ISO 27002:2022, Kontroll 8.5 – Sikker autentisering

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

mennesker,arbeider,i,moderne,kontor.,gruppe,unge,programmerere,sittende

Formål med kontroll 8.5

Sikker autentisering er den primære metoden som menneskelige og ikke-menneskelige brukere bruker når de forsøker å utnytte en organisasjons IKT-ressurser.

I løpet av det siste tiåret har autentiseringsteknologien gjennomgått et grunnleggende skifte fra tradisjonelle brukernavn/passordbaserte valideringer til en en rekke komplementerende teknikker som involverer biometrisk informasjon, logiske og fysiske tilgangskontroller, ekstern enhetsautentisering, SMS-koder og engangspassord (OTP).

27002:2022-8.5 setter alt dette i sammenheng og gir råd til organisasjoner om nøyaktig hvordan de bør være kontrollere tilgangen til deres IKT-systemer og eiendeler via en sikker påloggingsport.

Kontroll 8.5 er en forebyggende kontroll Det opprettholder risiko ved å implementere teknologi og etablere emnespesifikke sikre autentiseringsprosedyrer som sikrer at menneskelige og ikke-menneskelige brukere og identiteter gjennomgår en robust og sikker autentiseringsprosedyre når de forsøker å få tilgang til IKT-ressurser.

Attributttabell

Kontrolltype InformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evner Sikkerhetsdomener
#Forebyggende#Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte #Identitets- og tilgangsadministrasjon#Beskyttelse
Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Eierskap til kontroll 8.5

Kontroll 8.5 omhandler en organisasjons evne til å kontrollere tilgangen til nettverket sitt (og informasjonen og dataene som finnes i) ved kritiske veikryss, for eksempel en påloggingsgateway.

Mens kontrollen omhandler informasjons- og datasikkerhet som et bredere begrep, er den operative veiledningen først og fremst av teknisk karakter.

Som sådan bør eierskapet ligge hos IT-sjefen (eller tilsvarende organisatorisk), som innehar ansvar for organisasjonens daglige IT-administrasjonsfunksjoner.

Generell veiledning om kontroll 8.5

Kontroll 8.5 ber organisasjoner om å vurdere autentiseringskontroller som er relevante for typen og sensitiviteten til dataene og nettverket som blir aksessert, inkludert:

  • Multifaktorautentisering (MFA)

  • Digitale sertifikater

  • Smart tilgangskontroll (smartkort)

  • Biometriske pålogginger

  • Sikre tokens

Det overordnede målet for en organisasjons sikre autentiseringskontroller bør være å forhindre og/eller minimere risikoen for uautorisert tilgang til sine beskyttede systemer.

For å oppnå dette skisserer Kontroll 8.5 12 hovedveiledningspunkter. Organisasjoner bør:

  1. Begrens visningen av informasjon til etter et vellykket autentiseringsforsøk.

  2. Vis en advarsel før-pålogging som tydelig sier at informasjon kun skal nås av autoriserte brukere.

  3. Minimer hjelpen den gir til uautentiserte brukere som prøver å få tilgang til systemet, f.eks. bør organisasjoner ikke røpe hvilken spesifikk del av et påloggingsforsøk som er feil, for eksempel et biometrisk aspekt ved en MFA-pålogging, og i stedet bare si at påloggingsforsøket har mislyktes .

  4. Valider påloggingsforsøket kun når all nødvendig informasjon er gitt til påloggingstjenesten, for å opprettholde sikkerheten.

  5. Implementer industristandard sikkerhetstiltak som beskytter mot generell tilgang og/eller brute force-angrep på påloggingsportaler. Disse tiltakene kan omfatte:

    • CAPTCHA kontroller

    • Tvinger tilbakestilling av passord etter et bestemt antall mislykkede påloggingsforsøk

    • Forhindrer ytterligere påloggingsforsøk etter et forhåndsdefinert antall mislykkede forsøk

  6. Registrerer alle mislykkede påloggingsforsøk for revisjons- og sikkerhetsformål, inkludert bruk i straffesaker og/eller reguleringssaker.

  7. Å starte en sikkerhetshendelse hver gang det oppdages et større påloggingsavvik, for eksempel et oppfattet inntrenging. I disse tilfellene bør alt relevant internt personell varsles, spesielt de med systemadministratortilgang eller evne til å bekjempe ondsinnede påloggingsforsøk.

  8. Etter å ha validert en pålogging, videresend visse deler av informasjonen til en separat datakilde som viser:

    • Dato og klokkeslett for forrige vellykkede pålogging

    • En liste over alle påloggingsforsøk siden siste validerte pålogging

  9. Vis passord som stjerne (eller lignende abstrakte symboler), der det ikke er nødvendig å ikke gjøre det (f.eks. brukertilgjengelighet).

  10. Forby strengt deling av eller visning av passord som klar, lesbar tekst.

  11. Oppretthold en policy for å avslutte sovende påloggingsøkter etter en bestemt tidsperiode. Dette er spesielt relevant for økter som er aktive på steder med høy risiko (eksterne arbeidsmiljøer) eller på brukerleverte eiendeler som personlige bærbare datamaskiner eller mobiltelefoner.

  12. Begrense hvor lang tid en autentisert sesjon kan forbli åpen – selv når den er aktiv – i forhold til informasjonen som får tilgang til (dvs. forretningskritisk informasjon eller økonomisk sensitive applikasjoner).

Se hvordan vi kan hjelpe deg

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Veiledning – Biometriske pålogginger

ISO anbefaler at på grunn av en rekke faktorer knyttet til effektiviteten og integriteten til biometriske påloggingsprosesser fremfor tradisjonelle mål (passord, MFA, tokens etc.), biometriske autentiseringsmetoder bør ikke brukes isolert, og ledsaget av minst én annen påloggingsteknikk.

Endringer og forskjeller fra ISO 27002:2013

27002:2022-8.5 erstatter 27002:2014-9.4.2 (Sikker påloggingsprosedyre).

27002:2022-8.5 inneholder samme 12 veiledningspunkter som motparten fra 2013, med mindre justeringer av ordlyden, og følger samme sett med underliggende sikkerhetsprinsipper.

I tråd med fremveksten av MFA og biometriske påloggingsteknologier det siste tiåret, inneholder 27002:2022-8.5 eksplisitt veiledning om bruken av begge teknikkene som organisasjoner bør vurdere når de formulerer sitt eget sett med påloggingskontroller.

Hvordan ISMS.online hjelper

Vår skybaserte plattform gir deg et robust rammeverk av informasjonssikkerhetskontroller slik at du kan sjekkliste ISMS-prosessen din mens du går for å sikre at den oppfyller kravene til ISO 27000k. Brukt riktig, ISMS. online kan hjelpe deg med oppnå sertifisering med et minimum av tid og ressurser.

Ta kontakt i dag for å bestill en demo.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer