Hva er hensikten med kontroll 5.16?
5.16 omhandler en organisasjons evne til å identifisere hvem (brukere, grupper av brukere) eller hva (applikasjoner, systemer og enheter) som til enhver tid har tilgang til data eller IT-ressurser, og hvordan disse identitetene gis tilgangsrettigheter på tvers av nettverket.
5.16 er en forebyggende kontroll som opprettholder risiko ved å fungere som hovedperimeter for alle tilknyttede informasjonssikkerhet og cybersikkerhet operasjoner, så vel som den primære modusstyringen som dikterer en organisasjons Identity and Access Management-rammeverk.
Kontrollattributter 5.16
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Beskytte | #Identitets- og tilgangsadministrasjon | #Beskyttelse |
| #Integritet | ||||
| #Tilgjengelighet |
Eierskap
Gitt at 5.16 tjener det som primært er en vedlikeholdsfunksjon, bør eierskapet rettes mot IT-personell som har blitt tildelt globale administratorrettigheter (eller tilsvarende for ikke-Windows-basert infrastruktur).
Selv om det er andre innebygde roller som lar brukere administrere identiteter (f.eks. domeneadministrator), bør eierskapet til 5.16 ligge hos personen som har den ultimate ansvar for hele organisasjonens nettverk, inkludert alle underdomener og Active Directory-leiere.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning
Overholdelse av kontroll 5.16 oppnås gjennom en kombinasjon av å sikre at identitetsbaserte prosedyrer er tydelig artikulert i policydokumenter, og overvåking av daglig etterlevelse blant ansatte.
5.16 viser seks hovedprosedyrer som en organisasjon må følge for å oppfylle de nødvendige standardene for infosec og cybersikkerhetsstyring:
- Der identiteter tildeles en person, er det bare den spesifikke personen som har lov til å autentisere seg med og/eller bruke denne identiteten når han får tilgang til nettverksressurser.
Samsvar – IT-policyer må tydelig angi at brukere ikke skal dele påloggingsinformasjon, eller tillate andre brukere å streife rundt i nettverket ved å bruke en annen identitet enn den de har blitt tildelt.
- Noen ganger kan det være nødvendig å tildele en identitet til flere personer – også kjent som en "delt identitet". Denne tilnærmingen bør brukes sparsomt, og kun for å tilfredsstille et eksplisitt sett med operasjonelle krav.
Samsvar – Organisasjoner bør behandle registrering av delte identiteter som en egen prosedyre for enkeltbrukeridentiteter, med en dedikert godkjenningsarbeidsflyt.
- Såkalte "ikke-menneskelige" enheter (som navnet antyder, enhver identitet som ikke er knyttet til en faktisk bruker) bør vurderes annerledes enn brukerbaserte identiteter ved registreringspunktet.
Samsvar – Som med delte identiteter, bør ikke-menneskelige identiteter i sin tur ha sin egen godkjennings- og registreringsprosess som erkjenner den underliggende forskjellen mellom å tildele en identitet til en person, og å gi en til en eiendel, applikasjon eller enhet.
- Identiteter som ikke lenger er påkrevd (leavers, redundante eiendeler osv.) bør deaktiveres av en nettverksadministrator, eller fjernes helt etter behov.
Samsvar – IT-ansatte bør gjennomføre regelmessige revisjoner som viser identiteter i bruksrekkefølge, og identifiserer hvilke enheter (menneskelige eller ikke-menneskelige) som kan suspenderes eller slettes. HR-ansatte bør inkludere identitetshåndtering i sine offboarding-prosedyrer, og informere IT-ansatte om avganger i tide.
- Dupliserte identiteter bør unngås for enhver pris. Bedrifter bør følge en regel "én enhet, én identitet" over hele linjen.
Samsvar – IT-personell bør være årvåken når de tildeler roller på tvers av et nettverk, og sikre at enheter ikke gis tilgangsrettigheter basert på flere identiteter.
