Säkerställa stark autentisering: Användaransvar enligt ISO 27701
Korrekta och säkra autentiseringsprocedurer är ryggraden i de flesta allmänna och ämnesspecifika åtkomstpolicyer, oavsett om de relaterar till PII eller information, tillgångar och data i allmänhet.
Lätt gissbara och dåligt konstruerade lösenord är lågt hängande frukt för potentiella cyberbrottslingar som vill få tillgång till en organisations PII, som vanligtvis antingen löses tillbaka, används som rykte eller säljs på den mörka webben till högstbjudande.
Användare måste följa en strikt upprätthållen lösenordspolicy som täcker generering, distribution, lösenordskonstruktion och använder sig av tillgänglig autentiseringsteknik (SSO, lösenordsvalv).
Vad som omfattas av ISO 27701 klausul 6.6.3
ISO 27702 6.6.3 innehåller bara en underklausul, som innehåller en sammanslagen vägledning från ISO 27002 som beskriver hur organisationer bör närma sig autentiseringssäkerhet:
- ISO 27701 6.6.3.1 – Användning av hemlig autentiseringsinformation (Referenser ISO 27002 Control 5.17)
Det finns inga brittiska GDPR-hänvisningar att ta hänsyn till, inte heller tillhandahåller ISO några PIMS- eller PII-specifika vägledningspunkter att följa.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.6.3.1 – Användning av hemlig autentiseringsinformation
Referenser ISO 27002 Kontroll 5.17
Utfärda och hantera autentiseringsinformation
Autentiseringsinformation bör distribueras och hanteras så att:
- Automatiskt genererad autentiseringsinformation (lösenord etc.) hålls hemlig för alla som inte har behörighet att använda dem, är inte gissa och hanteras på ett sätt som tvingar en användare att ändra dem efter första inloggningen.
- Innan autentiseringsdetaljer utfärdas eller ersätts, införs procedurer för att verifiera identiteten på den person som behöver dem.
- De korrekta säkra kanalerna används för att överföra autentiseringsdetaljer (dvs inte via e-post).
- Efter att uppgifterna framgångsrikt har kommunicerats till den som behöver dem, bekräftar användaren/användarna mottagandet i tid.
- All autentiseringsinformation som tillhandahålls av leverantören (som standardanvändarnamn och lösenord för routrar och brandväggar) ändras vid mottagandet.
- Register förs över relevanta autentiseringshändelser – särskilt när det gäller den initiala tilldelningen och efterföljande administration av autentiseringsdetaljer.
All personal som använder organisationsautentiseringsinformation bör se till att:
- Alla autentiseringsuppgifter hålls strikt konfidentiella.
- Om autentiseringsdetaljer antingen äventyras, visas eller delas av någon annan än den ursprungliga ägaren, ändras sådana detaljer blir omedelbart.
- Eventuella lösenord skapas och/eller genereras i enlighet med organisationens lösenordspolicy, och lösenord är unika på olika plattformar (dvs. domänlösenord är inte detsamma som lösenord för molntjänster).
- Anställningsavtal innehåller ett uttryckligt krav att följa företagets lösenordspolicy (se ISO 27002 kontroll 6.2).
Lösenordshanteringssystem
Organisationer bör överväga att implementera ett lösenordshanteringssystem (specialiserade lösenordskontrollapplikationer) som:
- Tillgodoser användare som behöver ändra något lösenord som de använder.
- Är programmerad att avvisa lösenord som faller utanför riktlinjerna för bästa praxis.
- Tvingar användare att ändra sitt systemgenererade lösenord efter att de använt det för första gången.
- Tillåter inte fortsatt användning av gamla lösenord eller liknande fraser och alfanumeriska kombinationer.
- Döljer lösenord medan de matas in.
- Lagrar och skickar lösenordsinformation på ett säkert sätt.
- Tillgodoser lösenordskryptering och liknande krypteringstekniker (se ISO 27002 kontroll 8.24).
Lösenordsdata
För att skydda PII och förbättra organisationens integritetsskydd bör lösenord följa fyra vägledande principer:
- Lösenord bör inte konstrueras kring gissbar eller biografisk information.
- Lösenord bör inte innehålla några igenkännbara ord, istället för slumpmässiga alfanumeriska tecken.
- Specialtecken bör användas för att öka lösenordets komplexitet.
- Alla lösenord bör ha en minsta längd (helst 12 tecken).
Organisationer bör också överväga användningen av autentiseringsprotokoll som Single Sign-On (SSO) för att förbättra lösenordssäkerheten, men sådana åtgärder bör endast övervägas tillsammans med organisationens unika tekniska och operativa krav.
Relevanta ISO 27002-kontroller
- ISO 27002 6.2
- ISO 27002 8.24
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.6.3.1 | Användning av hemlig autentiseringsinformation | 5.17 – Autentiseringsinformation för ISO 27002 | Ingen |
Hur ISMS.online hjälper
Hur hjälper vi till?
Genom att lägga till en PIMS till din ISMS på ISMS.online-plattformen förblir din säkerhetsställning allt-i-ett-plats och du undviker dubbelarbete där standarderna överlappar varandra.
Med din PIMS omedelbart tillgänglig för intresserade parter har det aldrig varit enklare att övervaka, rapportera och granska mot både ISO 27002 och ISO 27701 med ett enda knapptryck.
Alla funktioner du behöver:
- ROPA enkelt
- Inbyggd riskbank
- Säkert utrymme för DRR
Ta reda på hur mycket tid och pengar du kommer att spara på din resa till en kombinerad ISO 27002- och 27701-certifiering med ISMS.online av boka en demo.
