ISO 27001 – Bilaga A.9: Tillträdeskontroll

Vad är bilaga A.9?

Bilaga A.9 handlar om tillträdeskontrollprocedurer. Syftet med bilaga A.9 är att säkerställa tillgången till information och säkerställa att anställda endast kan se information som är relevant för deras arbete. Den här guiden tar dig igenom allt du behöver veta om bilaga A.9.

Bilaga A.9 är uppdelad i fyra sektioner och du måste arbeta igenom var och en. De är åtkomstkontroller, användaråtkomsthantering, användaransvar och åtkomstkontroller för applikationer.

Vad är syftet med bilaga A.9.1?

Bilaga A.9.1 handlar om affärskrav för åtkomstkontroll. Syftet med denna kontroll av bilaga A är att begränsa tillgången till informations- och informationsbehandlingsanläggningar.

Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering. Låt oss förstå dessa krav och vad de betyder lite mer på djupet.

A.9.1.1 Åtkomstkontrollpolicy

En policy för tillträdeskontroll ska upprättas, dokumenteras och ses över regelbundet med hänsyn till verksamhetens krav på tillgångarna i omfattning.

Regler för åtkomstkontroll, rättigheter och begränsningar tillsammans med djupet på de kontroller som används bör återspegla informationssäkerhetsriskerna kring informationen och organisationens aptit att hantera dem. Enkelt uttryckt åtkomstkontroll handlar om vem som behöver veta, vem som behöver använda och hur mycket de får tillgång till.

Åtkomstkontroller kan vara digitala och fysiska till sin natur, t.ex. behörighetsbegränsningar för användarkonton samt begränsningar för vem som kan komma åt vissa fysiska platser (i linje med bilaga A.11 Fysisk säkerhet och miljösäkerhet). Policyn bör ta hänsyn till:

• Säkerhetskrav för affärsapplikationer och anpassa sig till informationsklassificeringsschemat som används enligt A.8 Asset Management;
• Förtydliga vem som behöver komma åt, känna till, vem som behöver använda informationen – med stöd av dokumenterade rutiner och ansvar;
• Hantering av åtkomsträttigheter och privilegierade åtkomsträttigheter (mer kraft – se nedan) inklusive tillägg i livets förändringar (t.ex. superanvändare/administratörskontroller) och periodiska granskningar (t.ex. genom regelbundna interna revisioner i linje med krav 9.2.
• Regler för åtkomstkontroll bör stödjas av formella förfaranden och definierade ansvarsområden.

Tillträdeskontrollen måste ses över baserat på förändringar i roller och i synnerhet under utträde, för att anpassas till bilaga A.7 Personalsäkerhet.

A.9.1.2 Tillgång till nätverk och nätverkstjänster

Principen om minsta tillgång är det allmänna tillvägagångssätt som föredras för skydd, snarare än obegränsad tillgång och superanvändarrättigheter utan noggrant övervägande.

Som sådana ska användare endast få tillgång till nätverket och nätverkstjänsterna de behöver använda eller känna till för sitt jobb. Politiken måste därför ta itu med; Nätverken och nätverkstjänsterna i utrymme för åtkomst; Auktoriseringsprocedurer för att visa vem (rollbaserad) som får tillgång till vad och när; och förvaltningskontroller och procedurer för att förhindra åtkomst och övervaka det i livet.

Detta måste också beaktas vid onboarding och offboarding, och är nära relaterat till själva åtkomstkontrollpolicyn.

Vad är syftet med bilaga A.9.2?

Bilaga A.9.2 handlar om användaråtkomsthantering. Syftet med denna bilaga A-kontroll är att säkerställa att användare har behörighet att få åtkomst till system och tjänster samt att förhindra obehörig åtkomst.

A.9.2.1 Användarregistrering och avregistrering

En formell process för användarregistrering och avregistrering måste implementeras. En bra process för hantering av användar-ID inkluderar att kunna associera individuella ID:n till riktiga personer och begränsa ID:n för delad åtkomst, som bör godkännas och registreras där det görs.

En bra ombordstignings- och utträdesprocess knyter an till A7 Human Resource Security för att visa snabb och tydlig registrering/avregistrering tillsammans med undvikande av återutgivning av gamla ID:n. En regelbunden granskning av ID:s kommer att illustrera god kontroll och förstärker den löpande ledningen.

Det kan kopplas till de interna revisioner som noteras ovan för åtkomstkontrollrevisioner och periodiska granskningar av informationstillgången eller bearbetningsapplikationens ägare.

A.9.2.2 Provisionering av användaråtkomst

En process (hur enkel och dokumenterad än) måste implementeras för att tilldela eller återkalla åtkomsträttigheter för alla användartyper till alla system och tjänster. Bra gjort det hänger ihop med punkterna ovan samt det bredare HR-säkerhetsarbetet.

Provisionerings- och återkallelseprocess bör inkludera; Tillstånd från ägaren av informationssystemet eller tjänsten för användning av informationssystemet eller tjänsten; Verifiera att den beviljade åtkomsten är relevant för rollen som utförs; och skydda mot att provisionering görs innan auktoriseringen är klar.

Användaråtkomst bör alltid vara affärsstyrd och åtkomst baserad på verksamhetens krav. Detta kan låta byråkratiskt men det behöver inte vara det och effektiva enkla procedurer med rollbaserad åtkomst av system och tjänster kan hantera det.

A.9.2.3 Hantering av privilegierade åtkomsträttigheter

A.9.2.3 handlar om att hantera vanligtvis mer kraftfulla och högre "privilegierade" åtkomstnivåer, t.ex. systemadministrationsbehörigheter jämfört med normala användarrättigheter.

Tilldelningen och användningen av privilegierade åtkomsträttigheter måste kontrolleras noggrant med tanke på de extra rättigheter som vanligtvis förmedlas över informationstillgångar och de system som kontrollerar dem. Till exempel möjligheten att radera arbete eller i grunden påverka informationens integritet. Den bör vara i linje med de formella auktorisationsprocesserna vid sidan av åtkomstkontrollpolicyn.

Det kan inkludera; system för system klarhet om privilegierade åtkomsträttigheter (som kan hanteras inuti applikationen); tilldelning på grundval av behovet att använda, inte ett generellt tillvägagångssätt; En process och ett register över alla tilldelade privilegier bör upprätthållas (vid sidan av inventeringen av informationstillgångar eller som en del av A.9-beviset; och kompetensen hos användare som beviljats ​​rättigheterna måste ses över regelbundet för att överensstämma med deras skyldigheter.

Detta är ytterligare ett bra område att ta med i internrevisionen för att visa kontroll.

En av de största bidragande faktorerna till misslyckanden eller systembrott är olämplig och allmän användning av systemadministrationsprivilegier med mänskliga fel som leder till mer skada eller förlust än om ett tillvägagångssätt med "minst åtkomst" användes.

Annan god praxis för detta område inkluderar att separera rollen som systemadministratör från den dagliga användarrollen och att ha en användare med två konton om de utför olika jobb på samma plattform.

A.9.2.4 Hantering av hemlig autentiseringsinformation för användare

Hemlig autentiseringsinformation är en gateway för att komma åt värdefulla tillgångar. Den innehåller vanligtvis lösenord, krypteringsnycklar etc. så måste kontrolleras genom en formell hanteringsprocess och måste hållas konfidentiell för användaren.

Detta är vanligtvis kopplat till anställningsavtal och disciplinära processer (A.7) och leverantörsskyldigheter (A13.2.4 och A.15) om de delar med externa parter.

Rutiner bör fastställas för att verifiera en användares identitet innan ny, ersättningsinformation eller tillfällig hemlig autentiseringsinformation tillhandahålls. All hemlig standardautentiseringsinformation som tillhandahålls som en del av en ny systemanvändning bör ändras så snart som möjligt.

A.9.2.5 Granskning av användarrättigheter

Tillgångsägare måste granska användarnas åtkomsträttigheter med jämna mellanrum, både kring individuell ändring (ombordstigning, byte av roll och exit) samt bredare granskningar av systemåtkomsten.

Auktorisationer för privilegierade åtkomsträttigheter bör ses över med tätare intervall med tanke på deras högre riskkaraktär. Detta ansluter till 9.2 för internrevisioner och bör göras minst årligen eller när större förändringar sker.

A.9.2.6 Borttagning eller justering av åtkomsträttigheter

Som beskrivits ovan måste åtkomsträttigheter för alla anställda och externa parter till informations- och informationsbehandlingsanläggningar tas bort vid uppsägning av deras anställning, kontrakt eller avtal (eller justeras vid byte av roll om så krävs).

En bra exitpolicy och förfaranden som passar ihop med A.7 kommer också att säkerställa att detta uppnås och visas för revisionsändamål när människor lämnar.

Vad är syftet med bilaga A.9.3?

Bilaga A.9.3 handlar om användaransvar. Syftet med denna kontroll av bilaga A är att göra användarna ansvariga för att skydda sin autentiseringsinformation.

A.9.3.1 Användning av hemlig autentiseringsinformation

Det här handlar helt enkelt om att se till att användarna följer policyerna och kommer därför att knyta an till A7 Human Resource Security för kontrakt, användarutbildning för medvetenhet och efterlevnad, samt sunt förnuft.

Dessa inkluderar: Håll all hemlig autentiseringsinformation konfidentiell; Undvik att föra register över det som kan nås av obehöriga parter; Ändra det närhelst det finns förslag på möjlig kompromiss; välj kvalitetslösenord med tillräcklig minsta längd och styrka för att följa bredare lösenordspolicykontroller i bilaga A.9.4.

Vad är syftet med bilaga A.9.4?

Bilaga A.9.4 handlar om system- och applikationsåtkomstkontroll. Syftet med denna bilaga A-kontroll är att förhindra obehörig åtkomst till system och applikationer.

A.9.4.1 Begränsning av informationsåtkomst

Tillgång till information och applikationssystemfunktioner måste kopplas till policyn för åtkomstkontroll. Viktiga överväganden bör inkludera:

Dessa inkluderar:

• Rollbaserad åtkomstkontroll (RBAC);
• Tillträdesnivåer;
• Design av "meny"-system inom applikationer;
• Läsa, skriva, ta bort och köra behörigheter;
• Begränsa produktionen av information; och
• Fysiska och/eller logiska åtkomstkontroller till känsliga applikationer, data och system.

Revisorn kommer att kontrollera att överväganden har gjorts för att begränsa åtkomsten inom system och applikationer som stöder åtkomstkontrollpolicyer, affärskrav, risknivåer och åtskillnad av arbetsuppgifter.

A.9.4.2 Säkra inloggningsprocedurer

Åtkomst till system och applikationer måste kontrolleras av en säker inloggningsprocedur för att bevisa användarens identitet.

Detta kan gå utöver den typiska lösenordsmetoden till multifaktorautentisering, biometri, smartkort och andra sätt för kryptering baserat på risken som övervägs.

Säker inloggning bör utformas så att den inte lätt kan kringgås och att all autentiseringsinformation överförs och lagras krypterat för att förhindra avlyssning och missbruk.

ISO 27002-vägledning är viktig kring detta ämne, liksom specialistorgan som National Cyber ​​Security Center (NCSC). Ytterligare tips inkluderar:

• Inloggningsprocedurer bör utformas så att de inte lätt kan kringgås och att all autentiseringsinformation överförs och lagras krypterad för att förhindra avlyssning och missbruk.
• Inloggningsprocedurer bör också innehålla en display som anger att åtkomst endast är för behöriga användare. Detta är utformat för att stödja cybersäkerhetslagstiftning såsom
• Computer Misuse Act 1990 (Storbritannien).
• Både en framgångsrik och misslyckad in- och utloggning bör loggas på ett säkert sätt för att ge rättsmedicinsk bevisförmåga och varningar för misslyckade försök och eventuella lockouter bör övervägas.
• Beroende på systemets karaktär bör åtkomsten begränsas till vissa tider på dagen eller tidsperioder och potentiellt till och med begränsas beroende på plats.

I praktiken bör affärsbehoven och informationen i riskzonen driva in- och utloggningsprocedurerna. Det är inte värt att ha 25 steg att logga in på, sedan ha snabba timeouts etc om personalen då inte kan göra sitt jobb bra och tillbringar oproportionerligt mycket tid i denna loop.

A.9.4.3 Lösenordshanteringssystem

Syftet med ett lösenordshanteringssystem är att säkerställa att kvalitetslösenord uppfyller den erforderliga nivån och tillämpas konsekvent.

Lösenordsgenerering och hanteringssystem är ett bra sätt att centralisera tillhandahållandet av åtkomst och de tjänar till att minska risken för att människor använder samma inloggning för allt, vilket illustreras i den här lilla historien om vad som händer när en kund kontaktar vårt team angående ett glömt lösenord !

Som med alla kontrollmekanismer måste lösenordsgenerering och hanteringssystem implementeras noggrant för att säkerställa adekvata och proportionerliga skyddsnivåer.

Där det är möjligt ska användare kunna välja sina egna lösenord eftersom det gör dem lättare att komma ihåg än maskingenererade, men det måste vara upp till en viss styrka.

Det finns många motstridiga åsikter om lösenordshanteringssystem och lösenordspolicyer, så vi uppmuntrar organisationer att titta på de ofta föränderliga bästa praxis och anta tillvägagångssätt baserat på organisationens riskaptit och kultur.

Som nämnts ovan är NCSC ett bra ställe att granska de senaste metoderna eller helt enkelt be oss presentera dig för en av våra partners för hjälp.

A.9.4.4 Användning av Privileged Utility-program

Verktygsdatorprogram som kan åsidosätta system- och programkontroller måste hanteras noggrant.

Kraftfulla system- och nätverksprogram kan skapa ett attraktivt mål för illvilliga angripare och åtkomst till dem måste begränsas till det minsta antalet personer. Eftersom sådana verktyg lätt kan lokaliseras och laddas ner från internet är det också viktigt att användarna begränsas i sin förmåga att installera programvara så mycket som möjligt vägt mot affärskrav och riskbedömning. Användning av verktygsprogram bör loggas och övervakas/granskas regelbundet för att tillfredsställa revisorernas önskemål.

A.9.4.5 Åtkomstkontroll till programkällkod

Åtkomst till programmets källkod måste vara begränsad. Tillgång till programkällkod och tillhörande artiklar (såsom design, specifikationer, verifieringsplaner och valideringsplaner) bör kontrolleras strikt.

Programkällkod kan vara sårbar för attacker om den inte är tillräckligt skyddad och kan ge en angripare ett bra sätt att kompromissa med system på ett ofta hemligt sätt. Om källkoden är central för affärsframgången kan dens förlust också snabbt förstöra affärsvärdet.

Kontrollerna bör inkludera hänsyn till:

• Så få personer som möjligt har tillgång
• Håller källkoden borta från operativa system (endast kompilerad kod)
• Tillgången till källkoden är så begränsad som möjligt (neka-som-standard)
• Tillgång till källkod som loggas och loggarna granskas regelbundet
• Starka och strikta rutiner för förändringskontroll
• Frekventa revisioner och granskningar

Varför är bilaga A.9 viktig?

Bilaga A.9 är förmodligen den mest omtalade klausulen i hela bilaga A, och vissa skulle hävda att den är den viktigaste.

Detta beror på att hela ditt Information Security Management System (ISMS) bygger på att se till att rätt personer har tillgång till rätt information vid rätt tidpunkt. Att få det rätt är en av nycklarna till framgång, men att göra fel kan ha en enorm inverkan på ditt företag.

Föreställ dig om du av misstag gav åtkomst till konfidentiell personalinformation till fel personer, som att avslöja vad alla i verksamheten får betalt till exempel.

Konsekvenserna av att få den här delen fel kan vara betydande, så det är värt att lägga tillräckligt med tid på att tänka igenom det hela.