ISO 27002:2022, Kontroll 5.17 – Autentiseringsinformasjon

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

oppstart, programmering, team., nettsted, designer, fungerer, digitalt, nettbrett, dock, tastatur

Autentiseringsinformasjon som passord, krypteringsnøkler og kortbrikker er inngangsporten til informasjonssystemer som er vert for sensitive informasjonsressurser.

Dårlig administrasjon eller feilaktig tildeling av autentiseringsinformasjon kan føre til uautorisert tilgang til informasjonssystemer og tap av konfidensialitet, tilgjengelighet og integritet til sensitive informasjonsressurser.

For eksempel, GoodFirms 2021-forskning viser at 30 % av alle datainnbrudd oppstår som følge av svake passord eller dårlige rutiner for passordbehandling.

Derfor bør organisasjoner ha en robust prosess for behandling av autentiseringsinformasjon for å tildele, administrere og beskytte autentiseringsinformasjon.

Formål med kontroll 5.17

Kontroll 5.17 gjør det mulig for organisasjoner å allokere og administrere autentiseringsinformasjon på riktig måte, eliminere risikoen for feil i autentiseringsprosessen og forhindre sikkerhetsrisikoer som kan oppstå på grunn av kompromittering av autentiseringsinformasjon.

Attributttabell

Kontroll 5.17 er en forebyggende type kontroll som krever at organisasjoner etablerer og implementerer en hensiktsmessig håndteringsprosess for autentiseringsinformasjon.

Kontrolltype InformasjonssikkerhetsegenskaperKonsepter for cybersikkerhet Operasjonelle evnerSikkerhetsdomener
#Forebyggende#Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte #Identitets- og tilgangsadministrasjon#Beskyttelse
Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Eierskap til kontroll 5.17

Tatt i betraktning at Kontroll 5.17 innebærer etablering og implementering av organisasjonsomfattende regler, prosedyrer og tiltak for tildeling og forvaltning av autentiseringsinformasjon, bør informasjonssikkerhetsansvarlige være ansvarlige for etterlevelse av kontroll 5.17.

Veiledning om tildeling av autentiseringsinformasjon

Organisasjoner bør overholde følgende seks krav for tildeling og administrasjon av autentiseringsinformasjon:

  • Når personlige passord eller personlige identifikasjonsnumre genereres automatisk for registrering av nye brukere, bør de ikke kunne gjettes. Videre bør passord være unike for hver bruker og det må være obligatorisk å endre passord etter første gangs bruk.

  • Organisasjoner bør etablere robuste prosedyrer for å autentisere identiteten til en bruker før han/hun får en ny eller erstatningsgodkjenningsinformasjon eller han/hun får midlertidig informasjon.

  • Organisasjoner bør sørge for sikker overføring av autentiseringsinformasjon til enkeltpersoner via sikre kanaler, og de bør ikke sende denne informasjonen over usikre elektroniske meldinger (f.eks. klartekst).

  • Brukere bør bekrefte mottak av autentiseringsinformasjonen.

  • Etter at nye IT-systemer og programvare er installert, bør organisasjoner endre standard autentiseringsinformasjon umiddelbart.

  • Organisasjoner bør etablere og vedlikeholde registre over alle viktige hendelser knyttet til administrasjon og tildeling av autentiseringsinformasjon. Videre bør disse postene holdes konfidensielle og journalføringsmetoder bør godkjennes, for eksempel ved bruk av et godkjent passordverktøy.

Veiledning om brukeransvar

Brukere som kan få tilgang til og bruke autentiseringsinformasjon bør instrueres om å overholde følgende:

  1. Brukere må opprettholde konfidensialiteten til hemmelig autentiseringsinformasjon som passord og bør ikke dele slik hemmelig informasjon med noen andre. Når flere brukere er involvert i bruken av autentiseringsinformasjon eller informasjonen er knyttet til ikke-personlige enheter, skal autentiseringsinformasjonen ikke utleveres til uautoriserte personer.

  2. Brukere må endre passordene sine umiddelbart hvis konfidensialiteten til passordene deres blir kompromittert.

  3. Brukere bør velge sterke passord som er vanskelige å gjette ved å følge bransjens beste praksis. For eksempel:

    • Passord bør ikke velges basert på personlig informasjon som er lett å få tak i, for eksempel navn eller fødselsdato.

    • Passord bør ikke opprettes basert på noe som lett kan gjettes.

    • Passord bør ikke inneholde ordbokord eller kombinasjoner av disse ordene.

    • Alfanumeriske tegn og spesialtegn skal brukes i passordet.

    • Det bør være en minimumslengde for passord.

