ISO 27002:2022 – Kontroll 5.15 – Åtkomstkontroll

Vad är syftet med kontroll 5.15

Enligt den kompletterande vägledningen nämner Kontroll 5.15 (men begränsar sig inte till) fyra olika typer av åtkomstkontroll, som i stort sett kan klassificeras enligt följande:

• Obligatorisk åtkomstkontroll (MAC) – Tillgången hanteras centralt av en enda säkerhetsmyndighet.
• Diskretionär åtkomstkontroll (DAC) – Den motsatta metoden till MAC, där objektägare kan överföra privilegier till andra användare.
• Rollbaserad åtkomstkontroll (RBAC) – Den vanligaste typen av kommersiell åtkomstkontroll, baserad på fördefinierade jobbfunktioner och privilegier.
• Attributbaserad åtkomstkontroll (ABAC) – Åtkomsträttigheter ges till användare genom användning av policyer som kombinerar attribut tillsammans.

5.15 är en förebyggande kontroll som upprätthåller risken genom att förbättra en organisations underliggande förmåga för att kontrollera tillgången till data och tillgångar.

5.15 anger uttryckligen att tillgång till resurser bör beviljas och ändras baserat på en konkret uppsättning kommersiella och informationssäkerhetskrav.

Organisationer bör implementera 5.15 för att underlätta säker åtkomst till data och minimera risken för obehörig åtkomst till deras nätverk – vare sig det är fysiskt eller virtuellt.

Kontrollattribut 5.15

Ägande

Medan 5.15 förlitar sig på att chefspersonal från olika delar av en organisation upprätthåller en grundlig förståelse för vem som behöver tillgång till vilka resurser (dvs. HR-information om en anställds jobbroll, vilket i sin tur dikterar deras RBAC-parametrar), är åtkomsträttigheter i slutändan en underhållsfunktion som kontrolleras av personal med administrativa rättigheter över ett givet nätverk.

Som sådan bör ägandet av 5.15 vila hos en medlem av högsta ledningen med övergripande teknisk auktoritet över en organisations domäner, underdomäner, applikationer, resurser och tillgångar, såsom en IT-chef.

Allmän vägledning

Överensstämmelse med kontroll 5.15 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till åtkomstkontroll (mer känd som ett "problemspecifikt" tillvägagångssätt).

Ämnesspecifika tillvägagångssätt uppmuntrar organisationer att skapa Access Kontrollpolicyer som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en generell åtkomstkontrollpolicy som gäller för data- och resursåtkomst över hela linjen.

Kontroll 5.15 kräver åtkomstkontrollpolicyer för alla ämnesspecifika områden för att ta hänsyn till följande 11 vägledningspunkter. Några av vägledningspunkterna nedan korsar olika andra kontroller, som är listade som referens.

Organisationer bör konsultera dessa medföljande kontroller från fall till fall för ytterligare information.

• Bestäm vilka enheter som kräver tillgång till vissa delar av information och/eller tillgångar.

Compliance – Detta uppnås enkelt genom att hålla ett korrekt register över jobbroller och krav på dataåtkomst, som är i linje med din organisationsstruktur.

• Integriteten och säkerheten för alla relevanta applikationer (kopplade med Control 8.2)

Compliance - En formell riskbedömning skulle kunna utföras för att undersöka säkerhetsegenskaperna för enskilda applikationer.

• Fysiska (webbplats) åtkomstkontroller (länkade med kontroller 7.2, 7.3 och 7.4)

Compliance – Din organisation måste kunna visa att du har en robust uppsättning av byggnads- och rumskontroller, inklusive hanterade inträdessystem, säkerhetsperimetrar och besöksprocedurer, där så är lämpligt.

• En företagsomfattande "need to know"-princip när det gäller informationsdistribution, säkerhet och kategorisering (kopplad med 5.10, 5.12 och 5.13)

Compliance – Företag bör följa strikta policyer för bästa praxis som inte ger generell tillgång till data över ett organisationsschema.

• Säkerställ begränsningar av privilegierade åtkomsträttigheter (länkat till 8.2)

Compliance – Dataåtkomsträttigheter utöver det som en standardanvändare har måste vara nära övervakas och granskas.

• Efterlevnad av rådande lagar, sektorspecifika regleringsriktlinjer eller avtalsförpliktelser relaterade till dataåtkomst (kopplat till 5.31, 5.32, 5.33, 5.34 och 8.3)

Compliance – Organisationer skräddarsyr sina egna åtkomstkontrollpolicyer i enlighet med eventuella externa skyldigheter de har med avseende på data, tillgångar och tillgång till resurser.

• Övervakning av potentiella pliktkonflikter

Compliance – Policyer bör innefatta kontroller som eliminerar en individs möjlighet att äventyra en bredare åtkomstkontrollfunktion, baserat på deras egna åtkomstnivåer (dvs. en anställd som har förmågan att begära, auktorisera och implementera ändringar i ett nätverk).

• De tre huvudfunktionerna i en åtkomstkontrollpolicy – ​​förfrågningar, auktoriseringar och administration – bör hanteras isolerat

Compliance – Åtkomstkontrollpolicyer måste erkänna att även om åtkomstkontroll är en fristående funktion, så består den av ett antal individuella steg som har sina egna krav på ämnesvis basis.

