ISO 27001:2022 Bilaga A 5.15 – Tillträdeskontroll

Åtkomstkontrollpolicy

För att hantera tillgången till tillgångar inom ramen för en organisation måste en policy för åtkomstkontroll utvecklas, dokumenteras och ses över med jämna mellanrum.

Åtkomstkontroll styr hur mänskliga och icke-mänskliga enheter på ett nätverk får tillgång till data, IT-resurser och applikationer.

Informationssäkerhetsrisker förknippade med informationen och organisationens aptit att hantera dem bör återspeglas i reglerna, rättigheterna och begränsningarna och djupet i kontrollerna som används. Det handlar helt enkelt om att bestämma vem som har tillgång till vad, hur mycket och vem som inte har.

Det är möjligt att ställa in digitala och fysiska åtkomstkontroller, såsom att begränsa användarkontobehörigheter eller begränsa åtkomst till specifika fysiska platser (i linje med bilaga A.7 Fysisk säkerhet och miljösäkerhet). Policyn bör ta hänsyn till följande överväganden:

• Det är väsentligt att anpassa säkerhetskraven för affärsapplikationer med informationsklassificeringsschemat som används enligt bilaga A 5.9, 5.10, 5.11, 5.12, 5.13 och 7.10 avseende Asset Management.
• Identifiera vem som behöver tillgång till, kunskap om och användning av information – tillsammans med tydligt definierade rutiner och ansvar.
• Se till att åtkomsträttigheter och privilegier åtkomsträttigheter (mer kraft – se nedan) hanteras effektivt, inklusive tillägg av förändringar i livet (t.ex. kontroller för superanvändare/administratörer) och periodiska granskningar (t.ex. periodiska interna revisioner per krav Bilaga A 5.15, 5.16, 5.17, 5.18 & 8.2).
• En formell procedur och definierade ansvarsområden bör stödja reglerna för tillträdeskontroll.

Det är viktigt att se över åtkomstkontrollen när rollerna ändras, särskilt vid utgångar, för att följa bilaga A.7 Human Resource Security.

Nätverk och nätverkstjänster är tillgängliga för användare

Ett allmänt tillvägagångssätt för skydd är minsta åtkomst snarare än obegränsad åtkomst och superanvändarrättigheter utan noggrant övervägande.

Följaktligen bör användare endast ges tillgång till nätverk och nätverkstjänster krävs för att fullgöra sina skyldigheter. Politiken måste ta itu med; Nätverken och nätverkstjänsterna i utrymme för åtkomst; Auktoriseringsprocedurer för att visa vem (rollbaserad) som får tillgång till vad och när; och ledningskontroller och procedurer för att förhindra åtkomst och övervaka den i händelse av en incident.

Ombordstigning och avstigning bör också ta hänsyn till denna fråga, som är nära relaterad till policyn för tillträdeskontroll.

Syftet med ISO 27001:2022 bilaga A 5.15

Som en förebyggande kontroll förbättrar bilaga A 5.15 en organisations underliggande förmåga att kontrollera åtkomst till data och tillgångar.

En konkret uppsättning av kommersiell och informationssäkerhet behov måste tillgodoses innan tillgång till resurser kan beviljas och ändras enligt bilaga A Kontroll 5.15.

ISO 27001 Annex A 5.15 ger riktlinjer för att underlätta säker åtkomst till data och minimera risken för obehörig åtkomst till fysiska och virtuella nätverk.

Äganderätt till bilaga A 5.15

Såsom visas i bilaga A 5.15, ledningspersonal över olika delar av en organisationen måste ha en grundlig förståelse av vilka resurser som behöver nås (t.ex. Förutom att HR informerar anställda om deras jobbroller, som dikterar deras RBAC-parametrar, är åtkomsträttigheter i slutändan en underhållsfunktion som kontrolleras av nätverksadministratörer.

En organisations ägarskap i bilaga A 5.15 bör ligga hos en medlem av högsta ledningen som har övergripande teknisk auktoritet över företagets domäner, underdomäner, applikationer, resurser och tillgångar. Det här kan vara IT-chefen.

Allmän vägledning om ISO 27001:2022 bilaga 5.15

Ett ämnesspecifikt tillvägagångssätt för åtkomstkontroll krävs för att uppfylla ISO 27001:2022 Annex A Control 5.15 (mer känd som en problemspecifik metod).

Istället för att följa en generell åtkomstkontrollpolicy som gäller för resurs- och dataåtkomst i hela organisationen, uppmuntrar ämnesspecifika tillvägagångssätt organisationer att skapa åtkomstkontrollpolicyer riktade mot enskilda affärsfunktioner.

För alla ämnesspecifika områden kräver bilaga A Kontroll 5.15 att policyer för åtkomstkontroll beaktar de 11 punkterna nedan. Vissa av dessa riktlinjer överlappar andra policyer.

