ISO 27002, Kontroll 8.3, Begrensning av informasjonstilgang

ISO 27002:2022 – Kontroll 8.3 – Begrensning av informasjonstilgang

ISO 27002 Kontroll 8.3 – Begrensning av informasjonstilgang fremhever behovet for organisasjoner å implementere strenge kontroller for å forhindre uautorisert tilgang til informasjon og IKT-ressurser. Den legger vekt på dynamisk tilgangsadministrasjon, og sikrer detaljert kontroll over hvem som kan få tilgang til data, samtidig som sikkerheten og responstidene forbedres.

Formål med kontroll 8.3

Tilgang til informasjon fra interne og eksterne kilder er hjørnesteinen i en organisasjonens informasjonssikkerhetspolicy.

Kontroll 8.3 er en forebyggende kontroll Det opprettholder risiko ved å etablere en rekke regler og prosedyrer som forhindrer uautorisert tilgang/misbruk av en organisasjons informasjon og IKT-ressurser.

Attributttabell for kontroll 8.3

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Identitets- og tilgangsadministrasjon	#Beskyttelse
	#Integritet
	#Tilgjengelighet

Eierskap til kontroll 8.3

Kontroll 8.3 omhandler en organisasjons evne til kontrollere tilgang til informasjon.

Som sådan, eierskapet bør ligge hos Chief Information Security Officer (eller tilsvarende organisatorisk), som har ansvaret for organisasjonens overordnede informasjons- og datasikkerhetspraksis.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning om kontroll 8.3

For å opprettholde effektiv kontroll over informasjon og IKT-ressurser, og til støtte for tilgangsbegrensende tiltak, bør organisasjoner sørge for følgende i tråd med a emnespesifikk tilnærming til informasjonstilgang:

Forhindre anonym tilgang til informasjon, inkludert vidtrekkende offentlig tilgang.

Der offentlig eller tredjeparts tilgang gis, bør organisasjoner sikre at tilgangen ikke omfatter sensitive eller forretningskritiske data.

Operer med tilstrekkelige vedlikeholdstiltak som kontrollerer systemtilgang, og eventuelle tilknyttede forretningsapplikasjoner eller prosesser.
Dikter datatilgang på bruker-for-bruker-basis.
Spesifiser datatilgangsrettigheter mellom grupper som validerer spesifikke dataoperasjoner, for eksempel lese, skrive, slette og utføre.
Behold muligheten til å partisjonere forretningskritiske prosesser og applikasjoner ved hjelp av en rekke fysiske og digitale tilgangskontroller.

Veiledning – Dynamic Access Management

Kontroll 8.3 tar til orde for en dynamisk tilnærming til informasjonstilgang.

Dynamisk tilgangsadministrasjon har mange gjenværende fordeler for organisasjonsprosesser som har behovet for å dele eller bruke interne data med eksterne brukere, inkludert raskere hendelsesløsningstider.

Dynamisk tilgang ledelsesteknikker beskytter et bredt spekter av informasjon typer, fra standarddokumenter til e-poster og databaseinformasjon, og har muligheten til å brukes på en detaljert fil-for-fil-basis, noe som muliggjør tett kontroll av data på organisasjonsnivå.

Organisasjoner bør vurdere en slik tilnærming når:

Krever granulær kontroll over hva menneskelige og ikke-menneskelige brukere kan få tilgang til slik informasjon til enhver tid.
Behovet for å dele informasjon med eksterne parter (som leverandører eller reguleringsorganer) oppstår.
Vurderer en "sanntids"-tilnærming til dataadministrasjon og distribusjon som involverer overvåking og styring av databruk etter hvert som den oppstår.
Sikring av informasjon mot uautoriserte endringer, deling eller utskrift (utskrift osv.).
Overvåking av tilgang til og endring av informasjon, spesielt når den aktuelle informasjonen er av sensitiv karakter.

Dynamisk tilgangsadministrasjon er spesielt nyttig for organisasjoner som trenger å overvåke og beskytte data fra opprettelse til sletting, inkludert:

Skissere en brukstilfelle (eller serie med brukstilfeller) som bruker datatilgangsregler basert på følgende variabler:

Identitet
Enhet
Vårt kontor:
Søknad

Skisserer en prosess som dekker av drift og overvåking av data, og etablere en grundig rapporteringsprosess som igjen er informert av en god teknisk infrastruktur.

Alle anstrengelser for å formulere en dynamisk tilgangsstyringsmetode bør resultere i data blir beskyttet by:

Å sikre at tilgang til data er sluttresultatet av en vellykket autentiseringsprosess.
En grad av begrenset tilgang, basert på datatypen og dens evnepåvirkning Forretnings kontinuitet.
Kryptering.
Utskriftstillatelser.
Grundig revisjonslogger som registrerer hvem som har tilgang til data, og hvordan disse dataene brukes.
En varslingsprosedyre som markerer upassende databruk, inkludert (men ikke begrenset til) uautorisert tilgang og distribusjon, og forsøk på sletting.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022-8.3 replaces 27002:2013-9.4.1 (Informasjonstilgangsbegrensning), og representerer et stort skifte i hvordan ISO vurderer informasjonstilgangsstyring i samsvar med den nevnte dynamiske tilnærmingen (en teknikk som ikke er nevnt i 27002:2013-9.4.1)

27002:2022-8.3 inneholder en stor mengde veiledningsnotater knyttet til dynamisk tilgangsstyring som er fraværende fra 2013-motparten, og organisasjoner anbefales å vurdere disse på et emne-for-emne-basis når de søker sertifisering.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.Online er den ledende ISO 27002 styringssystemprogramvaren som støtter samsvar med ISO 27002, og hjelper bedrifter med å tilpasse sine sikkerhetspolicyer og prosedyrer med standarden.

Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp en styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.

Vår plattform har blitt designet fra bunnen av med hjelp av informasjonssikkerhetseksperter fra hele verden, og vi har utviklet den på en måte som gjør det enkelt for personer uten teknisk kunnskap om styringssystemer for informasjonssikkerhet (ISMS) å bruke det.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt