Sikring af stærk autentificering: Brugeransvar i henhold til ISO 27701
Korrekte og sikre autentificeringsprocedurer er rygraden i de fleste generelle og emnespecifikke adgangspolitikker, uanset om de vedrører PII eller information, aktiver og data generelt.
Let gættelige og dårligt konstruerede adgangskoder er lavthængende frugter for potentielle cyberkriminelle, der søger at få adgang til en organisations PII, som normalt enten løskøbes tilbage, bruges som foder til omdømme eller sælges på det mørke web til højestbydende.
Brugere skal overholde en strengt håndhævet adgangskodepolitik, der dækker generering, distribution, adgangskodekonstruktion og gør brug af tilgængelig autentificeringsteknologi (SSO, adgangskodebokse).
Hvad er dækket af ISO 27701 klausul 6.6.3
ISO 27702 6.6.3 indeholder kun én underklausul, som indeholder sammenlagt vejledning fra ISO 27002, der beskriver, hvordan organisationer bør gribe godkendelsessikkerhed an:
- ISO 27701 6.6.3.1 – Brug af hemmelige godkendelsesoplysninger (Referencer ISO 27002 Control 5.17)
Der er ingen UK GDPR-citater at overveje, og ISO giver heller ikke nogen PIMS- eller PII-specifikke vejledningspunkter at overholde.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.6.3.1 – Brug af hemmelige godkendelsesoplysninger
Referencer ISO 27002 Kontrol 5.17
Udstedelse og håndtering af godkendelsesoplysninger
Godkendelsesdetaljer skal distribueres og administreres således, at:
- Automatisk genererede autentificeringsoplysninger (adgangskoder osv.) holdes hemmelige for alle, der ikke er autoriseret til at bruge dem, er ikke gættelige og administreres på en måde, der tvinger en bruger til at ændre dem efter første login.
- Inden der udstedes eller erstattes autentificeringsdetaljer, er der indført procedurer for at verificere identiteten på den person, der har brug for dem.
- De korrekte sikre kanaler bruges til at sende autentificeringsdetaljer (dvs. ikke via e-mail).
- Efter at oplysningerne er blevet kommunikeret med succes til den, der har brug for dem, bekræfter brugeren/brugerne modtagelsen rettidigt.
- Enhver leverandørleveret godkendelsesinformation (såsom standard brugernavn og adgangskode routere og firewalls) ændres ved modtagelse.
- Der føres journal over relevante autentificeringsbegivenheder – især vedrørende den indledende tildeling og efterfølgende administration af autentificeringsdetaljer.
Ethvert personale, der bruger organisationsgodkendelsesoplysninger, bør sikre, at:
- Alle autentificeringsoplysninger holdes strengt fortrolige.
- Hvis godkendelsesoplysninger enten kompromitteres, ses eller deles af andre end den oprindelige ejer, ændres sådanne detaljer straks.
- Eventuelle adgangskoder oprettes og/eller genereres i overensstemmelse med organisationens adgangskodepolitik, og adgangskoder er unikke på tværs af forskellige platforme (dvs. domæneadgangskoder er ikke det samme som adgangskoder til skytjenester).
- Ansættelseskontrakter indeholder et eksplicit krav om at følge virksomhedens adgangskodepolitik (se ISO 27002 kontrol 6.2).
Adgangskodestyringssystemer
Organisationer bør overveje at implementere et adgangskodeadministrationssystem (specialiserede adgangskodekontrolapplikationer), der:
- Henvender sig til brugere, der har brug for at ændre enhver adgangskode, de bruger.
- Er programmeret til at afvise adgangskoder, der falder uden for retningslinjerne for bedste praksis.
- Tvinger brugere til at ændre deres systemgenererede adgangskode, efter at de har brugt det første gang.
- Tillader ikke fortsat brug af gamle adgangskoder eller lignende sætninger og alfanumeriske kombinationer.
- Skjuler adgangskoder, mens de indtastes.
- Gemmer og sender adgangskodeoplysninger på en sikker måde.
- Henvender sig til adgangskodekryptering og lignende krypteringsteknikker (se ISO 27002 kontrol 8.24).
Adgangskodedata
For at beskytte PII og forbedre organisationens indsats for beskyttelse af privatlivets fred bør adgangskoder følge fire vejledende principper:
- Adgangskoder bør ikke være bygget op omkring gættelige eller biografiske oplysninger.
- Adgangskoder bør ikke indeholde nogen genkendelige ord i stedet for tilfældige alfanumeriske tegn.
- Specialtegn bør bruges for at øge adgangskodens kompleksitet.
- Alle adgangskoder skal have en minimumslængde (ideelt set 12 tegn).
Organisationer bør også overveje brugen af autentificeringsprotokoller såsom Single Sign-On (SSO) for at forbedre adgangskodesikkerheden, men sådanne foranstaltninger bør kun overvejes sammen med organisationens unikke tekniske og operationelle krav.
Relevante ISO 27002 kontroller
- ISO 27002 6.2
- ISO 27002 8.24
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.6.3.1 | Brug af hemmelige godkendelsesoplysninger | 5.17 – Godkendelsesoplysninger for ISO 27002 | Ingen |
Hvordan ISMS.online hjælper
Hvordan hjælper vi?
Ved at tilføje en PIMS til din ISMS på ISMS.online platformen forbliver din sikkerhedsposition alt-på-et-sted, og du undgår duplikering, hvor standarderne overlapper hinanden.
Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27002 og ISO 27701 med et klik på en knap.
Alle de funktioner du har brug for:
- ROPA gjort let
- Indbygget risikobank
- Sikker plads til DRR
Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27002- og 27701-certificering ved hjælp af ISMS.online af booking af en demo.