Som en riktlinje bör organisationer konsultera de medföljande kontrollerna för ytterligare information från fall till fall:

• Identifiera vilka enheter som behöver tillgång till vissa tillgångar och information.
• Att upprätthålla ett register över jobbroller och krav på dataåtkomst i enlighet med din organisations organisationsstruktur är det enklaste sättet att säkerställa efterlevnad.
• Säkerhet och integritet för alla relevanta applikationer (länkat till Control 8.2).
• En formell riskbedömning skulle kunna göras för att bedöma säkerhetsegenskaperna för enskilda ansökningar.
• Kontroll av fysisk åtkomst till en webbplats (länkar till kontroller 7.2, 7.3 och 7.4).
• Som en del av ditt efterlevnadsprogram måste din organisation visa upp en robust uppsättning av byggnads- och rumskontroller, inklusive hanterade inträdessystem, säkerhetsperimetrar och besökarprocedurer, där så är lämpligt.
• När det kommer till distribution, säkerhet och kategorisering av information bör principen "need to know" tillämpas i hela organisationen (kopplad till 5.10, 5.12 och 5.13).
• Företag bör följa strikta riktlinjer för bästa praxis som inte ger generell åtkomst till data i en organisations hierarki.
• Se till att privilegierade åtkomsträttigheter är begränsade (relaterat till 8.2).
• Åtkomstprivilegierna för användare som ges åtkomst till data utöver den för en standardanvändare måste övervakas och granskas.
• Säkerställa efterlevnad av all gällande lagstiftning, sektorspecifika regleringsriktlinjer eller avtalsförpliktelser avseende dataåtkomst (se 5.31, 5.32, 5.33, 5.34 och 8.3).
• En organisations åtkomstkontrollpolicyer anpassas efter externa skyldigheter avseende dataåtkomst, tillgångar och resurser.
• Hålla ett öga på potentiella intressekonflikter.
• Policyerna bör innehålla kontroller för att förhindra en individ från att äventyra en bredare åtkomstkontrollfunktion baserat på deras åtkomstnivåer (dvs. en anställd som kan begära, auktorisera och implementera ändringar i ett nätverk).
• En åtkomstkontrollpolicy bör hantera de tre huvudfunktionerna – förfrågningar, auktorisationer och administration – oberoende av varandra.
• En policy för åtkomstkontroll måste erkänna att den, trots sin självständiga karaktär, består av flera individuella steg, som vart och ett innehåller sina krav.
• För att säkerställa överensstämmelse med kraven i 5.16 och 5.18 bör tillgångsbegäranden utföras på ett strukturerat, formellt sätt.
• Organisationer bör implementera formella auktorisationsprocesser som kräver formellt, dokumenterat godkännande från lämplig personal.
• Hantera åtkomsträttigheter löpande (länkat till 5.18).
• För att upprätthålla dataintegritet och säkerhetsperimetrar krävs periodiska revisioner, HR-tillsyn (avträdare, etc.) och jobbspecifika förändringar (t.ex. avdelningsförflyttningar och förändringar av roller).
• Upprätthålla adekvata loggar och kontrollera åtkomst till dem Efterlevnad – Organisationer bör samla in och lagra data om åtkomsthändelser (t.ex. filaktivitet), skydda mot obehörig åtkomst till säkerhetshändelseloggar och följa en omfattande incidenthantering strategi.

Kompletterande vägledning om bilaga 5.15

Enligt den kompletterande vägledningen nämner ISO 27001:2022 bilaga A Kontroll 5.15 (utan att begränsa sig till) fyra olika typer av åtkomstkontroll, som i stora drag kan klassificeras enligt följande:

• Mandatory Access Control (MAC) – Åtkomsten hanteras centralt av en enda säkerhetsmyndighet.
• Ett alternativ till MAC är diskretionär åtkomstkontroll (DAC), där ägaren av objektet kan ge andra privilegier inom objektet.
• Ett åtkomstkontrollsystem baserat på fördefinierade jobbfunktioner och privilegier kallas rollbaserad åtkomstkontroll (RBAC).
• Med Attribut-Based Access Control (ABAC) beviljas användarrättigheter baserat på policyer som kombinerar attribut.

Riktlinjer för implementering av regler för åtkomstkontroll

Vi har diskuterat regler för åtkomstkontroll som beviljade till olika enheter (mänskliga och icke-mänskliga) som verkar inom ett nätverk, som tilldelas roller som definierar deras övergripande funktion.

När du definierar och genomför din organisations policyer för åtkomstkontroll, uppmanar bilaga A 5.15 dig att överväga följande fyra faktorer:

1. Överensstämmelse måste upprätthållas mellan de uppgifter som åtkomsträtten gäller och typen av åtkomsträtt.
2. Det är viktigt att säkerställa överensstämmelse mellan din organisations åtkomsträttigheter och fysiska säkerhetskrav (omkrets, etc).
3. Åtkomsträttigheter i en distribuerad datormiljö (som en molnbaserad miljö) tar hänsyn till konsekvenserna av data som finns över ett brett spektrum av nätverk.
4. Tänk på konsekvenserna av dynamiska åtkomstkontroller (en detaljerad metod för att komma åt en detaljerad uppsättning variabler implementerad av en systemadministratör).

