ISO 27001:2022 Liite A Valvonta 8.5

Suojattu todennus

Varaa demo

lähikuva,afrikkalaisesta,lapsista,selailu,internet,kannettavassa.,käsissä

ISO 27001:2022 liitteen A tarkoitus 8.5

Suojattu todennus on tärkein tapa, jolla käyttäjät, sekä ihmiset että muut, pääsevät käyttämään organisaation ICT-resursseja.

Viimeisten kymmenen vuoden aikana todennustekniikka on kokenut suuren muutoksen klassisesta käyttäjätunnuksen/salasanan validoinnista useisiin lisämenetelmiin, jotka sisältävät biometrisiä tietoja, loogisia ja fyysisiä pääsynhallintalaitteita, ulkoisten laitteiden todennuksia, tekstiviestikoodeja ja kertakäyttöisiä salasanoja (OTP). .

Liite A 8.5 tarjoaa organisaatioille puitteet valvoa pääsyä tieto- ja viestintätekniikkajärjestelmiinsä suojatun sisäänkirjautumisyhdyskäytävän kautta. Siinä hahmotellaan tarkasti, miten tämä pitäisi tehdä.

ISO 27001: 2022 Liite A Valvonta 8.5 on a ehkäisevä toimenpide joka ylläpitää riskiä tasoilla ottamalla käyttöön teknologiaa ja turvallisia todennusmenettelyjä, jotka varmistavat, että ihmiset ja muut käyttäjät ja identiteetit suorittavat turvallisen todennusprosessin yrittäessään käyttää ICT-resursseja.

Liitteen A omistusoikeus 8.5

ISO 27001:2022 Liite A 8.5 käsittelee organisaation kykyä valvoa pääsyä verkkoonsa (ja sen sisältämiin tietoihin) avainpisteissä, esimerkiksi kirjautumisportaalissa.

Valvonta kattaa tieto- ja tietoturvallisuuden kokonaisuutena, ja toimintaohjeistus keskittyy pääosin teknisiin näkökohtiin.

- IT-johtaja (tai vastaavalla) pitäisi olla omistusoikeus, koska heillä on vastuu IT-hallinnon tehtävistä päivittäin.

Siirry aiheeseen
100 % ISO 27001 menestys

Yksinkertainen, käytännöllinen ja aikaa säästävä polkusi ensimmäistä kertaa ISO 27001 -vaatimustenmukaisuuteen tai -sertifiointiin

Varaa esittelysi
Varmennettujen tulosten menetelmä

Yleiset ohjeet standardista ISO 27001:2022 liite A 8.5

Organisaatioiden tulee ottaa huomioon käytettävien tietojen ja verkon tyyppi ja herkkyys todennuksen hallintaa harkitessaan. Esimerkkejä tällaisista ohjaimista ovat:

  • Älykkäät kulunvalvontalaitteet (älykortit).

  • Biometriset kirjautumistiedot.

  • Turvalliset merkit.

  • Monitekijätodennus (MFA).

  • Digitaaliset sertifikaatit.

Yrityksen turvallisten todennustoimenpiteiden ensisijaisena tavoitteena tulee olla estää ja vähentää luvattoman pääsyn mahdollisuutta suojattuihin järjestelmiin.

Tämän saavuttamiseksi ISO 27001:2022 liitteessä A 8.5 esitetään kaksitoista tärkeintä ohjetta. Yritysten tulee:

  1. Varmista, että tiedot näytetään vasta onnistuneen todennusprosessin jälkeen.

  2. Näytä ennen kirjautumista varoitusviesti, jossa kerrotaan selvästi, että vain valtuutetut käyttäjät voivat käyttää tietoja.

  3. Vähennä apua, jota annetaan luvattomille ihmisille, jotka yrittävät päästä järjestelmään. Yritykset eivät esimerkiksi saisi paljastaa, mikä kirjautumisen osa on ollut virheellinen, kuten monivaiheisen todennuksen kirjautumisen biometrinen tekijä, vaan ilmoittaa vain, että sisäänkirjautuminen ei ole toiminut.

  4. Tarkista kirjautumisyritys vasta, kun kaikki tarvittavat tiedot on toimitettu kirjautumispalveluun turvallisuuden ylläpitämiseksi.

  5. Ota käyttöön alan standardien mukaisia ​​suojaustoimenpiteitä suojautuaksesi kirjautumisportaaleihin kohdistuvilta yleisiltä pääsyltä ja raa'alta voimalta. Näitä voivat olla:

    • CAPTCHA on suojausominaisuus, joka edellyttää merkkijonon syöttämistä varmistaaksesi, että olet ihmiskäyttäjä.

    • Salasanan nollaus pakotetaan tiettyjen epäonnistuneiden kirjautumisyritysten jälkeen.

    • Tietyn määrän epäonnistuneiden yritysten jälkeen uudet kirjautumiset estetään. Voit estää tämän asettamalla rajan.

  6. Tarkastuksen ja turvallisuuden vuoksi jokainen epäonnistunut kirjautumisyritys on merkittävä muistiin, mukaan lukien rikos- ja/tai viranomaismenettelyt.

  7. Jos kirjautumisessa ilmenee merkittäviä eroja, kuten epäillään tunkeutumista, turvahäiriö on aloitettava välittömästi. Sisäiselle henkilöstölle, erityisesti niille, joilla on järjestelmänvalvojan oikeudet tai mahdollisuus estää haitalliset kirjautumisyritykset, on ilmoitettava välittömästi.

  8. Kun onnistunut kirjautuminen on vahvistettu, tietyt tiedot on siirrettävä toiseen tietovarastoon, joka sisältää seuraavat tiedot:

    • Viimeisin onnistunut kirjautuminen tapahtui [päivämäärä] kello [aika].

    • Tietue kaikista kirjautumisyrityksistä viimeisen todennetun kirjautumisen jälkeen.

  9. Näytä salasanat tähtinä tai muina vastaavina abstrakteina symboleina, ellei siihen ole syytä (esim. käyttäjän saavutettavuus).

  10. Ei toleranssia salasanojen jakamiselle tai näyttämiselle pelkällä, luettavalla tekstillä.

  11. Varmista, että käyttämättömät kirjautumisistunnot lopetetaan tietyn ajan kuluttua. Tämä on erityisen tärkeää istuntoihin korkean riskin paikoissa (etätyö tilanteissa) tai käyttäjien omistamissa laitteissa, kuten kannettavissa tietokoneissa tai matkapuhelimissa.

  12. Rajoita aikaa, jonka todennettu istunto voi pysyä auki, vaikka se olisi aktiivinen, riippuen käytettävissä olevista tiedoista (esim. tärkeät yritystiedot tai rahaan liittyvät ohjelmat).

Biometristen kirjautumisten ohjeet

Kansainvälinen standardointijärjestö vaatii, että biometriset kirjautumisprosessit yhdistetään vähintään toinen kirjautumistekniikka, johtuen niiden suhteellisesta tehokkuudesta ja eheydestä verrattuna perinteisiin menetelmiin, kuten salasanoihin, MFA:hin ja tokeneihin.

Muutokset ja erot standardista ISO 27001:2013

ISO 27001:2022 Liite A 8.5 korvaa standardin ISO 27001:2013 Liite A 9.4.2 (Suojatut kirjautumisprotokollat).

ISO 27001:2022 Liite A 8.5 on versio vuoden 2013 versiosta, jossa on pieniä muutoksia kieleen ja sen taustalla ovat samat turvallisuusperiaatteet. Asiakirja sisältää edelleen 12 tuttua ohjekohtaa.

Viimeisten kymmenen vuoden aikana lisääntyneen monitekijätodennus- ja biometristen kirjautumistekniikoiden käytön mukaisesti ISO 27001:2022 -standardin liite A 8.5 sisältää selkeät ohjeet siitä, kuinka organisaatioiden tulee ottaa nämä tekniikat huomioon laatiessaan omia kirjautumissäätimiä.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta henkilöstä ISO 27001:2022 liite A Ohjaus.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Miten ISMS.online Ohje

Pilvipohjainen alustamme tarjoaa sinulle vahvat puitteet tietoturva ohjaimia, jotka auttavat ISMS-prosessia ja varmistavat, että se täyttää ISO 27001:2022 -kriteerit. Oikein käytettynä, ISMS.online voi auttaa sinua saamaan sertifioinnin minimaalisella ajalla ja resursseilla.

Ota yhteyttä jo tänään järjestää mielenosoitus.

Katso ISMS.online
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Päivitetty ISO 27001 2022 -standardia varten
  • 81 % työstä on tehty puolestasi
  • Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
  • Säästä aikaa, rahaa ja vaivaa
Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja