Säker autentisering är den primära metod som mänskliga och icke-mänskliga användare använder när de försöker använda en organisations IKT-tillgångar.
Under det senaste decenniet har autentiseringstekniken genomgått en grundläggande förändring från traditionella användarnamn/lösenordsbaserade valideringar till en olika kompletterande tekniker inbegriper biometrisk information, logiska och fysiska åtkomstkontroller, extern enhetsautentisering, SMS-koder och engångslösenord (OTP).
27002:2022-8.5 sätter allt detta i sitt sammanhang och ger organisationer råd om exakt hur de bör vara kontrollera tillgången till sina IKT-system och tillgångar via en säker inloggningsgateway.
Kontroll 8.5 är en förebyggande kontroll den där upprätthåller risken genom att implementera teknik och upprätta ämnesspecifika säkra autentiseringsprocedurer som säkerställer att mänskliga och icke-mänskliga användare och identiteter genomgår en robust och säker autentiseringsprocedur när de försöker komma åt IKT-resurser.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
Kontroll 8.5 handlar om en organisations förmåga att kontrollera åtkomsten till sitt nätverk (och informationen och data som finns i) vid kritiska korsningar, såsom en inloggningsgateway.
Även om kontrollen behandlar informations- och datasäkerhet som ett bredare begrepp, är den operativa vägledningen i första hand av teknisk karaktär.
Som sådan bör ägandet ligga hos IT-chefen (eller motsvarande organisation), som innehar ansvar för organisationens dagliga IT-administrativa funktioner.
Kontroll 8.5 ber organisationer att överväga autentiseringskontroller som är relevanta för typen och känsligheten hos data och nätverk som nås, inklusive:
Det överordnade målet för en organisations säkra autentiseringskontroller bör vara att förhindra och/eller minimera risken för obehörig åtkomst till sina skyddade system.
För att uppnå detta beskriver Control 8.5 12 huvudriktlinjer. Organisationer bör:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO rekommenderar att på grund av ett antal faktorer relaterade till effektiviteten och integriteten hos biometriska inloggningsprocesser jämfört med traditionella åtgärder (lösenord, MFA, tokens etc.), biometriska autentiseringsmetoder bör inte användas isolerat, och åtföljs av minst en annan inloggningsteknik.
27002:2022-8.5 ersätter 27002:2014-9.4.2 (Säker inloggningsprocedurer).
27002:2022-8.5 innehåller samma 12 vägledningspunkter som 2013 års motsvarighet, med smärre justeringar av ordalydelsen, och följer samma uppsättning underliggande säkerhetsprinciper.
I linje med ökningen av MFA och biometriska inloggningstekniker under det senaste decenniet, innehåller 27002:2022-8.5 explicit vägledning om användningen av båda teknikerna som organisationer bör överväga när de formulerar sin egen uppsättning inloggningskontroller.
Vår molnbaserade plattform ger dig ett robust ramverk av informationssäkerhetskontroller så att du kan checklista din ISMS-process när du går för att säkerställa att den uppfyller kraven för ISO 27000k. Används på rätt sätt, ISMS. online kan hjälpa dig att uppnå certifiering med ett minimum av tid och resurser.
Hör av dig idag för att boka en demo.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |