Vad är syftet med kontroll 5.16?
5.16 handlar om en organisations förmåga att identifiera vem (användare, grupper av användare) eller vad (applikationer, system och enheter) som har åtkomst till data eller IT-tillgångar vid varje given tidpunkt, och hur dessa identiteter ges åtkomsträttigheter över nätverket.
5.16 är en förebyggande kontroll som upprätthåller risken genom att fungera som huvudperimetern för alla associerade informationssäkerhet och cybersäkerhet verksamhet, såväl som den primära styrningen som dikterar en organisations ramverk för identitets- och åtkomsthantering.
Kontrollattribut 5.16
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
| #Integritet | ||||
| #Tillgänglighet |
Ägande
Med tanke på att 5.16 tjänar vad som i första hand är en underhållsfunktion, bör ägandet riktas mot IT-personal som har tilldelats globala administratörsrättigheter (eller motsvarande för icke-Windows-baserad infrastruktur).
Även om det finns andra inbyggda roller som tillåter användare att administrera identiteter (t.ex. domänadministratör), bör äganderätten till 5.16 ligga hos individen som har den ultimata ansvar för en organisations hela nätverk, inklusive alla underdomäner och Active Directory-hyresgäster.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning
Överensstämmelse med kontroll 5.16 uppnås genom en kombination av att säkerställa att identitetsbaserade förfaranden är tydligt formulerade i policydokument och övervaka den dagliga efterlevnaden bland personalen.
5.16 listar sex huvudprocedurer som en organisation måste följa för att uppfylla de erforderliga standarderna för styrning av infosec och cybersäkerhet:
- När identiteter tilldelas en person är det bara den specifika personen som tillåts autentisera med och/eller använda den identiteten vid åtkomst till nätverksresurser.
Compliance – IT-policyer måste tydligt ange att användare inte får dela inloggningsinformation, eller tillåta andra användare att roama nätverket med någon annan identitet än den de har tilldelats.
- Ibland kan det vara nödvändigt att tilldela en identitet till flera personer – även känd som en "delad identitet". Detta tillvägagångssätt bör användas sparsamt och endast för att tillgodose en explicit uppsättning operativa krav.
Compliance – Organisationer bör behandla registreringen av delade identiteter som en separat procedur för enanvändaridentiteter, med ett särskilt arbetsflöde för godkännande.
- Så kallade "icke-mänskliga" enheter (som namnet antyder, alla identiteter som inte är kopplade till en faktisk användare) bör betraktas annorlunda än användarbaserade identiteter vid registreringstillfället.
Compliance – Precis som med delade identiteter bör icke-mänskliga identiteter i sin tur ha sin egen godkännande- och registreringsprocess som erkänner den underliggande skillnaden mellan att tilldela en identitet till en person och att bevilja en till en tillgång, applikation eller enhet.
- Identiteter som inte längre krävs (lämnare, redundanta tillgångar etc.) bör inaktiveras av en nätverksadministratör eller tas bort helt efter behov.
Compliance – IT-personal borde genomföra regelbundna revisioner som listar identiteter i användningsordning och identifierar vilka enheter (mänskliga eller icke-mänskliga) som kan stängas av eller raderas. HR-personal bör inkludera identitetshantering i sina offboardprocedurer och informera IT-personal om avhoppade i tid.
- Dubbletter av identiteter bör undvikas till varje pris. Företag bör följa regeln "en enhet, en identitet" över hela linjen.
Compliance – IT-personal bör vara vaksam när de tilldelar roller över ett nätverk och se till att enheter inte beviljas åtkomsträttigheter baserat på flera identiteter.
- Adekvata register bör föras över alla "väsentliga händelser" angående identitetshantering och autentiseringsinformation.
Compliance – Begreppet "väsentlig händelse" kan tolkas på olika sätt, men på en grundläggande nivå organisationer behöver för att säkerställa att deras förvaltningsprocedurer inkluderar identitetsregistreringsdokumentation, robusta protokoll för ändringsförfrågningar med ett lämpligt godkännandeförfarande och möjligheten att skapa en omfattande lista över tilldelade identiteter vid varje given tidpunkt.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning
Förutom de sex huvudsakliga operativa övervägandena listar 5.16 också fyra steg som organisationer måste följa när de skapar en identitet och beviljar den tillgång till nätverksresurser (ändra eller ta bort åtkomsträttigheter behandlas i kontroll 5.18):
- Upprätta ett affärscase innan en identitet skapas
Compliance – Det är viktigt att erkänna att identitetshantering blir exponentiellt svårare för varje ny identitet som skapas. Organisationer bör skapa nya identiteter endast när det finns ett tydligt behov av att göra det.
- Se till att den enhet som tilldelas identiteten (mänsklig eller icke-mänsklig) har verifierats oberoende.
Compliance – När ett affärscase har godkänts bör rutinerna för identitets- och åtkomsthantering innehålla steg för att säkerställa att den person eller tillgång som tar emot en ny identitet har erforderlig behörighet att göra det innan en identitet skapas.
- Att etablera en identitet
När enheten har verifierats bör IT-personal skapa en identitet som är i linje med kraven för affärsfall och är begränsad till vad som anges i eventuella ändringsförfrågningar.
- Slutlig konfiguration och aktivering
Den slutliga steg i processen innebär tilldela en identitet till dess olika åtkomstbaserade behörigheter och roller (RBAC), och eventuella associerade autentiseringstjänster som krävs.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar från ISO 27002:2013
Allmänt
27002:2022 / 5.16 ersätter 27002:2013/9.2.1 (användarregistrering och avregistrering) – som i sig utgjorde en del av 27002:2013:s kontrolluppsättning för användaråtkomsthantering. Även om det finns vissa likheter mellan de två kontrollerna – mestadels i underhållsprotokoll och inaktiverande redundanta ID – innehåller 5.16 en mycket mer omfattande uppsättning riktlinjer som syftar till att hantera identitets- och åtkomsthantering som ett heltäckande koncept.
Mänskliga vs. icke-mänskliga identiteter
Den största skillnaden mellan 2022-kontrollen och dess föregångare från 2013 är erkännandet att även om det finns skillnader i registreringsprocessen, behandlas mänskliga och icke-mänskliga identiteter inte längre som åtskilda från varandra, för allmänna nätverksadministrationsändamål.
Med uppkomsten av modern identitets- och åtkomsthantering och Windows-baserade RBAC-protokoll talar IT-styrning och riktlinjer för bästa praxis om mänskliga och icke-mänskliga identiteter mer eller mindre utbytbara. 27002:2013/9.2.1 innehåller ingen vägledning om hur man administrerar icke-mänskliga identiteter, och berör sig enbart med hanteringen av vad den refererar till som "användar-ID:n" (dvs. inloggningsinformation som används för att komma åt ett nätverk, tillsammans med en Lösenord).
Dokumentation
Som vi har sett innehåller 27002:2013/5.16 explicit vägledning om inte bara de allmänna säkerhetskonsekvenserna av identitetsstyrning, utan också hur organisationer bör registrera och bearbeta information innan en identitet tilldelas, och under hela dess livscykel. Som jämförelse nämner 27002:2013/9.2.1 endast kortfattat den medföljande roll som IT-styrning spelar, och begränsar sig till den fysiska utövandet av identitetsadministration, som utförs av IT-personal.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
