Identiteter används av datornätverk för att identifiera en enhets (en användare, grupp av användare, enhet eller IT-tillgång) underliggande förmåga att komma åt en förutbestämd uppsättning hård- och mjukvaruresurser.
Kontroll 5.16 handlar om godkännande, registrering och administration – definierad som den ”fulla livscykeln” – av mänskliga och icke-mänskliga identiteter på ett givet nätverk.
5.16 handlar om en organisations förmåga att identifiera vem (användare, grupper av användare) eller vad (applikationer, system och enheter) som har åtkomst till data eller IT-tillgångar vid varje given tidpunkt, och hur dessa identiteter ges åtkomsträttigheter över nätverket.
5.16 är en förebyggande kontroll som upprätthåller risken genom att fungera som huvudperimetern för alla associerade informationssäkerhet och cybersäkerhet verksamhet, såväl som den primära styrningen som dikterar en organisations ramverk för identitets- och åtkomsthantering.
| Kontrolltyp | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativ förmåga | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
Med tanke på att 5.16 tjänar vad som i första hand är en underhållsfunktion, bör ägandet riktas mot IT-personal som har tilldelats globala administratörsrättigheter (eller motsvarande för icke-Windows-baserad infrastruktur).
Även om det finns andra inbyggda roller som tillåter användare att administrera identiteter (t.ex. domänadministratör), bör äganderätten till 5.16 ligga hos individen som har den ultimata ansvar för en organisations hela nätverk, inklusive alla underdomäner och Active Directory-hyresgäster.
Överensstämmelse med kontroll 5.16 uppnås genom en kombination av att säkerställa att identitetsbaserade förfaranden är tydligt formulerade i policydokument och övervaka den dagliga efterlevnaden bland personalen.
5.16 listar sex huvudprocedurer som en organisation måste följa för att uppfylla de erforderliga standarderna för styrning av infosec och cybersäkerhet:
Compliance – IT-policyer måste tydligt ange att användare inte får dela inloggningsinformation, eller tillåta andra användare att roama nätverket med någon annan identitet än den de har tilldelats.
Compliance – Organisationer bör behandla registreringen av delade identiteter som en separat procedur för enanvändaridentiteter, med ett särskilt arbetsflöde för godkännande.
Compliance – Precis som med delade identiteter bör icke-mänskliga identiteter i sin tur ha sin egen godkännande- och registreringsprocess som erkänner den underliggande skillnaden mellan att tilldela en identitet till en person och att bevilja en till en tillgång, applikation eller enhet.
Compliance – IT-personal borde genomföra regelbundna revisioner som listar identiteter i användningsordning och identifierar vilka enheter (mänskliga eller icke-mänskliga) som kan stängas av eller raderas. HR-personal bör inkludera identitetshantering i sina offboardprocedurer och informera IT-personal om avhoppade i tid.
Compliance – IT-personal bör vara vaksam när de tilldelar roller över ett nätverk och se till att enheter inte beviljas åtkomsträttigheter baserat på flera identiteter.
Compliance – Begreppet "väsentlig händelse" kan tolkas på olika sätt, men på en grundläggande nivå organisationer behöver för att säkerställa att deras förvaltningsprocedurer inkluderar identitetsregistreringsdokumentation, robusta protokoll för ändringsförfrågningar med ett lämpligt godkännandeförfarande och möjligheten att skapa en omfattande lista över tilldelade identiteter vid varje given tidpunkt.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Förutom de sex huvudsakliga operativa övervägandena listar 5.16 också fyra steg som organisationer måste följa när de skapar en identitet och beviljar den tillgång till nätverksresurser (ändra eller ta bort åtkomsträttigheter behandlas i kontroll 5.18):
Compliance – Det är viktigt att erkänna att identitetshantering blir exponentiellt svårare för varje ny identitet som skapas. Organisationer bör skapa nya identiteter endast när det finns ett tydligt behov av att göra det.
Compliance – När ett affärscase har godkänts bör rutinerna för identitets- och åtkomsthantering innehålla steg för att säkerställa att den person eller tillgång som tar emot en ny identitet har erforderlig behörighet att göra det innan en identitet skapas.
När enheten har verifierats bör IT-personal skapa en identitet som är i linje med kraven för affärsfall och är begränsad till vad som anges i eventuella ändringsförfrågningar.
27002:2022 / 5.16 ersätter 27002:2013/9.2.1 (användarregistrering och avregistrering) – som i sig utgjorde en del av 27002:2013:s kontrolluppsättning för användaråtkomsthantering. Även om det finns vissa likheter mellan de två kontrollerna – mestadels i underhållsprotokoll och inaktiverande redundanta ID – innehåller 5.16 en mycket mer omfattande uppsättning riktlinjer som syftar till att hantera identitets- och åtkomsthantering som ett heltäckande koncept.
Den största skillnaden mellan 2022-kontrollen och dess föregångare från 2013 är erkännandet att även om det finns skillnader i registreringsprocessen, behandlas mänskliga och icke-mänskliga identiteter inte längre som åtskilda från varandra, för allmänna nätverksadministrationsändamål.
Med uppkomsten av modern identitets- och åtkomsthantering och Windows-baserade RBAC-protokoll talar IT-styrning och riktlinjer för bästa praxis om mänskliga och icke-mänskliga identiteter mer eller mindre utbytbara. 27002:2013/9.2.1 innehåller ingen vägledning om hur man administrerar icke-mänskliga identiteter, och berör sig enbart med hanteringen av vad den refererar till som "användar-ID:n" (dvs. inloggningsinformation som används för att komma åt ett nätverk, tillsammans med en Lösenord).
Som vi har sett innehåller 27002:2013/5.16 explicit vägledning om inte bara de allmänna säkerhetskonsekvenserna av identitetsstyrning, utan också hur organisationer bör registrera och bearbeta information innan en identitet tilldelas, och under hela dess livscykel. Som jämförelse nämner 27002:2013/9.2.1 endast kortfattat den medföljande roll som IT-styrning spelar, och begränsar sig till den fysiska utövandet av identitetsadministration, som utförs av IT-personal.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
ISMS.online kommer att spara tid och pengar
Få din offert
