ISO 27701 klausul 6.6.2: En guide till användaråtkomsthantering
Användaråtkomsthantering styr metoderna genom att användarna får tillgång till PII och integritetsrelaterad information, och hur organisationer kan kontrollera sådan åtkomst med hjälp av en mängd olika fysiska och logiska åtgärder.
Vad som omfattas av ISO 27701 klausul 6.6.2
ISO 27701 6.6.2 är en relativt stor klausul (med tanke på ämnet), som innehåller sex underklausuler som rör tillhandahållande, användning och hantering av användarrättigheter.
Varje underklausul innehåller information från en angränsande underklausul i ISO 27002, med vägledning anpassad till integritetsskydd och PII, snarare än generaliserad informationssäkerhet:
- ISO 6.6.2.1 – Användarregistrering och avregistrering (Referenser ISO 27002 kontroll 5.16).
- ISO 6.6.2.2 – Provisionering av användaråtkomst (Referenser ISO 27002 kontroll 5.18).
- ISO 6.6.2.3 – Hantering av privilegierade åtkomsträttigheter (Referenser ISO 27002 kontroll 8.2).
- ISO 6.6.2.4 – Hantering av hemlig autentiseringsinformation för användare (Referenser ISO 27002 kontroll 5.17).
- ISO 6.6.2.5 – Granskning av användarrättigheter (Referenser ISO 27002 kontroll 5.18).
- ISO 6.6.2.6 – Borttagning eller justering av åtkomsträttigheter (Referenser ISO 27002 kontroll 5.18).
Två klausuler innehåller vägledning som kan påverka efterlevnaden av GDPR i Storbritannien, och de relevanta artiklarna har tillhandahållits för din bekvämlighet.
I alla dess paragrafer innehåller ISO 27701 6.6.2 ingen ytterligare vägledning från ISO om användningen av en PIMS.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.6.2.1 – Användarregistrering och avregistrering
Referenser ISO 27002 Kontroll 5.16
Användarregistrering styrs av användningen av tilldelade "identiteter". Identiteter ger organisationer ett ramverk för att styra användaråtkomst till PII och integritetsrelaterade tillgångar och material, inom gränserna för ett nätverk.
Organisationen måste följa sex huvudriktlinjer för att säkerställa att identiteter hanteras korrekt, och PII skyddas varhelst den lagras, bearbetas eller nås:
- Där identiteter tilldelas en människa är det bara den personen som får verifiera sig med och/eller använda den identiteten vid åtkomst till PII.
- Delade identiteter – flera individer registrerade på samma identitet – bör endast distribueras för att uppfylla en unik uppsättning operativa krav.
- Icke-mänskliga enheter bör betraktas och hanteras annorlunda än användarbaserade identiteter som har tillgång till PII och integritetsrelaterat material.
- Identiteter bör tas bort när de inte längre behövs – särskilt de som har tillgång till PII eller integritetsbaserade roller.
- Organisationer bör hålla sig till regeln "en enhet, en identitet" när de distribuerar identiteter över nätverket.
- Registreringar bör loggas och registreras genom tydlig dokumentation, inklusive tidsstämplar, åtkomstnivåer och identitetsinformation.
Organisationer som arbetar i partnerskap med externa organisationer (särskilt molnbaserade plattformar) bör förstå de inneboende riskerna som är förknippade med sådan praxis och vidta åtgärder för att säkerställa att PII inte påverkas negativt i processen (se ISO 27002 kontroller 5.19 och 5.17).
Relevanta ISO 27002-kontroller
- ISO 27002 5.17
- ISO 27002 5.19
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
ISO 27701 Klausul 6.6.2.2 – Provisionering av användaråtkomst
Referenser ISO 27002 Kontroll 5.18
"Åtkomsträttigheter" styr hur tillgång till PII och integritetsrelaterad information både beviljas och återkallas, med samma uppsättning vägledande principer.
Bevilja och återkalla åtkomsträttigheter
Åtkomstprocedurer bör inkludera:
- Tillstånd och auktorisation från ägaren (eller ledningen) av informationen eller tillgången (se ISO 27002 kontroll 5.9).
- Alla rådande kommersiella, juridiska eller operativa krav.
- Ett erkännande av behovet av att separera uppgifter för att förbättra PII-säkerheten och bygga en mer motståndskraftig integritetsskyddsverksamhet.
- Kontroller för att återkalla åtkomsträttigheter, när åtkomst inte längre krävs (överlämnar etc.).
- Åtgärder för tidsåtkomst för tillfällig personal eller entreprenörer.
- En centraliserad förteckning över åtkomsträttigheter som beviljas både mänskliga och icke-mänskliga enheter.
- Åtgärder för att ändra åtkomsträttigheterna för personal eller tredjepartsentreprenörer som har bytt arbetsroll.
Granska åtkomsträttigheter
Organisationer bör genomföra regelbundna granskningar av åtkomsträttigheter över nätverket, inklusive:
- Bygga in återkallande av åtkomsträttigheter i HR-procedurer utanför ombordstigning (se ISO 27002 kontroller 6.1 och 6.5) och arbetsflöden för rollbyte.
- Begäran om "privilegierade" åtkomsträttigheter.
Change Management och Leavers
Personal som antingen lämnar organisationen (antingen avsiktligt eller som uppsagd anställd), och de som är föremål för en ändringsförfrågan, bör få sina åtkomsträttigheter ändrade baserat på robusta riskhanteringsprocedurer, inklusive:
- Källan till ändringen/uppsägningen, inklusive den bakomliggande orsaken.
- Användarens nuvarande arbetsroll och tillhörande ansvar.
- Den information och tillgångar som för närvarande är tillgängliga – inklusive deras risknivåer och värde för organisationen.
Kompletterande vägledning
Anställningskontrakt och entreprenörs-/tjänstekontrakt bör innehålla en förklaring av vad som händer efter alla försök till obehörig åtkomst (se ISO 27002 kontroller 5.20, 6.2, 6.4, 6.6).
Relevanta ISO 27002-kontroller
- ISO 27002 5.9
- ISO 27002 5.20
- ISO 27002 6.2
- ISO 27002 6.4
- ISO 27002 6.6
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.6.2.3 – Hantering av privilegierade åtkomsträttigheter
Referenser ISO 27002 Kontroll 8.2
Privilegerade åtkomsträttigheter ger organisationer möjligheten att samtidigt kontrollera åtkomsten till PII och integritetsrelaterade applikationer och tillgångar, och bibehålla integriteten för PII över deras nätverk.
Otillåtet utnyttjande av systemadministratörsbehörigheter (eller förhöjda RBAC-behörigheter) är en av de största orsakerna till störningar i IKT över hela världen.
När organisationer hanterar privilegierade åtkomsträttigheter med integritetsskydd i åtanke, bör organisationer:
- Skapa en lista över användare som kräver privilegierad åtkomst.
- Implementera procedurer som tilldelar privilegierade åtkomsträttigheter till användare på "händelse för händelsebasis" – dvs en användare får en åtkomstnivå som är i enlighet med deras jobbroll.
- Arbeta med en tydlig auktoriseringsprocess som hanterar förfrågningar om privilegierad åtkomst.
- Håll ett centraliserat register över förfrågningar om privilegierad åtkomst.
- Observera åtkomstens utgångsdatum, där detta anges.
- Se till att användarna är medvetna om eventuella privilegierade åtkomsträttigheter som har tilldelats dem.
- Framtvinga återautentisering innan användare använder privilegierade åtkomsträttigheter.
- Granska regelbundet organisationsomfattande privilegierade åtkomsträttigheter (se ISO 27002 kontroll 5.18).
- Överväg att implementera en "krossglas"-procedur genom att se till att privilegierade åtkomsträttigheter beviljas inom strikta fönster, som dikteras av förfrågans natur.
- Förbjud användning av generisk inloggningsinformation och gissbara lösenord (se ISO 27002 kontroll 5.17).
- Tilldela en identitet per användare, samlad i åtkomstgrupper om det behövs.
- Se till att privilegierad åtkomst beviljas endast för kritiska uppgifter – som väsentligt underhåll eller incidentrelaterad aktivitet.
Relevanta ISO 27002-kontroller
- ISO 27002 5.17
- ISO 27002 5.18
ISO 27701 klausul 6.6.2.4 – Hantering av hemlig autentiseringsinformation för användare
Referenser ISO 27002 Kontroll 5.17
Autentiseringsinformation bör distribueras och hanteras så att:
- Automatiskt genererad autentiseringsinformation (lösenord etc.) hålls hemlig för alla som inte har behörighet att använda dem, är inte gissa och hanteras på ett sätt som tvingar en användare att ändra dem efter första inloggningen.
- Innan autentiseringsdetaljer utfärdas eller ersätts, införs procedurer för att verifiera identiteten på den person som behöver dem.
- De korrekta säkra kanalerna används för att överföra autentiseringsdetaljer (dvs inte via e-post).
- Efter att uppgifterna framgångsrikt har kommunicerats till den som behöver dem, bekräftar användaren/användarna mottagandet i tid.
- All autentiseringsinformation som tillhandahålls av leverantören (som standardanvändarnamn och lösenord för routrar och brandväggar) ändras vid mottagandet.
- Register förs över relevanta autentiseringshändelser – särskilt när det gäller den initiala tilldelningen och efterföljande administration av autentiseringsdetaljer.
All personal som använder organisationsautentiseringsinformation bör se till att:
- Alla autentiseringsuppgifter hålls strikt konfidentiella.
- Om autentiseringsdetaljer antingen äventyras, visas eller delas av någon annan än den ursprungliga ägaren, ändras sådana detaljer blir omedelbart.
- Eventuella lösenord skapas och/eller genereras i enlighet med organisationens lösenordspolicy, och lösenord är unika på olika plattformar (dvs. domänlösenord är inte detsamma som lösenord för molntjänster).
- Anställningsavtal innehåller ett uttryckligt krav att följa företagets lösenordspolicy (se ISO 27002 kontroll 6.2).
Lösenordshanteringssystem
Organisationer bör överväga att implementera ett lösenordshanteringssystem (specialiserade lösenordskontrollapplikationer) som:
- Tillgodoser användare som behöver ändra något lösenord som de använder.
- Är programmerad att avvisa lösenord som faller utanför riktlinjerna för bästa praxis.
- Tvingar användare att ändra sitt systemgenererade lösenord efter att de använt det för första gången.
- Tillåter inte fortsatt användning av gamla lösenord eller liknande fraser och alfanumeriska kombinationer.
- Döljer lösenord medan de matas in.
- Lagrar och skickar lösenordsinformation på ett säkert sätt.
- Tillgodoser lösenordskryptering och liknande krypteringstekniker (se ISO 27002 kontroll 8.24).
För att skydda PII och förbättra organisationens integritetsskydd bör lösenord följa fyra vägledande principer:
- Lösenord bör inte konstrueras kring gissbar eller biografisk information.
- Lösenord bör inte innehålla några igenkännbara ord, istället för slumpmässiga alfanumeriska tecken.
- Specialtecken bör användas för att öka lösenordets komplexitet.
- Alla lösenord bör ha en minsta längd (helst 12 tecken).
Organisationer bör också överväga användningen av autentiseringsprotokoll som Single Sign-On (SSO) för att förbättra lösenordssäkerheten, men sådana åtgärder bör endast övervägas tillsammans med organisationens unika tekniska och operativa krav.
Relevanta ISO 27002-kontroller
- ISO 27002 6.2
- ISO 27002 8.24
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.6.2.5 – Granskning av användarrättigheter
Referenser ISO 27002 Kontroll 5.18
Se ovan (ISO 27701 klausul 6.6.2.2).
ISO 27701 klausul 6.6.2.6 – Borttagning eller justering av åtkomsträttigheter
Referenser ISO 27002 Kontroll 5.18
Se ovan (ISO 27701 klausul 6.6.2.2).
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.6.2.1 | Användarregistrering och avregistrering |
5.16 – Identitetshantering för ISO 27002 |
Artikeln Lagring |
| 6.6.2.2 | Provisionering av användaråtkomst |
5.18 – Åtkomsträttigheter för ISO 27002 |
Artikeln Lagring |
| 6.6.2.3 | Hantering av privilegierade åtkomsträttigheter |
8.2 – Privilegerade åtkomsträttigheter för ISO 27002 |
Ingen |
| 6.6.2.4 | Hantering av hemlig autentiseringsinformation för användare |
5.17 – Autentiseringsinformation för ISO 27002 |
Ingen |
| 6.6.2.5 | Granskning av användarrättigheter |
5.18 – Åtkomsträttigheter för ISO 27002 |
Ingen |
| 6.6.2.6 | Borttagning eller justering av åtkomsträttigheter |
5.18 – Åtkomsträttigheter för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Genom att lägga till en PIMS till din ISMS på ISMS.online-plattformen förblir din säkerhetsställning allt-i-ett-plats och du undviker dubbelarbete där standarderna överlappar varandra.
Med din PIMS omedelbart tillgänglig för intresserade parter har det aldrig varit enklare att övervaka, rapportera och granska mot både ISO 27002 och ISO 27701 med ett enda knapptryck.
Ta reda på mer av boka en praktisk demo.