• Åtkomstförfrågningar bör utföras på ett strukturerat, formellt sätt (länkat till 5.16 och 5.18)

Compliance – Organisationer bör implementera en auktoriseringsprocess som kräver formellt, dokumenterat godkännande från en lämplig anställd.

• Löpande hantering av åtkomsträttigheter (länkat till 5.18)

Compliance – Dataintegritet och säkerhetsperimetrar måste upprätthållas genom en kontinuerlig cykel av periodiska revisioner, HR-tillsyn (överträder etc.) och jobbspecifika förändringar (t.ex. avdelningsförflyttningar och rolländringar).

• Upprätthålla adekvata loggar och kontrollera åtkomsten till dem

Compliance – Organisationen bör samla in och lagra data om åtkomsthändelser (t.ex. filaktivitet) tillsammans med skydd mot obehörig åtkomst till säkerhetshändelseloggar, och arbeta med en omfattande uppsättning av incidenthantering förfaranden.

Vägledning om implementering av regler för åtkomstkontroll

Som vi har diskuterat beviljas åtkomstkontrollregler till olika enheter (mänskliga och icke-mänskliga) som finns på ett givet nätverk, som i sin tur får "roller" som dikterar deras övergripande krav.

När din organisation definierar och inför sin egen uppsättning åtkomstkontrollpolicyer ber 5.15 dig att ta hänsyn till följande fyra punkter:

1. Säkerställ överensstämmelse mellan åtkomsträtten och den typ av data den gäller.
2. Säkerställ överensstämmelse mellan åtkomsträtten och fysiska säkerhetskrav för din organisation (omkrets etc).
3. Där din organisation arbetar under en distribuerad datormiljö som inkluderar flera distinkta nätverk eller uppsättningar av resurser (som en molnbaserad miljö), tar åtkomsträttigheter hänsyn till konsekvenserna av data som finns över ett brett utbud av nätverkstjänster.
4. Var uppmärksam på implikationerna kring dynamiska åtkomstkontroller (en detaljerad metod för åtkomst som implementeras av systemadministratörer till en detaljerad uppsättning variabler).

Dokumentation och definierade ansvarsområden

Kontroll 5.15 är uttryckligen att kräva att organisationer sysselsätter sig med dokumentation och en strukturerad lista över ansvarsområden. ISO 27002 innehåller många liknande krav över hela listan med kontroller – här är de individuella kontrollerna som är mest relevanta för 5.15:

Dokumentation

• 5.16
• 5.17
• 5.18
• 8.2
• 8.3
• 8.4
• 8.5
• 8.18

Ansvar

• 5.2
• 5.17

kornighet

Kontroll 5.15 ger organisationer ett stort utrymme när det gäller att välja granularitetsnivån i deras regler för åtkomstkontroll.

ISO råder företag att utöva sin egen bedömning av hur detaljerad en given uppsättning regler måste vara på anställd-för-anställd-basis, och hur många åtkomstvariabler som tillämpas på någon del av data.

5.15 erkänner uttryckligen att ju mer detaljerade ett företags åtkomstkontrollpolicyer är, desto högre kostnad och desto svårare blir hela konceptet för åtkomstkontroll över flera platser, nätverkstyper och applikationsvariabler.

Åtkomstkontroll som koncept, om det inte hanteras noggrant, kan snart gå över styr. Det är nästan alltid en bra idé att förenkla reglerna för åtkomstkontroll för att göra dem enklare och mer kostnadseffektiva att hantera.

Ändringar från ISO 27002:2013

27002:2013/5.15 är en sammanslagning av två liknande kontroller i 27002:2013 – 9.1.1 (Access control policy) och 9.1.2 (Tillgång till nätverk och nätverkstjänster).

I allmänhet tar både 9.1.1 och 9.1.2 upp samma underliggande teman som 5.15 och följer i stort sett samma uppsättning riktlinjer för styrning, med några subtila operativa skillnader.

Både 2022 och 2013 års kontroller handlar om att administrera tillgång till information, tillgångar och resurser och att arbeta enligt en "need to know"-princip som behandlar företagsdata som en vara som måste hanteras och skyddas noggrant.

Samtliga 27002:2013/9.1.1:s 11 styrande riktlinjer löper enligt samma allmänna linjer som ses i 27002:2013/5.15, där den senare har en marginellt större tonvikt på fysisk säkerhet och perimetersäkerhet.

Stödande vägledning om implementering av åtkomstkontroll är i stort sett densamma, men 2022-kontrollen gör ett mycket bättre jobb med att erbjuda kortfattad, praktisk vägledning över sina fyra implementeringsriktlinjer.

Ändringar i typer av åtkomstkontroller från 9.1.1

5.15 erkänner de olika typerna av åtkomstkontrollmetoder som har dykt upp under de senaste 9 åren (MAC, DAC, ABAC), medan 27002:2013/9.1.1 begränsar sin vägledning till RBAC – den vanligaste metoden för kommersiell åtkomstkontroll vid den tiden .

kornighet

I samband med tekniska förändringar som ger organisationer större kontroll över sina data, innehåller ingen av kontrollerna från 2013 någon meningsfull anvisning om hur en organisation bör närma sig granulära åtkomstkontroller, medan 27002:2013/5.15 ger organisationer ett betydande utrymme.

Nya ISO 27002 kontroller