Pääsynvalvonta säätelee tapoja, joilla ihmisille ja muille kuin ihmisille myönnetään pääsy tietoihin, IT-resursseihin ja sovelluksiin missä tahansa verkossa.
Täydentävän ohjeen mukaisesti Ohjaus 5.15 mainitsee (mutta ei rajoitu niihin) neljä erilaista pääsynhallintatyyppiä, jotka voidaan luokitella laajasti seuraavasti:
5.15 on ennaltaehkäisevä valvonta, joka ylläpitää riskiä parantamalla organisaation perustana olevaa kykyä hallita pääsyä tietoihin ja omaisuuteen.
5.15 todetaan selkeästi, että resurssien käyttöoikeus on myönnettävä ja sitä olisi muutettava konkreettisten kaupallisten ja tietoturvavaatimusten perusteella.
Organisaatioiden tulee ottaa käyttöön 5.15 helpottaakseen turvallista pääsyä tietoihin ja minimoidakseen luvattoman pääsyn verkkoonsa – olipa se fyysistä tai virtuaalista.
| Ohjaustyyppi | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset ominaisuudet | Suojausalueet |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Suojella | #Identiteetti- ja pääsyhallinta | #Suojaus |
Vaikka 5.15 perustuu siihen, että johtohenkilöstö organisaation eri osista ylläpitää perusteellista ymmärrystä siitä, kuka tarvitsee pääsyn mihinkin resursseihin (esim. HR tiedottaa työntekijöiden työtehtävistä, mikä puolestaan sanee heidän RBAC-parametrinsa), käyttöoikeudet ovat viime kädessä ylläpitotoiminto, joka niitä hallitsee henkilöstö, jolla on järjestelmänvalvojan oikeudet missä tahansa verkossa.
Sellaisenaan 5.15:n omistuksen tulisi kuulua ylimmän johdon jäsenelle, jolla on kattavat tekniset valtuudet organisaation toimialueille, aliverkkotunnuksille, sovelluksille, resursseille ja omaisuudelle, kuten IT-päällikölle.
Control 5.15:n noudattaminen edellyttää ns. a "aihekohtainen" lähestymistapa pääsynhallintaan (tunnetaan yleisemmin "ongelmakohtaisena" lähestymistapana).
Aihekohtaiset lähestymistavat kannustavat organisaatioita luomaan Accessin Valvontakäytännöt jotka on räätälöity yksittäisiä liiketoimintatoimintoja varten sen sijaan, että noudatettaisiin yleistä pääsynhallintakäytäntöä, joka koskee tietojen ja resurssien käyttöä kaikkialla.
Ohjaus 5.15 edellyttää kulunvalvontakäytäntöjä kaikilla aihekohtaisilla aloilla, jotta seuraavat 11 ohjekohtaa otetaan huomioon. Jotkut alla olevista ohjauspisteistä leikkaavat useita muita ohjaimia, jotka on lueteltu viitteeksi.
Organisaatioiden tulee saada lisätietoja näistä mukana olevista valvontatoimista tapauskohtaisesti.
Noudattaminen – Tämä on helppo saavuttaa pitämällä tarkkaa kirjaa työtehtävistä ja tietojen käyttövaatimuksista, mikä on organisaatiorakenteenne mukaista.
Noudattaminen – Muodollinen riskinarviointi voitaisiin suorittaa yksittäisten sovellusten turvallisuusominaisuuksien tutkimiseksi.
Noudattaminen – Organisaatiosi on pystyttävä osoittamaan, että sinulla on vankka joukko rakennusten ja huoneiden kulunvalvontalaitteita, mukaan lukien hallitut sisäänpääsyjärjestelmät, turvakehät ja vierailijamenettelyt tarvittaessa.
Noudattaminen – Yritysten tulee noudattaa tiukkoja parhaiden käytäntöjen käytäntöjä, jotka eivät tarjoa kattavaa pääsyä organisaatiokaavion tietoihin.
Noudattaminen – Tietojen käyttöoikeudet, jotka ylittävät tavallisen käyttäjän käyttöoikeudet, on oltava tiukat valvottu ja auditoitu.
Noudattaminen – Organisaatiot räätälöivät omat pääsynvalvontakäytäntönsä niiden ulkoisten velvoitteiden mukaisesti, jotka niillä on koskien tietojen, resurssien ja resurssien käyttöä.
Noudattaminen – Käytäntöihin tulisi sisältyä valvontatoimia, jotka estävät yksilön kyvyn vaarantaa laajempaa kulunvalvontatoimintoa omiin käyttöoikeustasoihinsa perustuen (eli työntekijä, jolla on mahdollisuus pyytää, valtuuttaa ja toteuttaa muutoksia verkkoon).
Noudattaminen – Kulunvalvontakäytäntöjen on tunnustettava, että vaikka kulunvalvonta on itsenäinen toiminto, se koostuu useista yksittäisistä vaiheista, joilla on omat aihekohtaiset vaatimukset.
Noudattaminen – Organisaatioiden tulee ottaa käyttöön lupaprosessi, joka edellyttää muodollista, dokumentoitua hyväksyntää asianmukaiselta henkilöstön jäseneltä.
Noudattaminen – Tietojen eheys ja suojausalueet on ylläpidettävä jatkuvalla säännöllisillä auditoinneilla, henkilöstövalvonnalla (lähtevät jne.) ja työkohtaisilla muutoksilla (esim. osastojen muutoksilla ja roolien muutoksilla).
Noudattaminen – Organisaation tulee kerätä ja tallentaa tietoja pääsytapahtumista (esim. tiedostotoiminnasta) sekä suojata luvattomalta pääsyltä tietoturvatapahtumalokiin ja toimia kattavalla vaaratilanteiden hallinta menettelyjä.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Olemme kustannustehokkaita ja nopeita
Kuten olemme keskustelleet, pääsynvalvontasäännöt myönnetään tietyssä verkossa oleville eri entiteeteille (ihmisille ja muille kuin ihmisille), joille puolestaan annetaan "rooleja", jotka sanelevat niiden yleiset vaatimukset.
Kun organisaatiosi määrittelee ja ottaa käyttöön omia kulunvalvontakäytäntöjä, 5.15 pyytää sinua ottamaan huomioon seuraavat 4 kohtaa:
Valvonta 5.15 on selkeä siinä, että organisaatioiden on huolehdittava asiakirjoista ja jäsennellystä vastuuluettelosta. ISO 27002 sisältää lukuisia samanlaisia vaatimuksia koko ohjausluettelossaan – tässä ovat yksittäiset ohjaimet, jotka ovat olennaisimmat 5.15:n kannalta:
Ohjaus 5.15 antaa organisaatioille huomattavasti liikkumavaraa, kun on valittava kulunvalvontasääntöjen sisältämä tarkkuustaso.
ISO neuvoo yrityksiä arvioimaan itse, kuinka yksityiskohtaisia tietyn säännön on oltava työntekijäkohtaisesti ja kuinka monta pääsymuuttujaa sovelletaan mihin tahansa tietoon.
5.15 tunnustaa nimenomaisesti, että mitä yksityiskohtaisempia yrityksen kulunvalvontakäytännöt ovat, sitä suuremmat ovat kustannukset ja sitä vaikeampi koko kulunvalvontakonsepti tulee useissa eri paikoissa, verkkotyypeissä ja sovellusmuuttujissa.
Kulunvalvonta konseptina, ellei sitä hallita tarkasti, voi pian karkaa käsistä. On lähes aina hyvä idea yksinkertaistaa kulunvalvontasääntöjä, jotta niiden hallinta olisi helpompaa ja kustannustehokkaampaa.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
27002:2013/5.15 on kahden samanlaisen kontrollin yhdistäminen 27002:2013 - 9.1.1 (Pääsynvalvontakäytäntö) ja 9.1.2 (Pääsy verkkoihin ja verkkopalveluihin).
Yleisesti ottaen sekä 9.1.1 että 9.1.2 käsittelevät samoja taustateemoja kuin 5.15 ja noudattavat pääpiirteissään samoja hallintoohjeita, mutta niissä on joitain hienoisia toiminnallisia eroja.
Sekä vuoden 2022 että 2013 kontrollit käsittelevät tiedon, omaisuuden ja resurssien saatavuuden hallintaa ja toimivat "tarve tietää" -periaatteella, joka käsittelee yritystietoja hyödykkeenä, jota on hallittava ja suojeltava tarkasti.
Kaikki 27002:2013/9.1.1:n 11 ohjaavaa ohjetta noudattavat samoja yleislinjoja kuin 27002:2013/5.15:ssä, ja jälkimmäisessä painotetaan hieman enemmän fyysistä turvallisuutta ja rajaturvallisuutta.
Pääsynvalvonnan käyttöönottoa tukevat ohjeet ovat suurin piirtein samat, mutta vuoden 2022 hallinta toimii paljon paremmin tarjoamalla tiiviitä, käytännöllisiä ohjeita neljässä toteutusohjeessa.
5.15 tunnustaa erilaiset kulunvalvontamenetelmät, joita on ilmaantunut viimeisen 9 vuoden aikana (MAC, DAC, ABAC), kun taas 27002:2013/9.1.1 rajoittaa ohjeensa RBAC:iin, joka oli tuolloin yleisin kaupallinen kulunvalvontamenetelmä. .
Yhdessä teknologisten muutosten kanssa, jotka tarjoavat organisaatioille paremman hallinnan tietoihinsa, kumpikaan vuoden 2013 ohjausobjekteista ei sisällä mitään järkevää ohjetta siitä, miten organisaation tulisi lähestyä yksityiskohtaisia pääsynvalvontaa, kun taas 27002:2013/5.15 antaa organisaatioille huomattavan määrän liikkumavaraa.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
