ISO 27002:2022 – Valvonta 5.15 – Kulunvalvonta

Mikä on valvonnan tarkoitus 5.15

Täydentävän ohjeen mukaisesti Ohjaus 5.15 mainitsee (mutta ei rajoitu niihin) neljä erilaista pääsynhallintatyyppiä, jotka voidaan luokitella laajasti seuraavasti:

• Pakollinen kulunvalvonta (MAC) – Pääsyä hallinnoi keskitetysti ainoa turvallisuusviranomainen.
• Harkinnanvarainen kulunvalvonta (DAC) – Päinvastainen menetelmä kuin MAC, jossa objektien omistajat voivat siirtää oikeuksia muille käyttäjille.
• Role-based Access Control (RBAC) – Yleisin kaupallinen kulunvalvonta, joka perustuu ennalta määritettyihin työtoimintoihin ja -oikeuksiin.
• Attribuuttipohjainen pääsynhallinta (ABAC) – Käyttäjille myönnetään käyttöoikeudet attribuutteja yhdistävien käytäntöjen avulla.

5.15 on ennaltaehkäisevä valvonta, joka ylläpitää riskiä parantamalla organisaation perustana olevaa kykyä hallita pääsyä tietoihin ja omaisuuteen.

5.15 todetaan selkeästi, että resurssien käyttöoikeus on myönnettävä ja sitä olisi muutettava konkreettisten kaupallisten ja tietoturvavaatimusten perusteella.

Organisaatioiden tulee ottaa käyttöön 5.15 helpottaakseen turvallista pääsyä tietoihin ja minimoidakseen luvattoman pääsyn verkkoonsa – olipa se fyysistä tai virtuaalista.

Ohjauksen ominaisuudet 5.15

Omistus

Vaikka 5.15 perustuu siihen, että johtohenkilöstö organisaation eri osista ylläpitää perusteellista ymmärrystä siitä, kuka tarvitsee pääsyn mihinkin resursseihin (esim. HR tiedottaa työntekijöiden työtehtävistä, mikä puolestaan ​​​​sanee heidän RBAC-parametrinsa), käyttöoikeudet ovat viime kädessä ylläpitotoiminto, joka niitä hallitsee henkilöstö, jolla on järjestelmänvalvojan oikeudet missä tahansa verkossa.

Sellaisenaan 5.15:n omistuksen tulisi kuulua ylimmän johdon jäsenelle, jolla on kattavat tekniset valtuudet organisaation toimialueille, aliverkkotunnuksille, sovelluksille, resursseille ja omaisuudelle, kuten IT-päällikölle.

Yleinen Ohjeistus

Control 5.15:n noudattaminen edellyttää ns. a "aihekohtainen" lähestymistapa pääsynhallintaan (tunnetaan yleisemmin "ongelmakohtaisena" lähestymistapana).

Aihekohtaiset lähestymistavat kannustavat organisaatioita luomaan Accessin Valvontakäytännöt jotka on räätälöity yksittäisiä liiketoimintatoimintoja varten sen sijaan, että noudatettaisiin yleistä pääsynhallintakäytäntöä, joka koskee tietojen ja resurssien käyttöä kaikkialla.

Ohjaus 5.15 edellyttää kulunvalvontakäytäntöjä kaikilla aihekohtaisilla aloilla, jotta seuraavat 11 ohjekohtaa otetaan huomioon. Jotkut alla olevista ohjauspisteistä leikkaavat useita muita ohjaimia, jotka on lueteltu viitteeksi.

Organisaatioiden tulee saada lisätietoja näistä mukana olevista valvontatoimista tapauskohtaisesti.

• Määritä, mitkä entiteetit vaativat pääsyn tiettyihin osiin tietoja ja/tai omaisuutta.

Noudattaminen – Tämä on helppo saavuttaa pitämällä tarkkaa kirjaa työtehtävistä ja tietojen käyttövaatimuksista, mikä on organisaatiorakenteenne mukaista.

• Kaikkien asiaankuuluvien sovellusten eheys ja turvallisuus (linkitetty Control 8.2:een)

Noudattaminen – Muodollinen riskinarviointi voitaisiin suorittaa yksittäisten sovellusten turvallisuusominaisuuksien tutkimiseksi.

• Fyysiset (sivuston) käyttöoikeudet (linkitetty ohjaimiin 7.2, 7.3 ja 7.4)

Noudattaminen – Organisaatiosi on pystyttävä osoittamaan, että sinulla on vankka joukko rakennusten ja huoneiden kulunvalvontalaitteita, mukaan lukien hallitut sisäänpääsyjärjestelmät, turvakehät ja vierailijamenettelyt tarvittaessa.

• Yrityksen laajuinen "täytyy tietää" -periaate, kun on kyse tiedon jakelusta, turvallisuudesta ja luokittelusta (liittyy 5.10, 5.12 ja 5.13)

Noudattaminen – Yritysten tulee noudattaa tiukkoja parhaiden käytäntöjen käytäntöjä, jotka eivät tarjoa kattavaa pääsyä organisaatiokaavion tietoihin.

• Varmista etuoikeutettujen käyttöoikeuksien rajoitukset (linkitetty 8.2:een)

Noudattaminen – Tietojen käyttöoikeudet, jotka ylittävät tavallisen käyttäjän käyttöoikeudet, on oltava tiukat valvottu ja auditoitu.

• Tietoihin pääsyyn liittyvien voimassa olevien lakien, alakohtaisten sääntelyohjeiden tai sopimusvelvoitteiden noudattaminen (liittyy kohtiin 5.31, 5.32, 5.33, 5.34 ja 8.3)

Noudattaminen – Organisaatiot räätälöivät omat pääsynvalvontakäytäntönsä niiden ulkoisten velvoitteiden mukaisesti, jotka niillä on koskien tietojen, resurssien ja resurssien käyttöä.

• Mahdollisten velvollisuuksien ristiriitojen valvonta

Noudattaminen – Käytäntöihin tulisi sisältyä valvontatoimia, jotka estävät yksilön kyvyn vaarantaa laajempaa kulunvalvontatoimintoa omiin käyttöoikeustasoihinsa perustuen (eli työntekijä, jolla on mahdollisuus pyytää, valtuuttaa ja toteuttaa muutoksia verkkoon).

• Pääsynvalvontakäytännön kolmea päätehtävää – pyynnöt, valtuutukset ja hallinto – tulisi käsitellä erillään

Noudattaminen – Kulunvalvontakäytäntöjen on tunnustettava, että vaikka kulunvalvonta on itsenäinen toiminto, se koostuu useista yksittäisistä vaiheista, joilla on omat aihekohtaiset vaatimukset.

• Käyttöoikeuspyynnöt tulee tehdä jäsennellysti, muodollisesti (linkitetty kohtiin 5.16 ja 5.18)

Noudattaminen – Organisaatioiden tulee ottaa käyttöön lupaprosessi, joka edellyttää muodollista, dokumentoitua hyväksyntää asianmukaiselta henkilöstön jäseneltä.

• Käyttöoikeuksien jatkuva hallinta (linkitetty 5.18:aan)

Noudattaminen – Tietojen eheys ja suojausalueet on ylläpidettävä jatkuvalla säännöllisillä auditoinneilla, henkilöstövalvonnalla (lähtevät jne.) ja työkohtaisilla muutoksilla (esim. osastojen muutoksilla ja roolien muutoksilla).

• Riittävien lokien ylläpitäminen ja niihin pääsyn hallinta

Noudattaminen – Organisaation tulee kerätä ja tallentaa tietoja pääsytapahtumista (esim. tiedostotoiminnasta) sekä suojata luvattomalta pääsyltä tietoturvatapahtumalokiin ja toimia kattavalla vaaratilanteiden hallinta menettelyjä.

Ohjeet kulunvalvontasääntöjen täytäntöönpanoon

Kuten olemme keskustelleet, pääsynvalvontasäännöt myönnetään tietyssä verkossa oleville eri entiteeteille (ihmisille ja muille kuin ihmisille), joille puolestaan ​​annetaan "rooleja", jotka sanelevat niiden yleiset vaatimukset.

Kun organisaatiosi määrittelee ja ottaa käyttöön omia kulunvalvontakäytäntöjä, 5.15 pyytää sinua ottamaan huomioon seuraavat 4 kohtaa:

1. Varmista johdonmukaisuus käyttöoikeuden ja sitä koskevien tietojen välillä.
2. Varmista johdonmukaisuus käyttöoikeuden ja fyysiset turvallisuusvaatimukset organisaatiosi (alueet jne.).
3. Jos organisaatiosi toimii hajautetussa laskentaympäristössä, joka sisältää useita erillisiä verkkoja tai resurssijoukkoja (kuten pilvipohjainen ympäristö), käyttöoikeudet huomioivat useiden verkkopalvelujen sisältämän tiedon vaikutukset.
4. Ota huomioon dynaamisiin pääsynvalvontatoimintoihin liittyvät vaikutukset (järjestelmänvalvojien järjestelmänvalvojien toteuttama yksityiskohtaisen muuttujajoukon sisältö).

Dokumentaatio ja määritellyt vastuut

Valvonta 5.15 on selkeä siinä, että organisaatioiden on huolehdittava asiakirjoista ja jäsennellystä vastuuluettelosta. ISO 27002 sisältää lukuisia samanlaisia ​​vaatimuksia koko ohjausluettelossaan – tässä ovat yksittäiset ohjaimet, jotka ovat olennaisimmat 5.15:n kannalta:

Dokumentaatio

• 5.16
• 5.17
• 5.18
• 8.2
• 8.3
• 8.4
• 8.5
• 8.18

Vastuut

• 5.2
• 5.17

rakeisuus

Ohjaus 5.15 antaa organisaatioille huomattavasti liikkumavaraa, kun on valittava kulunvalvontasääntöjen sisältämä tarkkuustaso.

ISO neuvoo yrityksiä arvioimaan itse, kuinka yksityiskohtaisia ​​tietyn säännön on oltava työntekijäkohtaisesti ja kuinka monta pääsymuuttujaa sovelletaan mihin tahansa tietoon.

5.15 tunnustaa nimenomaisesti, että mitä yksityiskohtaisempia yrityksen kulunvalvontakäytännöt ovat, sitä suuremmat ovat kustannukset ja sitä vaikeampi koko kulunvalvontakonsepti tulee useissa eri paikoissa, verkkotyypeissä ja sovellusmuuttujissa.

Kulunvalvonta konseptina, ellei sitä hallita tarkasti, voi pian karkaa käsistä. On lähes aina hyvä idea yksinkertaistaa kulunvalvontasääntöjä, jotta niiden hallinta olisi helpompaa ja kustannustehokkaampaa.

Muutoksia standardista ISO 27002:2013

27002:2013/5.15 on kahden samanlaisen kontrollin yhdistäminen 27002:2013 - 9.1.1 (Pääsynvalvontakäytäntö) ja 9.1.2 (Pääsy verkkoihin ja verkkopalveluihin).

Yleisesti ottaen sekä 9.1.1 että 9.1.2 käsittelevät samoja taustateemoja kuin 5.15 ja noudattavat pääpiirteissään samoja hallintoohjeita, mutta niissä on joitain hienoisia toiminnallisia eroja.

Sekä vuoden 2022 että 2013 kontrollit käsittelevät tiedon, omaisuuden ja resurssien saatavuuden hallintaa ja toimivat "tarve tietää" -periaatteella, joka käsittelee yritystietoja hyödykkeenä, jota on hallittava ja suojeltava tarkasti.

Kaikki 27002:2013/9.1.1:n 11 ohjaavaa ohjetta noudattavat samoja yleislinjoja kuin 27002:2013/5.15:ssä, ja jälkimmäisessä painotetaan hieman enemmän fyysistä turvallisuutta ja rajaturvallisuutta.

Pääsynvalvonnan käyttöönottoa tukevat ohjeet ovat suurin piirtein samat, mutta vuoden 2022 hallinta toimii paljon paremmin tarjoamalla tiiviitä, käytännöllisiä ohjeita neljässä toteutusohjeessa.

Muutokset kulunvalvontatyypeissä 9.1.1

5.15 tunnustaa erilaiset kulunvalvontamenetelmät, joita on ilmaantunut viimeisen 9 vuoden aikana (MAC, DAC, ABAC), kun taas 27002:2013/9.1.1 rajoittaa ohjeensa RBAC:iin, joka oli tuolloin yleisin kaupallinen kulunvalvontamenetelmä. .

rakeisuus

Yhdessä teknologisten muutosten kanssa, jotka tarjoavat organisaatioille paremman hallinnan tietoihinsa, kumpikaan vuoden 2013 ohjausobjekteista ei sisällä mitään järkevää ohjetta siitä, miten organisaation tulisi lähestyä yksityiskohtaisia ​​pääsynvalvontaa, kun taas 27002:2013/5.15 antaa organisaatioille huomattavan määrän liikkumavaraa.

Uudet ISO 27002 -säätimet