ISO 27001:2022 Vedlegg A Kontroll 5.18

Adgangsrettigheter – veiledning om tildeling og tilbakekall

For å tildele eller tilbakekalle tilgangsrettigheter for alle typer brukere til alle systemer og tjenester, må en prosess implementeres (hvor enkel og dokumentert den måtte være). Ideelt sett vil det være i tråd med punktene ovenfor og det bredere HR-sikkerhetsinitiativet.

Et informasjonssystem eller en informasjonstjeneste bør tilrettelegges eller tilbakekalles basert på følgende kriterier: Autorisasjon fra eieren av informasjonssystemet eller tjenesten, verifisering av at tilgangen er passende for rollen som utføres, og beskyttelse mot at levering skjer før autorisasjon er innhentet.

Brukere bør alltid gis tilgang i henhold til forretningskrav som en del av en forretningsledet tilnærming. Selv om dette kan høres byråkratisk ut, trenger det ikke være det. Ved å implementere effektive prosedyrer med rollebasert tilgang til systemer og tjenester kan dette problemet løses effektivt.

Gjennomgang av brukerrettigheter

Eiere av eiendeler må gjennomgå brukernes tilgangsrettigheter regelmessig under individuelle endringer (ved ombordstigning, rolleendringer og utganger) og under bredere revisjoner av systemtilgang.

Autorisasjoner bør gjennomgås oftere i lys av den høyere risikoen forbundet med privilegerte tilgangsrettigheter. Som med 9.2, bør dette gjøres minst årlig eller når det er gjort vesentlige endringer.

Fjern eller juster tilgangsrettigheter

Det er nødvendig å fjerne tilgangsrettighetene til alle ansatte og eksterne brukere til informasjons- og informasjonsbehandlingsfasiliteter ved oppsigelse av deres arbeidsforhold, kontrakt eller avtale (eller å justere tilgangsrettighetene deres ved bytte av rolle om nødvendig).

Hvis utgangspolicyer og prosedyrer er godt utformet og tilpasset A.7, vil dette også oppnås og demonstrert for revisjonsformål når ansatte slutter.

For tildeling og tilbakekalling av tilgangsrettigheter til autentiserte personer, må organisasjoner innlemme følgende regler og kontroller:

• For å få tilgang til og bruke relevante informasjonselementer, må eieren av informasjonselementet autorisere tilgang og bruk. I tillegg bør organisasjoner vurdere å be om separat godkjenning fra ledelsen før de gir tilgangsrettigheter.
• Det må tas hensyn til organisasjonens forretningsbehov og dens policy om tilgangskontroll.
• Organisasjoner bør vurdere oppgaveskille. Som et eksempel kan godkjenning og implementering av tilgangsrettigheter håndteres av separate personer.
• En persons tilgangsrettigheter bør umiddelbart tilbakekalles når de ikke lenger trenger tilgang til informasjonsmidler, spesielt hvis de har forlatt organisasjonen.
• En midlertidig innsynsrett kan gis til ansatte eller andre ansatte som arbeider for organisasjonen midlertidig. Når de slutter å være ansatt i organisasjonen, bør rettighetene deres tilbakekalles.
• Organisasjonens retningslinjer for tilgangskontroll bør bestemme en persons tilgangsnivå og gjennomgås og verifiseres regelmessig. Videre bør den overholde andre informasjonssikkerhetskrav, for eksempel ISO 27001:2022 Control 5.3, som spesifiserer oppgaveseparering.
• Organisasjonen bør sørge for at tilgangsrettigheter aktiveres når den aktuelle autorisasjonsprosessen er fullført.
• Tilgangsrettighetene knyttet til hver identifikasjon, for eksempel en ID eller fysisk, bør opprettholdes i et sentralt styringssystem for tilgangskontroll.
• Det er viktig å oppdatere et individs nivå av tilgangsrettigheter hvis deres rolle eller plikter endres.
• Følgende metoder kan brukes for å fjerne eller endre fysiske eller logiske tilgangsrettigheter: Fjerning eller erstatning av nøkler, ID-kort eller autentiseringsinformasjon.
• Logg og vedlikehold endringer i en brukers fysiske og logiske tilgangsrettigheter er obligatoriske.

Supplerende retningslinjer for gjennomgang av tilgangsrettigheter

Periodiske gjennomganger av fysiske og logiske tilgangsrettigheter bør ta hensyn til følgende:

• Når en bruker blir forfremmet eller nedgradert i samme organisasjon eller når arbeidsforholdet avsluttes, kan tilgangsrettighetene endres.
• Prosedyre for autorisasjon av rettighetstilgang.

Veiledning om endringer i ansettelse eller oppsigelse av ansettelse

Risikofaktorer bør vurderes ved evaluering og endring av en ansatts tilgangsrettigheter til informasjonsbehandlingssystemer. Dette er før de blir forfremmet eller degradert i samme organisasjon:

• Dette inkluderer å avgjøre om den ansatte startet oppsigelsesprosessen eller organisasjonen startet den og årsaken til oppsigelsen.
• En beskrivelse av den ansattes nåværende ansvar i organisasjonen.
• Ansattes tilgang til informasjonsmidler og deres betydning og verdi.

Ytterligere tilleggsveiledning

Det anbefales at organisasjoner etablerer brukertilgangsroller i samsvar med deres forretningskrav. I tillegg til typene og antallet tilgangsrettigheter som skal gis til hver brukergruppe, bør disse rollene spesifisere typen tilgangsrettigheter.

Å skape slike roller vil gjøre tilgangsforespørsler og rettigheter til å bli administrert og gjennomgått enklere.

Det anbefales at organisasjoner inkluderer bestemmelser i sine arbeids-/tjenestekontrakter med sine ansatte som omhandler uautorisert tilgang til deres systemer og sanksjoner for slik tilgang. Vedlegg A kontroller 5.20, 6.2, 6.4 og 6.6 bør følges.

Organisasjoner må være forsiktige når de håndterer misfornøyde ansatte som er permittert av ledelsen siden de med vilje kan skade informasjonssystemer.

Organisasjoner som bestemmer seg for å bruke kloningsteknikker for å gi tilgangsrettigheter, bør gjøre det basert på rollene som organisasjonen har definert.

Det er en risiko forbundet med kloning ved at det kan gis for høye tilgangsrettigheter.

Hva er endringene og forskjellene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 5.18 erstatter ISO 27001:2013 Vedlegg A kontroller 9.2.2, 9.2.5 og 9.2.6.

2022-versjonen inneholder mer omfattende krav for å gi og tilbakekalle tilgangsrettigheter

2013-versjonen av vedlegg A Kontroll 9.2.2 skisserte seks krav for å tildele og tilbakekalle tilgangsrettigheter; Vedlegg A Kontroll 5.18 introduserer imidlertid tre tilleggskrav i tillegg til disse seks:

1. Midlertidig tilgangsrett kan gis midlertidig til ansatte eller annet personale som arbeider for organisasjonen. Så snart de slutter å jobbe for organisasjonen, bør disse rettighetene tilbakekalles.
2. Fjerning eller endring av fysiske eller logiske tilgangsrettigheter kan gjøres på følgende måter: Fjerning eller erstatning av nøkler, identifikasjonskort eller autentiseringsinformasjon.
3. Endring av en brukers fysiske eller logiske tilgangsrettigheter skal logges og dokumenteres.

Krav til privilegerte tilgangsrettigheter er mer detaljert i 2013-versjonen

I henhold til ISO 27001:2013, vedlegg A Kontroll 9.5 sier eksplisitt at organisasjoner bør gjennomgå autorisasjonen for privilegerte tilgangsrettigheter oftere enn andre tilgangsrettigheter. Dette kravet var ikke inkludert i vedlegg A kontroll 5.18 i versjon 2022.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

Hvordan ISMS.online Hjelp

ISO 27001:2022, vedlegg A 5.18, er en av de mest diskuterte klausulene. Mange hevder at det er den viktigste klausulen i hele dokumentet.

Dette er fordi hele Informasjonssikkerhetsstyringssystem (ISMS) er basert på å sikre at de riktige personene har tilgang til riktig informasjon til rett tid. Å oppnå suksess krever å få det riktig, men det kan ha stor innvirkning på virksomheten din.

Tenk deg for eksempel om du ved et uhell avslørte konfidensiell ansattinformasjon til feil person, for eksempel hver enkelt ansatts lønn.

En feil her kan få betydelige konsekvenser, så det er verdt å ta seg tid til å tenke grundig gjennom det.

Vår plattformen kan være svært nyttig i denne forbindelse. Som et resultat holder den seg til hele strukturen til ISO 27001 og lar deg adoptere, tilpasse og legge til innholdet vi tilbyr. Dette gir deg en betydelig fordel. Hvorfor ikke planlegg en demo for å lære mer?