ISO 27001:2022 Vedlegg A Kontroll 5.15

Nettverk og nettverkstjenester er tilgjengelige for brukere

En generell tilnærming til beskyttelse er minst tilgang i stedet for ubegrenset tilgang og superbrukerrettigheter uten nøye vurdering.

Følgelig skal brukere bare gis tilgang til nettverk og nettverkstjenester pålagt å oppfylle sitt ansvar. Politikken må adressere; Nettene og nettverkstjenestene i omfanget av tilgang; Autorisasjonsprosedyrer for å vise hvem (rollebasert) som har tilgang til hva og når; og ledelseskontroller og prosedyrer for å forhindre tilgang og overvåke den i tilfelle en hendelse.

Ombord- og avstigning bør også ta hensyn til dette problemet, som er nært knyttet til tilgangskontrollpolitikken.

Formål med ISO 27001:2022 vedlegg A 5.15

Som en forebyggende kontroll forbedrer vedlegg A 5.15 en organisasjons underliggende evne til å kontrollere tilgang til data og eiendeler.

Et konkret sett med kommersiell og informasjonssikkerhet behov må dekkes før tilgang til ressurser kan gis og endres under vedlegg A Kontroll 5.15.

ISO 27001 Annex A 5.15 gir retningslinjer for å legge til rette for sikker tilgang til data og minimere risikoen for uautorisert tilgang til fysiske og virtuelle nettverk.

Eierskap til vedlegg A 5.15

Som vist i vedlegg A 5.15, leder ansatte på tvers av ulike deler av en organisasjonen må opprettholde en grundig forståelse av hvilke ressurser som må aksesseres (f.eks. I tillegg til at HR informerer ansatte om jobbrollene deres, som dikterer deres RBAC-parametere, er tilgangsrettigheter til syvende og sist en vedlikeholdsfunksjon som kontrolleres av nettverksadministratorer.

En organisasjons vedlegg A 5.15 eierskap bør ligge hos et medlem av toppledelsen som har overordnet teknisk autoritet over selskapets domener, underdomener, applikasjoner, ressurser og eiendeler. Dette kan være IT-sjefen.

Generell veiledning for ISO 27001:2022 vedlegg 5.15

En emnespesifikk tilnærming til tilgangskontroll er nødvendig for overholdelse av ISO 27001:2022 Annex A Control 5.15 (mer kjent som en problemspesifikk tilnærming).

I stedet for å følge en generell tilgangskontrollpolicy som gjelder for ressurs- og datatilgang på tvers av organisasjonen, oppmuntrer emnespesifikke tilnærminger organisasjoner til å lage tilgangskontrollpolicyer rettet mot individuelle forretningsfunksjoner.

På tvers av alle emnespesifikke områder krever vedlegg A Kontroll 5.15 at retningslinjer angående tilgangskontroll skal vurdere de 11 punktene nedenfor. Noen av disse retningslinjene overlapper med andre retningslinjer.

Som en retningslinje bør organisasjoner konsultere de medfølgende kontrollene for ytterligere informasjon fra sak til sak:

• Identifiser hvilke enheter som krever tilgang til visse eiendeler og informasjon.
• Å opprettholde en oversikt over jobbroller og krav til datatilgang i samsvar med organisasjonsstrukturen til organisasjonen din er den enkleste måten å sikre samsvar.
• Sikkerhet og integritet for alle relevante applikasjoner (lenket til Control 8.2).
• En formell risikovurdering kan gjennomføres for å vurdere sikkerhetsegenskapene til individuelle søknader.
• Kontroll av fysisk tilgang til et nettsted (lenker til kontrollene 7.2, 7.3 og 7.4).
• Som en del av overholdelsesprogrammet ditt, må organisasjonen din demonstrere et robust sett med bygnings- og romtilgangskontroller, inkludert administrerte inngangssystemer, sikkerhetsperimeter og besøksprosedyrer, der det er aktuelt.
• Når det gjelder distribusjon, sikkerhet og kategorisering av informasjon, bør «need to know»-prinsippet brukes i hele organisasjonen (knyttet til 5.10, 5.12 og 5.13).
• Bedrifter bør følge strenge retningslinjer for beste praksis som ikke gir generell tilgang til data på tvers av en organisasjons hierarki.
• Sørg for at privilegerte tilgangsrettigheter er begrenset (relatert til 8.2).
• Tilgangsrettighetene til brukere som får tilgang til data utover det til en standardbruker må overvåkes og revideres.
• Sikre overholdelse av gjeldende lovgivning, sektorspesifikke regulatoriske retningslinjer eller kontraktsmessige forpliktelser knyttet til datatilgang (se 5.31, 5.32, 5.33, 5.34 og 8.3).
• En organisasjons retningslinjer for tilgangskontroll tilpasses i henhold til eksterne forpliktelser angående datatilgang, eiendeler og ressurser.
• Holde øye med potensielle interessekonflikter.
• Retningslinjene bør inkludere kontroller for å hindre en person i å kompromittere en bredere tilgangskontrollfunksjon basert på deres tilgangsnivåer (dvs. en ansatt som kan be om, autorisere og implementere endringer i et nettverk).
• En tilgangskontrollpolicy bør håndtere de tre hovedfunksjonene – forespørsler, autorisasjoner og administrasjon – uavhengig av hverandre.
• En policy for tilgangskontroll må erkjenne at den, til tross for sin selvstendige natur, omfatter flere individuelle trinn, som hver inneholder kravene.
• For å sikre samsvar med kravene i 5.16 og 5.18, bør tilgangsforespørsler utføres på en strukturert, formell måte.
• Organisasjoner bør implementere formelle autorisasjonsprosesser som krever formell, dokumentert godkjenning fra riktig personell.
• Forvalte tilgangsrettigheter på løpende basis (lenket til 5.18).
• For å opprettholde dataintegritet og sikkerhetsomkrets, kreves periodiske revisjoner, HR-tilsyn (fralatere, etc.) og jobbspesifikke endringer (f.eks. avdelingsflyttinger og endringer i roller).
• Opprettholde tilstrekkelige logger og kontrollere tilgangen til dem Samsvar – Organisasjoner bør samle inn og lagre data om tilgangshendelser (f.eks. filaktivitet), beskytte mot uautorisert tilgang til sikkerhetshendelseslogger og følge en omfattende hendelseshåndtering strategi.

Supplerende veiledning om vedlegg 5.15

I følge tilleggsveiledningen nevner ISO 27001:2022 vedlegg A Kontroll 5.15 (uten å begrense seg til) fire forskjellige typer tilgangskontroll, som grovt kan klassifiseres som følger:

• Obligatorisk tilgangskontroll (MAC) – Tilgang administreres sentralt av én enkelt sikkerhetsmyndighet.
• Et alternativ til MAC er diskresjonær tilgangskontroll (DAC), der eieren av objektet kan gi andre privilegier innenfor objektet.
• Et tilgangskontrollsystem basert på forhåndsdefinerte jobbfunksjoner og privilegier kalles Rollebasert tilgangskontroll (RBAC).
• Ved å bruke attributtbasert tilgangskontroll (ABAC) gis brukertilgangsrettigheter basert på policyer som kombinerer attributter.

Retningslinjer for implementering av tilgangskontrollregler

Vi har diskutert regler for tilgangskontroll som gitt til ulike enheter (menneskelige og ikke-menneskelige) som opererer innenfor et nettverk, som er tildelt roller som definerer deres overordnede funksjon.

Når du definerer og implementerer organisasjonens retningslinjer for tilgangskontroll, ber vedlegg A 5.15 deg vurdere følgende fire faktorer:

1. Det må opprettholdes samsvar mellom dataene som tilgangsretten gjelder for og typen tilgangsrett.
2. Det er viktig å sikre samsvar mellom organisasjonens tilgangsrettigheter og fysiske sikkerhetskrav (omkrets osv.).
3. Tilgangsrettigheter i et distribuert datamiljø (som et skybasert miljø) vurderer implikasjonene av data som finnes på tvers av et bredt spekter av nettverk.
4. Vurder implikasjonene av dynamiske tilgangskontroller (en detaljert metode for å få tilgang til et detaljert sett med variabler implementert av en systemadministrator).

Definere ansvar og dokumentere prosessen

I henhold til ISO 27001:2022 vedlegg A Kontroll 5.15, må organisasjoner utvikle og vedlikeholde en strukturert liste over ansvar og dokumentasjon. Det er mange likheter mellom hele ISO 27001:2022s liste over kontroller, med vedlegg A 5.15 som inneholder de mest relevante kravene:

Teknisk dokumentasjon

• ISO 27001:2022 vedlegg A 5.16
• ISO 27001:2022 vedlegg A 5.17
• ISO 27001:2022 vedlegg A 5.18
• ISO 27001:2022 vedlegg A 8.2
• ISO 27001:2022 vedlegg A 8.3
• ISO 27001:2022 vedlegg A 8.4
• ISO 27001:2022 vedlegg A 8.5
• ISO 27001:2022 vedlegg A 8.18

Ansvar

• ISO 27001:2022 vedlegg A 5.2
• ISO 27001:2022 vedlegg A 5.17

Detaljnivå

Kontroll 5.15 i vedlegg A gir organisasjoner betydelig frihet når det gjelder å spesifisere detaljerte retningslinjer for tilgangskontroll.

Generelt råder ISO bedrifter til å bruke sin vurdering angående hvor detaljert et gitt regelsett skal være på ansatt-for-ansatt-basis og hvor mange variabler som skal brukes på en gitt informasjon.

Spesifikt erkjenner vedlegg A 5.15 at jo mer detaljerte et selskaps retningslinjer for tilgangskontroll er, desto større blir kostnadene og desto mer utfordrende blir konseptet med tilgangskontroll på tvers av flere lokasjoner, nettverkstyper og applikasjonsvariabler.

Tilgangskontroll, med mindre den administreres nøye, kan gå ut av hånden veldig raskt. Det er lurt å forenkle adgangskontrollreglene for å sikre at de er enklere å administrere og mer kostnadseffektive.

Hva er endringene fra ISO 27001:2013?

Vedlegg A 5.15 i 27001:2022 er en sammenslåing av to lignende kontroller i 27001:2013 – Vedlegg A 9.1.1 (Adgangskontrollpolicy) og vedlegg A 9.1.2 (Tilgang til nettverk og nettverkstjenester).

De underliggende temaene i A.9.1.1 og A.9.1.2 ligner de i vedlegg A 5.15, bortsett fra noen subtile operasjonelle forskjeller.

Som i 2022 er begge kontrollene knyttet til administrasjon av tilgang til informasjon, eiendeler og ressurser og opererer etter prinsippet om «need to know», der bedriftsdata behandles som en vare som krever nøye styring og beskyttelse.

Det er 11 styrende retningslinjer i 27001:2013 vedlegg A 9.1.1, som alle følger de samme generelle prinsippene som 27001:2022 vedlegg A kontroll 5.15 med litt større vekt på perimetersikring og fysisk sikkerhet.

Det er generelt de samme implementeringsretningslinjene for tilgangskontroll, men 2022-kontrollen gir mye mer kortfattet og praktisk veiledning på tvers av de fire implementeringsretningslinjene.

Typer tilgangskontroller brukt i ISO 27001:2013 vedlegg A 9.1.1 har endret seg

Som det fremgår av ISO 27001 vedlegg A 5.15, har ulike former for tilgangskontroll dukket opp i løpet av de siste ni årene (MAC, DAC, ABAC), mens i 27001:2013 Annex A Control 9.1.1, den primære metoden for kommersiell tilgangskontroll på det tidspunktet. tiden var RBAC.

Granularitetsnivå

2013-kontrollene må inneholde meningsfulle retningslinjer for hvordan en organisasjon bør nærme seg detaljerte tilgangskontroller i lys av teknologiske endringer som gir organisasjoner økt kontroll over dataene sine.

I motsetning til dette gir vedlegg A 5.15 til 27001:2022 organisasjoner betydelig fleksibilitet.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

Hvordan kan ISMS.online hjelpe?

Vedlegg A 5.15 til ISO 27001:2022 er sannsynligvis den mest omtalte klausulen i vedlegg A, og noen hevder at den er den mest betydningsfulle.

Ditt informasjonssikkerhetsstyringssystem (ISMS) har som mål å sikre at de riktige personene har tilgang til riktig informasjon til rett tid. En av nøklene til suksess er å få det riktig, men å gjøre det feil kan påvirke virksomheten din negativt.

Tenk på scenariet der du ved et uhell avslørte konfidensiell informasjon om ansatte til feil personer, for eksempel hva alle i organisasjonen får betalt.

Hvis du ikke er forsiktig, kan konsekvensene av å ta feil av denne delen være alvorlige. Derfor er det viktig å ta deg tid til å vurdere alle aspektene nøye før du fortsetter.

I denne forbindelse, plattformen vår kan være en reell ressurs. Dette er fordi det følger hele strukturen til ISO 27001 og lar deg ta i bruk, tilpasse og berike innholdet vi gir deg, noe som gir deg et betydelig forsprang.

Få en gratis demo fra ISMS.online i dag.