ISO 27002:2022, Kontroll 8.5, Sikker autentisering

ISO 27002:2022 – Kontroll 8.5 – Sikker autentisering

ISO 27002 Control 8.5 fokuserer på å implementere sikre autentiseringsmetoder som multifaktorautentisering (MFA), biometri og sikre tokens for å forhindre uautorisert tilgang til IT-systemer. Den legger vekt på beste praksis som å begrense informasjonsvisning før pålogging, bruk av advarsler før pålogging og begrense påloggingshjelp til uautoriserte brukere.

Formål med kontroll 8.5

Sikker autentisering er den primære metoden som menneskelige og ikke-menneskelige brukere bruker når de forsøker å utnytte en organisasjons IKT-ressurser.

I løpet av det siste tiåret har autentiseringsteknologien gjennomgått et grunnleggende skifte fra tradisjonelle brukernavn/passordbaserte valideringer til en en rekke komplementerende teknikker som involverer biometrisk informasjon, logiske og fysiske tilgangskontroller, ekstern enhetsautentisering, SMS-koder og engangspassord (OTP).

27002:2022-8.5 setter alt dette i sammenheng og gir råd til organisasjoner om nøyaktig hvordan de bør være kontrollere tilgangen til deres IKT-systemer og eiendeler via en sikker påloggingsport.

Kontroll 8.5 er en forebyggende kontroll Det opprettholder risiko ved å implementere teknologi og etablere emnespesifikke sikre autentiseringsprosedyrer som sikrer at menneskelige og ikke-menneskelige brukere og identiteter gjennomgår en robust og sikker autentiseringsprosedyre når de forsøker å få tilgang til IKT-ressurser.

Attributttabell for kontroll 8.5

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Identitets- og tilgangsadministrasjon	#Beskyttelse
	#Integritet
	#Tilgjengelighet

Eierskap til kontroll 8.5

Kontroll 8.5 omhandler en organisasjons evne til å kontrollere tilgangen til nettverket sitt (og informasjonen og dataene som finnes i) ved kritiske veikryss, for eksempel en påloggingsgateway.

Mens kontrollen omhandler informasjons- og datasikkerhet som et bredere begrep, er den operative veiledningen først og fremst av teknisk karakter.

Som sådan bør eierskapet ligge hos IT-sjefen (eller tilsvarende organisatorisk), som innehar ansvar for organisasjonens daglige IT-administrasjonsfunksjoner.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning om kontroll 8.5

Kontroll 8.5 ber organisasjoner om å vurdere autentiseringskontroller som er relevante for typen og sensitiviteten til dataene og nettverket som blir aksessert, inkludert:

Multifaktorautentisering (MFA)
Digitale sertifikater
Smart tilgangskontroll (smartkort)
Biometriske pålogginger
Sikre tokens

Det overordnede målet for en organisasjons sikre autentiseringskontroller bør være å forhindre og/eller minimere risikoen for uautorisert tilgang til sine beskyttede systemer.

For å oppnå dette skisserer Kontroll 8.5 12 hovedveiledningspunkter. Organisasjoner bør:

Begrens visningen av informasjon til etter et vellykket autentiseringsforsøk.
Vis en advarsel før-pålogging som tydelig sier at informasjon kun skal nås av autoriserte brukere.
Minimer hjelpen den gir til uautentiserte brukere som prøver å få tilgang til systemet, f.eks. bør organisasjoner ikke røpe hvilken spesifikk del av et påloggingsforsøk som er feil, for eksempel et biometrisk aspekt ved en MFA-pålogging, og i stedet bare si at påloggingsforsøket har mislyktes .
Valider påloggingsforsøket kun når all nødvendig informasjon er gitt til påloggingstjenesten, for å opprettholde sikkerheten.
Implementer industristandard sikkerhetstiltak som beskytter mot generell tilgang og/eller brute force-angrep på påloggingsportaler. Disse tiltakene kan omfatte:

CAPTCHA kontroller
Tvinger tilbakestilling av passord etter et bestemt antall mislykkede påloggingsforsøk
Forhindrer ytterligere påloggingsforsøk etter et forhåndsdefinert antall mislykkede forsøk

Registrerer alle mislykkede påloggingsforsøk for revisjons- og sikkerhetsformål, inkludert bruk i straffesaker og/eller reguleringssaker.
Å starte en sikkerhetshendelse hver gang det oppdages et større påloggingsavvik, for eksempel et oppfattet inntrenging. I disse tilfellene bør alt relevant internt personell varsles, spesielt de med systemadministratortilgang eller evne til å bekjempe ondsinnede påloggingsforsøk.
Etter å ha validert en pålogging, videresend visse deler av informasjonen til en separat datakilde som viser:

Dato og klokkeslett for forrige vellykkede pålogging
En liste over alle påloggingsforsøk siden siste validerte pålogging

Vis passord som stjerne (eller lignende abstrakte symboler), der det ikke er nødvendig å ikke gjøre det (f.eks. brukertilgjengelighet).
Forby strengt deling av eller visning av passord som klar, lesbar tekst.
Oppretthold en policy for å avslutte sovende påloggingsøkter etter en bestemt tidsperiode. Dette er spesielt relevant for økter som er aktive på steder med høy risiko (eksterne arbeidsmiljøer) eller på brukerleverte eiendeler som personlige bærbare datamaskiner eller mobiltelefoner.
Begrense hvor lang tid en autentisert sesjon kan forbli åpen – selv når den er aktiv – i forhold til informasjonen som får tilgang til (dvs. forretningskritisk informasjon eller økonomisk sensitive applikasjoner).

Veiledning – Biometriske pålogginger

ISO anbefaler at på grunn av en rekke faktorer knyttet til effektiviteten og integriteten til biometriske påloggingsprosesser fremfor tradisjonelle mål (passord, MFA, tokens etc.), biometriske autentiseringsmetoder bør ikke brukes isolert, og ledsaget av minst én annen påloggingsteknikk.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022-8.5 erstatter 27002:2014-9.4.2 (Sikker påloggingsprosedyre).

27002:2022-8.5 inneholder samme 12 veiledningspunkter som motparten fra 2013, med mindre justeringer av ordlyden, og følger samme sett med underliggende sikkerhetsprinsipper.

I tråd med fremveksten av MFA og biometriske påloggingsteknologier det siste tiåret, inneholder 27002:2022-8.5 eksplisitt veiledning om bruken av begge teknikkene som organisasjoner bør vurdere når de formulerer sitt eget sett med påloggingskontroller.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Vår skybaserte plattform gir deg et robust rammeverk av informasjonssikkerhetskontroller slik at du kan sjekkliste ISMS-prosessen din mens du går for å sikre at den oppfyller kravene til ISO 27000k. Brukt riktig, ISMS. online kan hjelpe deg med oppnå sertifisering med et minimum av tid og ressurser.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt