Identiteter brukes av datanettverk for å identifisere en enhets (en bruker, gruppe brukere, enhet eller IT-ressurs) underliggende evne til å få tilgang til et forhåndsbestemt sett med maskinvare- og programvareressurser.
Kontroll 5.16 omhandler godkjenning, registrering og administrasjon – definert som "full livssyklus" – av menneskelige og ikke-menneskelige identiteter på et gitt nettverk.
5.16 omhandler en organisasjons evne til å identifisere hvem (brukere, grupper av brukere) eller hva (applikasjoner, systemer og enheter) som til enhver tid har tilgang til data eller IT-ressurser, og hvordan disse identitetene gis tilgangsrettigheter på tvers av nettverket.
5.16 er en forebyggende kontroll som opprettholder risiko ved å fungere som hovedperimeter for alle tilknyttede informasjonssikkerhet og cybersikkerhet operasjoner, så vel som den primære modusstyringen som dikterer en organisasjons Identity and Access Management-rammeverk.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Cybersikkerhetskonsepter | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Identitets- og tilgangsadministrasjon | #Beskyttelse |
Gitt at 5.16 tjener det som primært er en vedlikeholdsfunksjon, bør eierskapet rettes mot IT-personell som har blitt tildelt globale administratorrettigheter (eller tilsvarende for ikke-Windows-basert infrastruktur).
Selv om det er andre innebygde roller som lar brukere administrere identiteter (f.eks. domeneadministrator), bør eierskapet til 5.16 ligge hos personen som har den ultimate ansvar for hele organisasjonens nettverk, inkludert alle underdomener og Active Directory-leiere.
Overholdelse av kontroll 5.16 oppnås gjennom en kombinasjon av å sikre at identitetsbaserte prosedyrer er tydelig artikulert i policydokumenter, og overvåking av daglig etterlevelse blant ansatte.
5.16 viser seks hovedprosedyrer som en organisasjon må følge for å oppfylle de nødvendige standardene for infosec og cybersikkerhetsstyring:
Samsvar – IT-policyer må tydelig angi at brukere ikke skal dele påloggingsinformasjon, eller tillate andre brukere å streife rundt i nettverket ved å bruke en annen identitet enn den de har blitt tildelt.
Samsvar – Organisasjoner bør behandle registrering av delte identiteter som en egen prosedyre for enkeltbrukeridentiteter, med en dedikert godkjenningsarbeidsflyt.
Samsvar – Som med delte identiteter, bør ikke-menneskelige identiteter i sin tur ha sin egen godkjennings- og registreringsprosess som erkjenner den underliggende forskjellen mellom å tildele en identitet til en person, og å gi en til en eiendel, applikasjon eller enhet.
Samsvar – IT-ansatte bør gjennomføre regelmessige revisjoner som viser identiteter i bruksrekkefølge, og identifiserer hvilke enheter (menneskelige eller ikke-menneskelige) som kan suspenderes eller slettes. HR-ansatte bør inkludere identitetshåndtering i sine offboarding-prosedyrer, og informere IT-ansatte om avganger i tide.
Samsvar – IT-personell bør være årvåken når de tildeler roller på tvers av et nettverk, og sikre at enheter ikke gis tilgangsrettigheter basert på flere identiteter.
Samsvar – Begrepet «betydelig hendelse» kan tolkes på ulike måter, men på et grunnleggende nivå organisasjoner trenger for å sikre at deres styringsprosedyrer inkluderer dokumentasjon for identitetsregistrering, robuste endringsforespørselsprotokoller med en passende godkjenningsprosedyre og muligheten til å produsere en omfattende liste over tildelte identiteter til enhver tid.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
I tillegg til de seks viktigste operasjonelle hensynene, lister 5.16 også fire trinn som organisasjoner må følge når de oppretter en identitet og gir den tilgang til nettverksressurser (endring eller fjerning av tilgangsrettigheter er behandlet i kontroll 5.18):
Samsvar – Det er viktig å erkjenne at identitetshåndtering blir eksponentielt vanskeligere for hver ny identitet som skapes. Organisasjoner bør bare skape nye identiteter når det er et klart behov for det.
Samsvar – Når en forretningscase er godkjent, bør prosedyrer for identitets- og tilgangsstyring inneholde trinn for å sikre at personen eller eiendelen som mottar en ny identitet har nødvendig myndighet til å gjøre det, før en identitet opprettes.
Når enheten er verifisert, bør IT-personalet opprette en identitet som er i tråd med kravene til forretningscase, og er begrenset til det som er angitt i dokumentasjonen for endringsforespørsel.
27002:2022 / 5.16 erstatter 27002:2013/9.2.1 (brukerregistrering og avregistrering) – som selv utgjorde en del av 27002:2013s kontrollsett for brukertilgangsadministrasjon. Selv om det er noen likheter mellom de to kontrollene – for det meste i vedlikeholdsprotokoller og deaktivering av redundante ID-er – inneholder 5.16 et langt mer omfattende sett med retningslinjer som søker å adressere Identity and Access Management som et ende-til-ende-konsept.
Hovedforskjellen mellom 2022-kontrollen og dens 2013-forgjenger er erkjennelsen av at selv om det er forskjeller i registreringsprosessen, behandles ikke lenger menneskelige og ikke-menneskelige identiteter som forskjellige fra hverandre, for generelle nettverksadministrasjonsformål.
Med begynnelsen av moderne identitets- og tilgangsadministrasjon og Windows-baserte RBAC-protokoller, snakker IT-styring og retningslinjer for beste praksis om menneskelige og ikke-menneskelige identiteter mer eller mindre om hverandre. 27002:2013/9.2.1 inneholder ingen veiledning om hvordan man administrerer ikke-menneskelige identiteter, og handler utelukkende om administrasjonen av det den refererer til som "bruker-IDer" (dvs. påloggingsinformasjon som brukes for å få tilgang til et nettverk, sammen med en passord).
Som vi har sett, inneholder 27002:2013/5.16 eksplisitt veiledning om ikke bare de generelle sikkerhetsimplikasjonene av identitetsstyring, men også hvordan organisasjoner bør registrere og behandle informasjon før en identitet blir tildelt, og gjennom hele livssyklusen. Til sammenligning nevner 27002:2013/9.2.1 bare kort den medfølgende rollen som IT-styring spiller, og begrenser seg til den fysiske praksisen med identitetsadministrasjon, slik den utføres av IT-ansatte.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
ISMS.online vil spare deg for tid og penger
Få ditt tilbud