- Det bør føres tilstrekkelig journal over alle "vesentlige hendelser" angående identitetshåndtering og autentiseringsinformasjon.
Samsvar – Begrepet «betydelig hendelse» kan tolkes på ulike måter, men på et grunnleggende nivå organisasjoner trenger for å sikre at deres styringsprosedyrer inkluderer dokumentasjon for identitetsregistrering, robuste endringsforespørselsprotokoller med en passende godkjenningsprosedyre og muligheten til å produsere en omfattende liste over tildelte identiteter til enhver tid.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Supplerende veiledning
I tillegg til de seks viktigste operasjonelle hensynene, lister 5.16 også fire trinn som organisasjoner må følge når de oppretter en identitet og gir den tilgang til nettverksressurser (endring eller fjerning av tilgangsrettigheter er behandlet i kontroll 5.18):
- Etabler en business case før en identitet opprettes
Samsvar – Det er viktig å erkjenne at identitetshåndtering blir eksponentielt vanskeligere for hver ny identitet som skapes. Organisasjoner bør bare skape nye identiteter når det er et klart behov for det.
- Sørg for at enheten som blir tildelt identiteten (menneskelig eller ikke-menneskelig) er uavhengig bekreftet.
Samsvar – Når en forretningscase er godkjent, bør prosedyrer for identitets- og tilgangsstyring inneholde trinn for å sikre at personen eller eiendelen som mottar en ny identitet har nødvendig myndighet til å gjøre det, før en identitet opprettes.
- Å etablere en identitet
Når enheten er verifisert, bør IT-personalet opprette en identitet som er i tråd med kravene til forretningscase, og er begrenset til det som er angitt i dokumentasjonen for endringsforespørsel.
- Endelig konfigurasjon og aktivering
Finalen trinn i prosessen innebærer tilordne en identitet til dens ulike tilgangsbaserte tillatelser og roller (RBAC), og eventuelle tilknyttede autentiseringstjenester som kreves.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer fra ISO 27002:2013
Informasjon
27002:2022 / 5.16 erstatter 27002:2013/9.2.1 (brukerregistrering og avregistrering) – som selv utgjorde en del av 27002:2013s kontrollsett for brukertilgangsadministrasjon. Selv om det er noen likheter mellom de to kontrollene – for det meste i vedlikeholdsprotokoller og deaktivering av redundante ID-er – inneholder 5.16 et langt mer omfattende sett med retningslinjer som søker å adressere Identity and Access Management som et ende-til-ende-konsept.
Menneskelige vs. ikke-menneskelige identiteter
Hovedforskjellen mellom 2022-kontrollen og dens 2013-forgjenger er erkjennelsen av at selv om det er forskjeller i registreringsprosessen, behandles ikke lenger menneskelige og ikke-menneskelige identiteter som forskjellige fra hverandre, for generelle nettverksadministrasjonsformål.
Med begynnelsen av moderne identitets- og tilgangsadministrasjon og Windows-baserte RBAC-protokoller, snakker IT-styring og retningslinjer for beste praksis om menneskelige og ikke-menneskelige identiteter mer eller mindre om hverandre. 27002:2013/9.2.1 inneholder ingen veiledning om hvordan man administrerer ikke-menneskelige identiteter, og handler utelukkende om administrasjonen av det den refererer til som "bruker-IDer" (dvs. påloggingsinformasjon som brukes for å få tilgang til et nettverk, sammen med en passord).
Teknisk dokumentasjon
Som vi har sett, inneholder 27002:2013/5.16 eksplisitt veiledning om ikke bare de generelle sikkerhetsimplikasjonene av identitetsstyring, men også hvordan organisasjoner bør registrere og behandle informasjon før en identitet blir tildelt, og gjennom hele livssyklusen. Til sammenligning nevner 27002:2013/9.2.1 bare kort den medfølgende rollen som IT-styring spiller, og begrenser seg til den fysiske praksisen med identitetsadministrasjon, slik den utføres av IT-ansatte.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
