontroller

• ISO 27002 5.17
• ISO 27002 5.19

Gældende GDPR-artikler

• Artikel 5 – (1)(f)

ISO 27701 klausul 6.6.2.2 – Provisioning af brugeradgang

Referencer ISO 27002 Kontrol 5.18

'Adgangsrettigheder' styrer, hvordan adgang til PII og privatlivsrelaterede oplysninger både gives og tilbagekaldes ved at bruge det samme sæt af vejledende principper.

Tildeling og tilbagekaldelse af adgangsrettigheder

Adgangsprocedurer bør omfatte:

• Tilladelse og tilladelse fra ejeren (eller ledelsen) af oplysningerne eller aktivet (se ISO 27002 kontrol 5.9).
• Alle gældende kommercielle, juridiske eller operationelle krav.
• En anerkendelse af behovet for at adskille opgaver for at forbedre PII-sikkerheden og opbygge en mere modstandsdygtig privatlivsbeskyttelse.
• Kontrolelementer til at tilbagekalde adgangsrettigheder, når adgang ikke længere er påkrævet (forlader osv.).
• Tidsadgangsforanstaltninger for vikarer eller entreprenører.
• En centraliseret registrering af adgangsrettigheder tildelt både menneskelige og ikke-menneskelige enheder.
• Foranstaltninger til at ændre adgangsrettighederne for personale eller tredjepartsleverandører, der har skiftet jobrolle.

Gennemgang af adgangsrettigheder

Organisationer bør foretage periodiske gennemgange af adgangsrettigheder på tværs af netværket, herunder:

• Indbygning af tilbagekaldelse af adgangsrettigheder i HR off boarding-procedurer (se ISO 27002 kontroller 6.1 og 6.5) og arbejdsgange til rolleskift.
• Anmodninger om 'privilegerede' adgangsrettigheder.

Forandringsledelse og forladere

Personale, der enten forlader organisationen (enten forsætligt eller som en opsagt medarbejder), og dem, der er genstand for en ændringsanmodning, bør have deres adgangsrettigheder ændret baseret på robuste risikostyringsprocedurer, herunder:

• Kilden til ændringen/opsigelsen, herunder den underliggende årsag.
• Brugerens nuværende jobrolle og tilhørende ansvar.
• De oplysninger og aktiver, der i øjeblikket er tilgængelige – herunder deres risikoniveauer og værdi for organisationen.

Supplerende vejledning

Ansættelseskontrakter og entreprenør-/servicekontrakter bør indeholde en forklaring på, hvad der sker efter ethvert forsøg på uautoriseret adgang (se ISO 27002 kontroller 5.20, 6.2, 6.4, 6.6).

Relevante ISO 27002 kontroller

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

Gældende GDPR-artikler

• Artikel 5 – (1)(f)

ISO 27701 klausul 6.6.2.3 – Forvaltning af privilegerede adgangsrettigheder

Referencer ISO 27002 Kontrol 8.2

Privilegerede adgangsrettigheder giver organisationer mulighed for samtidigt at kontrollere adgangen til PII og privatlivsrelaterede applikationer og aktiver og opretholde integriteten af ​​PII på tværs af deres netværk.

Uautoriseret brug af systemadministratorrettigheder (eller forhøjede RBAC-tilladelser) er en af ​​hovedårsagerne til IKT-forstyrrelser over hele kloden.

Når organisationer administrerer privilegerede adgangsrettigheder med privatlivsbeskyttelse for øje, bør organisationer:

• Udarbejd en liste over brugere, der kræver privilegeret adgang.
• Implementer procedurer, der tildeler privilegerede adgangsrettigheder til brugere på "begivenhedsbasis" – dvs. en bruger får et adgangsniveau, der er i overensstemmelse med deres jobrolle.
• Arbejd med en klar godkendelsesproces, der behandler anmodninger om privilegeret adgang.
• Før en centraliseret registrering af anmodninger om privilegeret adgang.
• Overhold adgangsudløbsdatoer, hvor det er angivet.
• Sørg for, at brugerne er opmærksomme på eventuelle privilegerede adgangsrettigheder, som er blevet tildelt dem.
• Gennemtving gengodkendelse, før brugere bruger privilegerede adgangsrettigheder.
• Gennemgå regelmæssigt organisationsdækkende privilegerede adgangsrettigheder (se ISO 27002 kontrol 5.18).
• Overvej at implementere en "knusglas"-procedure ved at sikre, at privilegerede adgangsrettigheder gives inden for strenge vinduer, som dikteret af anmodningens art.
• Forbyd brugen af ​​generiske loginoplysninger og gættelige adgangskoder (se ISO 27002 kontrol 5.17).
• Tildel én identitet pr. bruger, samlet i adgangsgrupper, hvis det kræves.
• Sørg for, at privilegeret adgang kun gives forbeholdt kritiske opgaver – såsom væsentlig vedligeholdelse eller hændelsesrelateret aktivitet.

Relevante ISO 27002 kontroller

• ISO 27002 5.17
• ISO 27002 5.18

ISO 27701 klausul 6.6.2.4 – Håndtering af hemmelige autentificeringsoplysninger for brugere

Referencer ISO 27002 Kontrol 5.17

Godkendelsesdetaljer skal distribueres og administreres således, at:

• Automatisk genererede autentificeringsoplysninger (adgangskoder osv.) holdes hemmelige for alle, der ikke er autoriseret til at bruge dem, er ikke gættelige og administreres på en måde, der tvinger en bruger til at ændre dem efter første login.
• Inden der udstedes eller erstattes autentificeringsdetaljer, er der indført procedurer for at verificere identiteten på den person, der har brug for dem.
• De korrekte sikre kanaler bruges til at sende autentificeringsdetaljer (dvs. ikke via e-mail).
• Efter at oplysningerne er blevet kommunikeret med succes til den, der har brug for dem, bekræfter brugeren/brugerne modtagelsen rettidigt.
• Enhver leverandørleveret godkendelsesinformation (såsom standard brugernavn og adgangskode routere og firewalls) ændres ved modtagelse.
• Der føres journal over relevante autentificeringsbegivenheder – især vedrørende den indledende tildeling og efterfølgende administration af autentificeringsdetaljer.

Ethvert personale, der bruger organisationsgodkendelsesoplysninger, bør sikre, at:

• Alle autentificeringsoplysninger holdes strengt fortrolige.
• Hvis godkendelsesoplysninger enten kompromitteres, ses eller deles af andre end den oprindelige ejer, ændres sådanne detaljer straks.
• Eventuelle adgangskoder oprettes og/eller genereres i overensstemmelse med organisationens adgangskodepolitik, og adgangskoder er unikke på tværs af forskellige platforme (dvs. domæneadgangskoder er ikke det samme som adgangskoder til skytjenester).
• Ansættelseskontrakter indeholder et eksplicit krav om at følge virksomhedens adgangskodepolitik (se ISO 27002 kontrol 6.2).

Adgangskodestyringssystemer

Organisationer bør overveje at implementere et adgangskodeadministrationssystem (specialiserede adgangskodekontrolapplikationer), der:

• Henvender sig til brugere, der har brug for at ændre enhver adgangskode, de bruger.
• Er programmeret til at afvise adgangskoder, der falder uden for retningslinjerne for bedste praksis.
• Tvinger brugere til at ændre deres systemgenererede adgangskode, efter at de har brugt det første gang.
• Tillader ikke fortsat brug af gamle adgangskoder eller lignende sætninger og alfanumeriske kombinationer.
• Skjuler adgangskoder, mens de indtastes.
• Gemmer og sender adgangskodeoplysninger på en sikker måde.
• Henvender sig til adgangskodekryptering og lignende krypteringsteknikker (se ISO 27002 kontrol 8.24).

For at beskytte PII og forbedre organisationens indsats for beskyttelse af privatlivets fred bør adgangskoder følge fire vejledende principper:

1. Adgangskoder bør ikke være bygget op omkring gættelige eller biografiske oplysninger.
2. Adgangskoder bør ikke indeholde nogen genkendelige ord i stedet for tilfældige alfanumeriske tegn.
3. Specialtegn bør bruges for at øge adgangskodens kompleksitet.
4. Alle adgangskoder skal have en minimumslængde (ideelt set 12 tegn).

Organisationer bør også overveje brugen af ​​autentificeringsprotokoller såsom Single Sign-On (SSO) for at forbedre adgangskodesikkerheden, men sådanne foranstaltninger bør kun overvejes sammen med organisationens unikke tekniske og operationelle krav.

Relevante ISO 27002 kontroller

• ISO 27002 6.2
• ISO 27002 8.24

ISO 27701 klausul 6.6.2.5 – Gennemgang af brugeradgangsrettigheder

Referencer ISO 27002 Kontrol 5.18

Se ovenfor (ISO 27701 klausul 6.6.2.2).

ISO 27701 paragraf 6.6.2.6 – Fjernelse eller justering af adgangsrettigheder

Referencer ISO 27002 Kontrol 5.18

Se ovenfor (ISO 27701 klausul 6.6.2.2).

Understøttende kontroller fra ISO 27002 og GDPR

Hvordan ISMS.online hjælper

Ved at tilføje en PIMS til din ISMS på ISMS.online platformen forbliver din sikkerhedsposition alt-på-et-sted, og du undgår duplikering, hvor standarderne overlapper hinanden.

Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27002 og ISO 27701 med et klik på en knap.

Find ud af mere ved booking af en praktisk demo.