ISO 27001:2022 Bilaga A 5.18 – Åtkomsträttigheter

Vad är syftet med ISO 27001:2022 bilaga A 5.18?

Enligt bilaga A Kontroll 5.18 kan en organisation implementera procedurer och kontroller för att tilldela, modifiera och återkalla åtkomsträttigheter till informationssystem i enlighet med dess policy för åtkomstkontroll.

Vem har äganderätten till bilaga A 5.18?

Informationssäkerhetsansvarig bör ansvara för att upprätta, implementera och granska lämpliga regler, processer och kontroller för tillhandahållande, ändring och återkallande av åtkomsträttigheter till informationssystem.

Det är informationssäkerhetsansvarigs ansvar att noggrant överväga affärsbehov vid tilldelning, ändring och återkallande av åtkomsträttigheter. Dessutom informationssäkerhetsansvarig bör ha ett nära samarbete med ägare av informationstillgångar för att säkerställa att policyer och procedurer följs.

Tillträdesrätt – vägledning om beviljande och återkallelse

För att tilldela eller återkalla åtkomsträttigheter för alla typer av användare till alla system och tjänster måste en process implementeras (hur enkel och dokumenterad den än är). Helst skulle det knyta an till punkterna ovan och det bredare initiativet HR Security.

Ett informationssystem eller en informationstjänst bör tillhandahållas eller återkallas baserat på följande kriterier: Auktorisation från ägaren av informationssystemet eller tjänsten, verifiering av att åtkomsten är lämplig för den roll som utförs och skydd mot att provisionering sker innan auktorisation har erhållits.

Användare bör alltid ges åtkomst enligt affärskrav som en del av ett affärsstyrt tillvägagångssätt. Även om detta kan låta byråkratiskt, så behöver det inte vara det. Genom att implementera effektiva rutiner med rollbaserad åtkomst till system och tjänster kan detta problem åtgärdas effektivt.

Granskning av användarrättigheter

Tillgångsägare måste granska användarnas åtkomsträttigheter regelbundet under individuella ändringar (vid ombordstigning, rolländringar och utträden) och under bredare granskningar av systemåtkomst.

Tillstånd bör ses över oftare mot bakgrund av den högre risk som är förknippad med privilegierade åtkomsträttigheter. Precis som med 9.2 bör detta göras minst årligen eller närhelst betydande förändringar har gjorts.

Ta bort eller justera åtkomsträttigheter

Det är nödvändigt att ta bort åtkomsträttigheterna för alla anställda och externa parter till informations- och informationsbehandlingsanläggningar vid uppsägning av deras anställning, kontrakt eller avtal (eller att justera deras åtkomsträttigheter vid byte av roll om det behövs).

Om exitpolicyer och -procedurer är väl utformade och anpassade till A.7, kommer detta också att uppnås och visat för revisionsändamål när anställda slutar.

För tilldelning och återkallande av åtkomsträttigheter till autentiserade individer måste organisationer införliva följande regler och kontroller:

• För att få tillgång till och använda relevanta informationstillgångar måste ägaren av informationstillgången auktorisera åtkomst och användning. Dessutom bör organisationer överväga att begära separat godkännande från ledningen innan de beviljar åtkomsträttigheter.
• Hänsyn måste tas till organisationens affärsbehov och dess policy angående passerkontroll.
• Organisationer bör överväga åtskillnad av arbetsuppgifter. Som ett exempel kan godkännande och implementering av åtkomsträttigheter hanteras av separata individer.
• En persons åtkomsträttigheter bör omedelbart återkallas när de inte längre behöver tillgång till informationstillgångar, särskilt om de har lämnat organisationen.
• En tillfällig nyttjanderätt kan beviljas anställda eller annan personal som arbetar för organisationen tillfälligt. När de upphör att vara anställda i organisationen bör deras rättigheter återkallas.
• Organisationens policy för åtkomstkontroll bör bestämma en individs åtkomstnivå och ses över och verifieras regelbundet. Vidare bör den följa andra informationssäkerhetskrav, såsom ISO 27001:2022 Control 5.3, som specificerar åtskillnad av arbetsuppgifter.
• Organisationen bör säkerställa att åtkomsträttigheter aktiveras när lämplig auktoriseringsprocess har slutförts.
• Åtkomsträttigheterna som är förknippade med varje identifiering, såsom ett ID eller fysiskt, bör bibehållas i ett centralt hanteringssystem för åtkomstkontroll.
• Det är absolut nödvändigt att uppdatera en individs nivå av åtkomsträttigheter om deras roll eller skyldigheter ändras.
• Följande metoder kan användas för att ta bort eller ändra fysiska eller logiska åtkomsträttigheter: Borttagning eller ersättning av nycklar, ID-kort eller autentiseringsinformation.
• Logga och underhålla ändringar av en användares fysiska och logiska åtkomsträttigheter är obligatoriska.

Kompletterande riktlinjer för granskning av åtkomsträttigheter

Regelbundna granskningar av fysiska och logiska åtkomsträttigheter bör ta hänsyn till följande:

• När en användare befordras eller degraderas inom samma organisation eller när deras anställning upphör kan deras åtkomsträttigheter ändras.
• Procedur för auktorisering av privilegierat åtkomst.

Vägledning om ändringar i anställning eller uppsägning av anställning

Riskfaktorer bör beaktas vid utvärdering och ändring av en anställds åtkomsträttigheter till informationsbehandlingssystem. Detta är innan de befordras eller degraderas inom samma organisation:

• Detta inkluderar att avgöra om den anställde initierade uppsägningsprocessen eller organisationen initierade den och orsaken till uppsägningen.
• En beskrivning av medarbetarens nuvarande ansvar inom organisationen.
• Anställdas tillgång till informationstillgångar och deras betydelse och värde.

Ytterligare tilläggsvägledning

Det rekommenderas att organisationer upprättar användaråtkomstroller i enlighet med deras affärskrav. Utöver typerna och antalet åtkomsträttigheter som ska ges till varje användargrupp, bör dessa roller specificera typen av åtkomsträttigheter.

Att skapa sådana roller kommer att göra åtkomstförfrågningar och rättigheter att hanteras och granskas lättare.

Det rekommenderas att organisationer inkluderar bestämmelser i sina anställnings-/tjänsteavtal med sin personal som tar itu med obehörig åtkomst till deras system och sanktioner för sådan åtkomst. Bilaga A kontroller 5.20, 6.2, 6.4 och 6.6 bör följas.

Organisationer måste vara försiktiga när de hanterar missnöjda anställda som sagts upp av ledningen eftersom de avsiktligt kan skada informationssystem.

Organisationer som bestämmer sig för att använda kloningstekniker för att bevilja åtkomsträttigheter bör göra det baserat på de roller som organisationen har definierat.

Det finns en risk förknippad med kloning genom att alltför stora åtkomsträttigheter kan beviljas.

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

ISO 27001:2022 bilaga A 5.18 ersätter ISO 27001:2013 Bilaga A kontroller 9.2.2, 9.2.5 och 9.2.6.

2022-versionen innehåller mer omfattande krav för att bevilja och återkalla åtkomsträttigheter

2013 års version av bilaga A Kontroll 9.2.2 beskrev sex krav för att tilldela och återkalla åtkomsträttigheter; Bilaga A Kontroll 5.18 inför dock ytterligare tre krav utöver dessa sex:

1. Tillfällig nyttjanderätt kan tillfälligt beviljas anställda eller annan personal som arbetar för organisationen. Så snart de slutar arbeta för organisationen bör dessa rättigheter återkallas.
2. Att ta bort eller ändra fysiska eller logiska åtkomsträttigheter kan utföras på följande sätt: Ta bort eller byta ut nycklar, ID-kort eller autentiseringsinformation.
3. Ändring av en användares fysiska eller logiska åtkomsträttigheter bör loggas och dokumenteras.

Krav på privilegierade åtkomsträttigheter är mer detaljerade i 2013 års version

Enligt ISO 27001:2013 anger bilaga A Kontroll 9.5 uttryckligen att organisationer bör granska auktorisationen för privilegierade åtkomsträttigheter oftare än andra åtkomsträttigheter. Detta krav inkluderades inte i bilaga A Kontroll 5.18 i version 2022.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Hur ISMS.online Hjälp

ISO 27001:2022, bilaga A 5.18, är en av de mest diskuterade klausulerna. Många hävdar att det är den viktigaste klausulen i hela dokumentet.

Detta beror på att hela Information Security Management System (ISMS) bygger på att säkerställa att lämpliga personer har tillgång till rätt information vid rätt tidpunkt. För att nå framgång krävs att det blir rätt, men det kan allvarligt påverka ditt företag.

Tänk dig till exempel om du av misstag avslöjat konfidentiell personalinformation för fel person, till exempel varje anställds lön.

Ett misstag här kan få betydande konsekvenser, så det är värt att ta dig tid att tänka igenom det ordentligt.

Vår plattformen kan vara till stor hjälp i detta avseende. Som ett resultat följer den hela strukturen av ISO 27001 och låter dig adoptera, anpassa och lägga till innehållet vi tillhandahåller. Detta ger dig en betydande fördel. Varför inte schemalägg en demo för att lära dig mer?