ISO 27002, Kontroll 8.3, Begränsning av informationsåtkomst

ISO 27002:2022 – Kontroll 8.3 – Begränsning av informationsåtkomst

ISO 27002 Control 8.3 – Information Access Restriction framhäver behovet för organisationer att implementera strikta kontroller för att förhindra obehörig åtkomst till information och IKT-tillgångar. Den betonar dynamisk åtkomsthantering, vilket säkerställer granulär kontroll över vem som kan komma åt data samtidigt som säkerheten och svarstiderna förbättras.

Syfte med kontroll 8.3

Tillgång till information från interna och externa källor är hörnstenen i en organisationens informationssäkerhetspolicy.

Kontroll 8.3 är en förebyggande kontroll den där upprätthåller risken genom att fastställa en rad regler och förfaranden som förhindrar obehörig åtkomst/missbruk av en organisations information och IKT-tillgångar.

Attributtabell för kontroll 8.3

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Identitets- och åtkomsthantering	#Skydd
	#Integritet
	#Tillgänglighet

Äganderätt till kontroll 8.3

Kontroll 8.3 handlar om en organisations förmåga att kontrollera tillgången till information.

Som sådan, ägandet bör ligga hos Chief Information Security Officer (eller organisatorisk motsvarande), som har ansvaret för organisationens övergripande informations- och datasäkerhetspraxis.

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Allmän vägledning om kontroll 8.3

För att upprätthålla effektiv kontroll över information och IKT-tillgångar, och till stöd för åtkomstbegränsningsåtgärder bör organisationer säkerställa följande i linje med a ämnesspecifikt tillvägagångssätt för tillgång till information:

Förhindra anonym tillgång till information, inklusive långtgående allmänhetens tillgång.

Där offentlig eller tredje parts tillgång beviljas bör organisationer se till att åtkomsten inte omfattar känsliga eller affärskritiska data.

Arbeta med adekvata underhållsåtgärder som kontrollerar systemåtkomst och alla tillhörande affärsapplikationer eller processer.
Diktera dataåtkomst på en användare-för-användare-basis.
Ange dataåtkomsträttigheter mellan grupper som validerar specifika dataoperationer, till exempel läsa, skriva, ta bort och köra.
Behåll möjligheten att partitionera affärskritiska processer och applikationer med hjälp av en rad fysiska och digitala åtkomstkontroller.

Vägledning – Dynamisk åtkomsthantering

Kontroll 8.3 förespråkar en dynamisk inställning till informationstillgång.

Dynamisk åtkomsthantering har många kvarvarande fördelar för organisatoriska processer som har behovet av att dela eller använda intern data med externa användare, inklusive snabbare incidentlösningstider.

Dynamisk åtkomst hanteringstekniker skyddar ett brett utbud av information typer, från standarddokument till e-postmeddelanden och databasinformation, och har möjlighet att tillämpas på en detaljerad fil-för-fil-basis, vilket möjliggör en noggrann kontroll av data på organisationsnivå.

Organisationer bör överväga ett sådant tillvägagångssätt när:

Kräver granulär kontroll över vad mänskliga och icke-mänskliga användare kan komma åt sådan information vid varje given tidpunkt.
Behovet uppstår att dela information med externa parter (som leverantörer eller tillsynsorgan).
Överväger en "realtids"-strategi för datahantering och distribution som involverar övervakning och hantering av dataanvändning när den sker.
Skydda information mot obehöriga ändringar, delning eller utdata (utskrift etc).
Övervakning av tillgång till och ändring av information, särskilt när informationen i fråga är av känslig karaktär.

Dynamisk åtkomsthantering är särskilt användbar för organisationer som behöver övervaka och skydda data från skapande till radering, inklusive:

Beskriva ett användningsfall (eller en serie av användningsfall) som tillämpar dataåtkomstregler baserat på följande variabler:

Identitet
Anordning
Plats
Ansökan

Att beskriva en process som täcker av drift och övervakning av data, och upprättande av en noggrann rapporteringsprocess som i sin tur är informerad av en sund teknisk infrastruktur.

Alla ansträngningar för att formulera en dynamisk åtkomsthanteringsmetod bör resultera i data skyddas av:

Att säkerställa att åtkomst till data är slutresultatet av en framgångsrik autentiseringsprocess.
En grad av begränsad åtkomst, baserat på datatypen och dess påverkan på förmågan kontinuitet i verksamheten.
Kryptering.
Utskriftsbehörigheter.
Grundlig revisionsloggar som registrerar vem som har tillgång till data och hur denna data används.
En varningsprocedur som flaggar för olämplig dataanvändning, inklusive (men inte begränsat till) obehörig åtkomst och distribution, och försök till radering.

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Ändringar och skillnader från ISO 27002:2013

27002:2022-8.3 replaces 27002:2013-9.4.1 (Informationsåtkomstbegränsning), och representerar ett stort skifte i hur ISO betraktar informationsåtkomsthantering i enlighet med det tidigare nämnda dynamiska tillvägagångssättet (en teknik som inte nämns i 27002:2013-9.4.1)

27002:2022-8.3 innehåller en stor mängd vägledningsnoteringar om dynamisk åtkomsthantering som saknas i dess motsvarighet från 2013, och organisationer rekommenderas att överväga dessa ämne för ämne när de söker certifiering.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.Online är den ledande programvaran för ledningssystem för ISO 27002 som stöder överensstämmelse med ISO 27002, och hjälper företag att anpassa sina säkerhetspolicyer och procedurer till standarden.

Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.

Vår plattform har designats från grunden med hjälp av informationssäkerhetsexperter från hela världen och vi har utvecklat det på ett sätt som gör det enkelt för personer utan någon teknisk kunskap om ledningssystem för informationssäkerhet (ISMS) att använda den.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område