Åtkomstkontroll styr sätten på vilka mänskliga och icke-mänskliga enheter på ett givet nätverk ges åtkomst till data, IT-resurser och applikationer.
Enligt den kompletterande vägledningen nämner Kontroll 5.15 (men begränsar sig inte till) fyra olika typer av åtkomstkontroll, som i stort sett kan klassificeras enligt följande:
5.15 är en förebyggande kontroll som upprätthåller risken genom att förbättra en organisations underliggande förmåga för att kontrollera tillgången till data och tillgångar.
5.15 anger uttryckligen att tillgång till resurser bör beviljas och ändras baserat på en konkret uppsättning kommersiella och informationssäkerhetskrav.
Organisationer bör implementera 5.15 för att underlätta säker åtkomst till data och minimera risken för obehörig åtkomst till deras nätverk – vare sig det är fysiskt eller virtuellt.
| Kontrolltyp | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativ förmåga | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
Medan 5.15 förlitar sig på att chefspersonal från olika delar av en organisation upprätthåller en grundlig förståelse för vem som behöver tillgång till vilka resurser (dvs. HR-information om en anställds jobbroll, vilket i sin tur dikterar deras RBAC-parametrar), är åtkomsträttigheter i slutändan en underhållsfunktion som kontrolleras av personal med administrativa rättigheter över ett givet nätverk.
Som sådan bör ägandet av 5.15 vila hos en medlem av högsta ledningen med övergripande teknisk auktoritet över en organisations domäner, underdomäner, applikationer, resurser och tillgångar, såsom en IT-chef.
Överensstämmelse med kontroll 5.15 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till åtkomstkontroll (mer känd som ett "problemspecifikt" tillvägagångssätt).
Ämnesspecifika tillvägagångssätt uppmuntrar organisationer att skapa Access Kontrollpolicyer som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en generell åtkomstkontrollpolicy som gäller för data- och resursåtkomst över hela linjen.
Kontroll 5.15 kräver åtkomstkontrollpolicyer för alla ämnesspecifika områden för att ta hänsyn till följande 11 vägledningspunkter. Några av vägledningspunkterna nedan korsar olika andra kontroller, som är listade som referens.
Organisationer bör konsultera dessa medföljande kontroller från fall till fall för ytterligare information.
Compliance – Detta uppnås enkelt genom att hålla ett korrekt register över jobbroller och krav på dataåtkomst, som är i linje med din organisationsstruktur.
Compliance - En formell riskbedömning skulle kunna utföras för att undersöka säkerhetsegenskaperna för enskilda applikationer.
Compliance – Din organisation måste kunna visa att du har en robust uppsättning av byggnads- och rumskontroller, inklusive hanterade inträdessystem, säkerhetsperimetrar och besöksprocedurer, där så är lämpligt.
Compliance – Företag bör följa strikta policyer för bästa praxis som inte ger generell tillgång till data över ett organisationsschema.
Compliance – Dataåtkomsträttigheter utöver det som en standardanvändare har måste vara nära övervakas och granskas.
Compliance – Organisationer skräddarsyr sina egna åtkomstkontrollpolicyer i enlighet med eventuella externa skyldigheter de har med avseende på data, tillgångar och tillgång till resurser.
Compliance – Policyer bör innefatta kontroller som eliminerar en individs möjlighet att äventyra en bredare åtkomstkontrollfunktion, baserat på deras egna åtkomstnivåer (dvs. en anställd som har förmågan att begära, auktorisera och implementera ändringar i ett nätverk).
Compliance – Åtkomstkontrollpolicyer måste erkänna att även om åtkomstkontroll är en fristående funktion, så består den av ett antal individuella steg som har sina egna krav på ämnesvis basis.
Compliance – Organisationer bör implementera en auktoriseringsprocess som kräver formellt, dokumenterat godkännande från en lämplig anställd.
Compliance – Dataintegritet och säkerhetsperimetrar måste upprätthållas genom en kontinuerlig cykel av periodiska revisioner, HR-tillsyn (överträder etc.) och jobbspecifika förändringar (t.ex. avdelningsförflyttningar och rolländringar).
Compliance – Organisationen bör samla in och lagra data om åtkomsthändelser (t.ex. filaktivitet) tillsammans med skydd mot obehörig åtkomst till säkerhetshändelseloggar, och arbeta med en omfattande uppsättning av incidenthantering förfaranden.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Som vi har diskuterat beviljas åtkomstkontrollregler till olika enheter (mänskliga och icke-mänskliga) som finns på ett givet nätverk, som i sin tur får "roller" som dikterar deras övergripande krav.
När din organisation definierar och inför sin egen uppsättning åtkomstkontrollpolicyer ber 5.15 dig att ta hänsyn till följande fyra punkter:
Kontroll 5.15 är uttryckligen att kräva att organisationer sysselsätter sig med dokumentation och en strukturerad lista över ansvarsområden. ISO 27002 innehåller många liknande krav över hela listan med kontroller – här är de individuella kontrollerna som är mest relevanta för 5.15:
Kontroll 5.15 ger organisationer ett stort utrymme när det gäller att välja granularitetsnivån i deras regler för åtkomstkontroll.
ISO råder företag att utöva sin egen bedömning av hur detaljerad en given uppsättning regler måste vara på anställd-för-anställd-basis, och hur många åtkomstvariabler som tillämpas på någon del av data.
5.15 erkänner uttryckligen att ju mer detaljerade ett företags åtkomstkontrollpolicyer är, desto högre kostnad och desto svårare blir hela konceptet för åtkomstkontroll över flera platser, nätverkstyper och applikationsvariabler.
Åtkomstkontroll som koncept, om det inte hanteras noggrant, kan snart gå över styr. Det är nästan alltid en bra idé att förenkla reglerna för åtkomstkontroll för att göra dem enklare och mer kostnadseffektiva att hantera.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
27002:2013/5.15 är en sammanslagning av två liknande kontroller i 27002:2013 – 9.1.1 (Access control policy) och 9.1.2 (Tillgång till nätverk och nätverkstjänster).
I allmänhet tar både 9.1.1 och 9.1.2 upp samma underliggande teman som 5.15 och följer i stort sett samma uppsättning riktlinjer för styrning, med några subtila operativa skillnader.
Både 2022 och 2013 års kontroller handlar om att administrera tillgång till information, tillgångar och resurser och att arbeta enligt en "need to know"-princip som behandlar företagsdata som en vara som måste hanteras och skyddas noggrant.
Samtliga 27002:2013/9.1.1:s 11 styrande riktlinjer löper enligt samma allmänna linjer som ses i 27002:2013/5.15, där den senare har en marginellt större tonvikt på fysisk säkerhet och perimetersäkerhet.
Stödande vägledning om implementering av åtkomstkontroll är i stort sett densamma, men 2022-kontrollen gör ett mycket bättre jobb med att erbjuda kortfattad, praktisk vägledning över sina fyra implementeringsriktlinjer.
5.15 erkänner de olika typerna av åtkomstkontrollmetoder som har dykt upp under de senaste 9 åren (MAC, DAC, ABAC), medan 27002:2013/9.1.1 begränsar sin vägledning till RBAC – den vanligaste metoden för kommersiell åtkomstkontroll vid den tiden .
I samband med tekniska förändringar som ger organisationer större kontroll över sina data, innehåller ingen av kontrollerna från 2013 någon meningsfull anvisning om hur en organisation bör närma sig granulära åtkomstkontroller, medan 27002:2013/5.15 ger organisationer ett betydande utrymme.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