Definiera ansvar och dokumentera processen

Enligt ISO 27001:2022 bilaga A Kontroll 5.15 måste organisationer utveckla och underhålla en strukturerad lista över ansvarsområden och dokumentation. Det finns många likheter mellan ISO 27001:2022:s hela lista över kontroller, med bilaga A 5.15 som innehåller de mest relevanta kraven:

Dokumentation

• ISO 27001:2022 bilaga A 5.16
• ISO 27001:2022 bilaga A 5.17
• ISO 27001:2022 bilaga A 5.18
• ISO 27001:2022 bilaga A 8.2
• ISO 27001:2022 bilaga A 8.3
• ISO 27001:2022 bilaga A 8.4
• ISO 27001:2022 bilaga A 8.5
• ISO 27001:2022 bilaga A 8.18

Ansvar

• ISO 27001:2022 bilaga A 5.2
• ISO 27001:2022 bilaga A 5.17

kornighet

Kontroll 5.15 i bilaga A ger organisationer betydande frihet att specificera detaljerna i deras åtkomstkontrollpolicyer.

I allmänhet rekommenderar ISO företag att använda sin bedömning av hur detaljerad en given uppsättning regler bör vara på anställd-för-anställd-basis och hur många variabler som ska tillämpas på en viss information.

Specifikt bekräftar bilaga A 5.15 att ju mer detaljerade ett företags åtkomstkontrollpolicyer är, desto högre kostnad och desto mer utmanande blir konceptet för åtkomstkontroll över flera platser, nätverkstyper och applikationsvariabler.

Åtkomstkontroll, om den inte hanteras noggrant, kan gå ur hand mycket snabbt. Det är klokt att förenkla reglerna för åtkomstkontroll för att säkerställa att de är lättare att hantera och mer kostnadseffektiva.

Fallstudier

MIRACL förvandlar förtroende till en konkurrensfördel med ISO 27001-certifiering

Läs fallstudie

Fallstudier

Xergys verktyg Proteus genererar tillväxt genom ISO 27001-efterlevnad med hjälp av ISMS.online

Läs fallstudie

← →

Vilka är ändringarna från ISO 27001:2013?

Bilaga A 5.15 i 27001:2022 är en sammanslagning av två liknande kontroller i 27001:2013 – Bilaga A 9.1.1 (Åtkomstkontrollpolicy) och bilaga A 9.1.2 (Tillgång till nätverk och nätverkstjänster).

De underliggande teman i A.9.1.1 och A.9.1.2 liknar dem i bilaga A 5.15, förutom några subtila operationella skillnader.

Liksom 2022 hänför sig båda kontrollerna till att administrera åtkomst till information, tillgångar och resurser och fungerar enligt principen om "need to know", där företagsdata behandlas som en vara som kräver noggrann hantering och skydd.

Det finns 11 styrande riktlinjer i 27001:2013 Bilaga A 9.1.1, som alla följer samma allmänna principer som 27001:2022 Bilaga A Kontroll 5.15 med något större tonvikt på perimetersäkerhet och fysisk säkerhet.

Det finns i allmänhet samma implementeringsriktlinjer för åtkomstkontroll, men 2022-kontrollen ger mycket mer kortfattad och praktisk vägledning över dess fyra implementeringsriktlinjer.

Typer av åtkomstkontroller som används i ISO 27001:2013 bilaga A 9.1.1 har ändrats

Som framgår av ISO 27001 Annex A 5.15 har olika former av åtkomstkontroll uppstått under de senaste nio åren (MAC, DAC, ABAC), medan i 27001:2013 Annex A Control 9.1.1, den primära metoden för kommersiell åtkomstkontroll då. tiden var RBAC.

Granularitetsnivå

2013 års kontroller måste innehålla meningsfulla riktlinjer för hur en organisation bör närma sig detaljerade åtkomstkontroller i ljuset av tekniska förändringar som ger organisationer ökad kontroll över sina data.

Däremot ger bilaga A 5.15 till 27001:2022 organisationer stor flexibilitet.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Hur kan ISMS.online hjälpa?

Bilaga A 5.15 i ISO 27001:2022 är förmodligen den mest omtalade klausulen i bilaga A, och vissa hävdar att den är den mest betydelsefulla.

Ditt Information Security Management System (ISMS) syftar till att säkerställa att lämpliga personer har tillgång till rätt information vid rätt tidpunkt. En av nycklarna till framgång är att få det rätt, men att göra det fel kan påverka ditt företag negativt.

Tänk på scenariot där du av misstag avslöjade konfidentiell personalinformation för fel personer, till exempel vad alla i organisationen får betalt.

Om du inte är försiktig kan konsekvenserna av att få den här delen fel bli allvarliga. Därför är det absolut nödvändigt att ta dig tid att noggrant överväga alla aspekter innan du fortsätter.

I detta avseende, vår plattform kan vara en verklig tillgång. Detta beror på att det följer hela strukturen i ISO 27001 och låter dig adoptera, anpassa och berika innehållet vi tillhandahåller för dig, vilket ger dig ett stort försprång.

Få en gratis demo från ISMS.online idag.