  4. Brukere bør ikke bruke samme passord for forskjellige tjenester.

  5. Organisasjoner bør inkludere kravene til opprettelse og bruk av passord i sine arbeidskontrakter med sine ansatte.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Veiledning om passordbehandlingssystemer

Organisasjoner bør overholde følgende når de etablerer et passordbehandlingssystem:

  • Brukere bør få lov til å opprette og endre passordene sine, og det bør være en bekreftelsesprosedyre på plass for å sikre at inndatafeil blir identifisert og løst.

  • Organisasjoner bør implementere en sterk prosess for valg av passord, og ta hensyn til industriens beste praksis for valg av passord.

  • Brukere bør tvinges til å endre standardpassordet etter at de først har fått tilgang til et system.

  • Passordendringer bør implementeres når det er nødvendig. For eksempel vil passordendring være nødvendig etter en sikkerhetshendelse eller etter oppsigelse av en ansettelse hos en bruker hvis denne brukeren har tilgang til passord.

  • Tidligere passord bør ikke gjenbrukes.

  • Bruk av svært vanlige passord eller kompromitterte passord eller brukernavn som brukes for tilgang til hackede systemer, bør være forbudt.

  • Når passord skrives inn, skal de være synlige på skjermen i ren tekst.

  • Passord bør lagres og overføres via beskyttede kanaler og i et sikkert format.

Videre bør organisasjoner utføre hashing- og krypteringsteknikker i samsvar med de autoriserte kryptografimetodene for passord som angitt i Kontroll 8.24.

Supplerende veiledning om kontroll 5.17

I tillegg til passord finnes det andre typer autentiseringsinformasjon som kryptografiske nøkler, smartkort og biometriske data som fingeravtrykk.

Organisasjoner anbefales å referere til ISO/IEC 24760-serien for mer detaljert veiledning om autentiseringsinformasjon.

Tatt i betraktning at hyppig endring av passord kan være tungvint og irriterende for brukere, kan organisasjoner vurdere å implementere alternative metoder som enkeltpålogging eller passordhvelv. Det skal imidlertid bemerkes at disse alternative metodene kan utsette autentiseringsinformasjon for høyere risiko for uautorisert avsløring.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Endringer og forskjeller fra ISO 27002:2013

27002:2022/5.17 erstatter 27002:2013/(9.2.4, 9.3.1 9.4.3)

2022-versjonen inneholder et nytt krav for tildeling og administrasjon av autentiseringsinformasjon

Selv om 2013- og 2022-versjonen er svært like når det gjelder kravene for tildeling og administrasjon av autentiseringsinformasjon, introduserer Control 5.17 i 2022-versjonen følgende krav, som ikke var inkludert i 2013-versjonen:

  • Organisasjoner bør etablere og vedlikeholde registre over alle viktige hendelser knyttet til administrasjon og tildeling av autentiseringsinformasjon. Videre bør disse postene holdes konfidensielle og journalføringsmetoder bør godkjennes, for eksempel ved bruk av et godkjent passordverktøy.

Kontroll 5.17 i 2022-versjonen inneholder et tilleggskrav for bruk av autentiseringsinformasjon

Kontroll 5.17 introduserer følgende krav for brukeransvar som ikke ble referert til i kontroll 9.3.1 i 2013-versjonen.

  • Organisasjoner bør inkludere kravene til opprettelse og bruk av passord i sine arbeidskontrakter med sine ansatte og ansatte.

2013-versjonen inneholdt ytterligere krav for brukeransvar som ikke var inkludert i 2022-versjonen

I motsetning til 2022-versjonen inneholdt kontroll 9.3.1 følgende krav for bruk av autentiseringsinformasjon:

  • Brukere bør ikke bruke den samme autentiseringsinformasjonen, for eksempel et passord, for både forretningsmessige og ikke-forretningsformål.

2013-versjonen inneholdt et tilleggskrav for passordbehandlingssystemer som ikke var inkludert i 2022-versjonen

Kontroll 9.4.3 i 2013-versjonen inkluderte følgende krav for passordbehandlingssystemer.

  • Filer som inneholder passord bør lagres i et separat system fra applikasjonssystemdata.

Kontroll 5.17 i 2022-versjonen inneholdt tvert imot ikke dette kravet.

Hvordan ISMS.online hjelper

ISMS.Online hjelper organisasjoner og virksomheter med å oppfylle kravene i ISO 27002 ved å gi dem en plattform som gjør det enkelt å administrere retningslinjer og prosedyrer for konfidensialitet eller taushetsplikt, oppdatere dem etter behov, teste dem og overvåke effektiviteten.

Vi tilbyr en skybasert plattform for administrasjon av styringssystemer for konfidensialitet og informasjonssikkerhet, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.

Kontakt oss i dag for planlegg en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer