Tietokoneverkot käyttävät identiteettejä tunnistamaan entiteetin (käyttäjän, käyttäjäryhmän, laitteen tai IT-omaisuuden) taustalla olevan kyvyn käyttää ennalta määrättyä laitteisto- ja ohjelmistoresurssien joukkoa.
Ohjaus 5.16 käsittelee ihmisten ja ei-inhimillisten identiteettien hyväksymistä, rekisteröintiä ja hallinnointia – määritellään "täydeksi elinkaareksi" - missä tahansa verkossa.
5.16 käsittelee organisaation kykyä tunnistaa kuka (käyttäjät, käyttäjäryhmät) tai mikä (sovellukset, järjestelmät ja laitteet) käyttää dataa tai IT-omaisuutta kulloinkin, ja kuinka näille henkilöllisyyksille myönnetään käyttöoikeudet verkon yli.
5.16 on ennaltaehkäisevä valvonta, joka ylläpitää riskiä toimimalla pääkehänä kaikille asiaan liittyville tietoturva ja kyberturvallisuus toiminnot sekä ensisijaisen tilan hallinta, joka sanelee organisaation identiteetin ja pääsynhallintakehyksen.
Ohjaustyyppi | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset ominaisuudet | Suojausalueet |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Suojella | #Identiteetti- ja pääsyhallinta | #Suojaus |
Koska 5.16 palvelee ensisijaisesti ylläpitotoimintoa, omistajuus tulisi suunnata IT-henkilöstölle, jolle on myönnetty Global Administrator -oikeudet (tai vastaavat muussa kuin Windows-pohjaisessa infrastruktuurissa).
Vaikka on olemassa muita sisäänrakennettuja rooleja, joiden avulla käyttäjät voivat hallita identiteettejä (esim. verkkotunnuksen järjestelmänvalvoja), 5.16:n omistusoikeus kuuluu henkilölle, jolla on lopullinen rooli. vastuu organisaation koko verkostosta, mukaan lukien kaikki aliverkkotunnukset ja Active Directory -vuokralaiset.
Valvonnan 5.16 noudattaminen saavutetaan varmistamalla, että identiteettiin perustuvat menettelyt ilmaistaan selkeästi politiikka-asiakirjoissa, ja seuraamalla henkilöstön päivittäistä noudattamista.
5.16 luettelee kuusi päämenettelyä, joita organisaation on noudatettava täyttääkseen tietoturvan ja kyberturvallisuuden hallinnan edellyttämät standardit:
Noudattaminen – IT-käytännöissä on määrättävä selkeästi, että käyttäjät eivät saa jakaa kirjautumistietoja tai sallia muiden käyttäjien liikkua verkossa millään muulla kuin heille osoitetulla henkilöllisyydellä.
Noudattaminen – Organisaatioiden tulisi käsitellä jaettujen identiteettien rekisteröintiä erillisenä menettelynä yhden käyttäjän identiteeteille, joissa on erityinen hyväksyntätyönkulku.
Noudattaminen – Kuten jaetuilla identiteeteillä, ei-inhimillisillä identiteeteillä pitäisi puolestaan olla oma hyväksymis- ja rekisteröintiprosessi, joka tunnustaa taustalla olevan eron identiteetin määrittämisen henkilölle ja sen myöntämisen välillä omaisuudelle, sovellukselle tai laitteelle.
Noudattaminen – IT-henkilöstön pitäisi suorittaa säännöllisiä tarkastuksia jossa luetellaan identiteetit käyttöjärjestyksessä ja yksilöidään, mitkä entiteetit (ihmis- tai ei-ihmis) voidaan keskeyttää tai poistaa. Henkilöstöhenkilöstön tulisi sisällyttää identiteetinhallinta poistumismenettelyihinsä ja informoida IT-henkilöstöä poistuvista ajoissa.
Noudattaminen – IT-henkilöstön tulee pysyä valppaana jakaessaan rooleja verkon yli ja varmistaa, että entiteeteille ei myönnetä käyttöoikeuksia useiden henkilöllisyyksien perusteella.
Noudattaminen – Termi "merkittävä tapahtuma" voidaan tulkita eri tavoin, mutta perustasolla organisaatiot tarvitsevat varmistaakseen, että niiden hallintomenettelyihin kuuluvat henkilöllisyyden rekisteröintiasiakirjat, luotettavat muutospyyntöprotokollat asianmukaisella hyväksyntämenettelyllä ja kyky tuottaa kattava luettelo määritetyistä henkilöllisyydestä milloin tahansa.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Kuuden tärkeimmän toiminnallisen näkökohdan lisäksi kohdassa 5.16 luetellaan myös neljä vaihetta, joita organisaatioiden on noudatettava luodessaan identiteettiä ja myöntäessään sitä pääsy verkkoresursseihin (käyttöoikeuksien muuttaminen tai poistaminen käsitellään hallinnassa 5.18):
Noudattaminen – On tärkeää tunnustaa, että identiteetin hallinta muuttuu eksponentiaalisesti vaikeammaksi jokaisen luotavan uuden identiteetin myötä. Organisaatioiden tulisi luoda uusia identiteettejä vain silloin, kun siihen on selkeä tarve.
Noudattaminen – Kun liiketoimintatapaus on hyväksytty, identiteetin ja pääsynhallintamenettelyjen tulisi sisältää vaiheet, joilla varmistetaan, että uuden identiteetin vastaanottavalla henkilöllä tai omaisuudella on tarvittavat valtuudet tehdä niin ennen identiteetin luomista.
Kun kokonaisuus on varmennettu, IT-henkilöstön tulee luoda identiteetti, joka on liiketoimintatapausten vaatimusten mukainen ja rajoittuu muutospyyntöasiakirjoissa mainittuun.
27002:2022 / 5.16 korvaa 27002:2013/9.2.1 (Käyttäjien rekisteröinti ja poistaminen) – joka itse kuului 27002:2013:n User Access Management -hallintasarjaan. Vaikka näiden kahden ohjauksen välillä on joitain yhtäläisyyksiä – lähinnä ylläpitoprotokollien ja redundanttien tunnusten deaktivoinnin osalta – 5.16 sisältää paljon kattavamman joukon ohjeita, jotka pyrkivät käsittelemään identiteetin ja pääsyn hallintaa päästä päähän -konseptina.
Suurin ero vuoden 2022 kontrollin ja sen 2013 edeltäjän välillä on sen tunnustaminen, että vaikka rekisteröintiprosessissa on eroja, ihmisten ja ei-ihmisiden identiteettejä ei enää käsitellä toisistaan erillisinä yleisissä verkonhallinnassa.
Nykyaikaisen identiteetin ja pääsynhallinnan sekä Windows-pohjaisten RBAC-protokollien ilmaantumisen myötä IT-hallinto ja parhaiden käytäntöjen ohjeet puhuvat ihmis- ja ei-ihmisidentiteetistä enemmän tai vähemmän keskenään. 27002:2013/9.2.1 ei sisällä ohjeita ei-inhimillisten identiteettien hallintaan, ja se koskee vain sen hallintaa, jota se kutsuu "käyttäjätunnuksiksi" (eli kirjautumistiedot, joita käytetään verkkoon pääsyyn, sekä Salasana).
Kuten olemme nähneet, 27002:2013/5.16 sisältää selkeät ohjeet paitsi identiteetin hallinnan yleisistä turvallisuusvaikutuksista, myös siitä, kuinka organisaatioiden tulee tallentaa ja käsitellä tietoja ennen identiteetin määrittämistä ja koko sen elinkaaren ajan. Vertailun vuoksi 27002:2013/9.2.1 mainitsee vain lyhyesti IT-hallinnon oheisroolin ja rajoittuu IT-henkilöstön suorittamaan identiteetinhallinnan fyysiseen käytäntöön.
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
ISMS.online säästää aikaa ja rahaa
Hanki tarjous