Sikker autentisering er den primære metoden som menneskelige og ikke-menneskelige brukere bruker når de forsøker å utnytte en organisasjons IKT-ressurser.
I løpet av det siste tiåret har autentiseringsteknologien gjennomgått et grunnleggende skifte fra tradisjonelle brukernavn/passordbaserte valideringer til en en rekke komplementerende teknikker som involverer biometrisk informasjon, logiske og fysiske tilgangskontroller, ekstern enhetsautentisering, SMS-koder og engangspassord (OTP).
27002:2022-8.5 setter alt dette i sammenheng og gir råd til organisasjoner om nøyaktig hvordan de bør være kontrollere tilgangen til deres IKT-systemer og eiendeler via en sikker påloggingsport.
Kontroll 8.5 er en forebyggende kontroll Det opprettholder risiko ved å implementere teknologi og etablere emnespesifikke sikre autentiseringsprosedyrer som sikrer at menneskelige og ikke-menneskelige brukere og identiteter gjennomgår en robust og sikker autentiseringsprosedyre når de forsøker å få tilgang til IKT-ressurser.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Identitets- og tilgangsadministrasjon | #Beskyttelse |
Kontroll 8.5 omhandler en organisasjons evne til å kontrollere tilgangen til nettverket sitt (og informasjonen og dataene som finnes i) ved kritiske veikryss, for eksempel en påloggingsgateway.
Mens kontrollen omhandler informasjons- og datasikkerhet som et bredere begrep, er den operative veiledningen først og fremst av teknisk karakter.
Som sådan bør eierskapet ligge hos IT-sjefen (eller tilsvarende organisatorisk), som innehar ansvar for organisasjonens daglige IT-administrasjonsfunksjoner.
Kontroll 8.5 ber organisasjoner om å vurdere autentiseringskontroller som er relevante for typen og sensitiviteten til dataene og nettverket som blir aksessert, inkludert:
Det overordnede målet for en organisasjons sikre autentiseringskontroller bør være å forhindre og/eller minimere risikoen for uautorisert tilgang til sine beskyttede systemer.
For å oppnå dette skisserer Kontroll 8.5 12 hovedveiledningspunkter. Organisasjoner bør:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO anbefaler at på grunn av en rekke faktorer knyttet til effektiviteten og integriteten til biometriske påloggingsprosesser fremfor tradisjonelle mål (passord, MFA, tokens etc.), biometriske autentiseringsmetoder bør ikke brukes isolert, og ledsaget av minst én annen påloggingsteknikk.
27002:2022-8.5 erstatter 27002:2014-9.4.2 (Sikker påloggingsprosedyre).
27002:2022-8.5 inneholder samme 12 veiledningspunkter som motparten fra 2013, med mindre justeringer av ordlyden, og følger samme sett med underliggende sikkerhetsprinsipper.
I tråd med fremveksten av MFA og biometriske påloggingsteknologier det siste tiåret, inneholder 27002:2022-8.5 eksplisitt veiledning om bruken av begge teknikkene som organisasjoner bør vurdere når de formulerer sitt eget sett med påloggingskontroller.
Vår skybaserte plattform gir deg et robust rammeverk av informasjonssikkerhetskontroller slik at du kan sjekkliste ISMS-prosessen din mens du går for å sikre at den oppfyller kravene til ISO 27000k. Brukt riktig, ISMS. online kan hjelpe deg med oppnå sertifisering med et minimum av tid og ressurser.
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |