Mikä on hallinnan tarkoitus 5.16?
5.16 käsittelee organisaation kykyä tunnistaa kuka (käyttäjät, käyttäjäryhmät) tai mikä (sovellukset, järjestelmät ja laitteet) käyttää dataa tai IT-omaisuutta kulloinkin, ja kuinka näille henkilöllisyyksille myönnetään käyttöoikeudet verkon yli.
5.16 on ennaltaehkäisevä valvonta, joka ylläpitää riskiä toimimalla pääkehänä kaikille asiaan liittyville tietoturva ja kyberturvallisuus toiminnot sekä ensisijaisen tilan hallinta, joka sanelee organisaation identiteetin ja pääsynhallintakehyksen.
Ohjauksen ominaisuudet 5.16
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Identiteetti- ja pääsyhallinta | #Suojaus |
| #Integrity | ||||
| #Saatavuus |
Omistus
Koska 5.16 palvelee ensisijaisesti ylläpitotoimintoa, omistajuus tulisi suunnata IT-henkilöstölle, jolle on myönnetty Global Administrator -oikeudet (tai vastaavat muussa kuin Windows-pohjaisessa infrastruktuurissa).
Vaikka on olemassa muita sisäänrakennettuja rooleja, joiden avulla käyttäjät voivat hallita identiteettejä (esim. verkkotunnuksen järjestelmänvalvoja), 5.16:n omistusoikeus kuuluu henkilölle, jolla on lopullinen rooli. vastuu organisaation koko verkostosta, mukaan lukien kaikki aliverkkotunnukset ja Active Directory -vuokralaiset.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleinen Ohjeistus
Valvonnan 5.16 noudattaminen saavutetaan varmistamalla, että identiteettiin perustuvat menettelyt ilmaistaan selkeästi politiikka-asiakirjoissa, ja seuraamalla henkilöstön päivittäistä noudattamista.
5.16 luettelee kuusi päämenettelyä, joita organisaation on noudatettava täyttääkseen tietoturvan ja kyberturvallisuuden hallinnan edellyttämät standardit:
- Kun henkilölle on määritetty identiteetit, vain kyseinen henkilö voi todentaa ja/tai käyttää tätä identiteettiä, kun hän käyttää verkkoresursseja.
Noudattaminen – IT-käytännöissä on määrättävä selkeästi, että käyttäjät eivät saa jakaa kirjautumistietoja tai sallia muiden käyttäjien liikkua verkossa millään muulla kuin heille osoitetulla henkilöllisyydellä.
- Joskus voi olla tarpeen määrittää identiteetti useille ihmisille – tunnetaan myös nimellä "jaettu identiteetti". Tätä lähestymistapaa tulisi käyttää säästeliäästi ja vain tiettyjen toiminnallisten vaatimusten täyttämiseksi.
Noudattaminen – Organisaatioiden tulisi käsitellä jaettujen identiteettien rekisteröintiä erillisenä menettelynä yhden käyttäjän identiteeteille, joissa on erityinen hyväksyntätyönkulku.
- Niin sanotut "ei-ihmis" entiteetit (kuten nimestä voi päätellä, mikä tahansa identiteetti, joka ei liity todelliseen käyttäjään) tulee rekisteröintihetkellä tarkastella eri tavalla kuin käyttäjäpohjaisia identiteettejä.
Noudattaminen – Kuten jaetuilla identiteeteillä, ei-inhimillisillä identiteeteillä pitäisi puolestaan olla oma hyväksymis- ja rekisteröintiprosessi, joka tunnustaa taustalla olevan eron identiteetin määrittämisen henkilölle ja sen myöntämisen välillä omaisuudelle, sovellukselle tai laitteelle.
- Verkon ylläpitäjän tulee poistaa käytöstä identiteetit, joita ei enää tarvita (poistujat, redundantit resurssit jne.), tai ne on poistettava kokonaan tarpeen mukaan.
Noudattaminen – IT-henkilöstön pitäisi suorittaa säännöllisiä tarkastuksia jossa luetellaan identiteetit käyttöjärjestyksessä ja yksilöidään, mitkä entiteetit (ihmis- tai ei-ihmis) voidaan keskeyttää tai poistaa. Henkilöstöhenkilöstön tulisi sisällyttää identiteetinhallinta poistumismenettelyihinsä ja informoida IT-henkilöstöä poistuvista ajoissa.
- Päällekkäisiä identiteettejä tulee välttää kaikin keinoin. Yritysten tulee noudattaa kaikkialla "yksi entiteetti, yksi identiteetti" -sääntöä.
Noudattaminen – IT-henkilöstön tulee pysyä valppaana jakaessaan rooleja verkon yli ja varmistaa, että entiteeteille ei myönnetä käyttöoikeuksia useiden henkilöllisyyksien perusteella.
- Kaikista identiteetin hallintaan ja todennustietoihin liittyvistä "merkittävistä tapahtumista" tulee pitää riittävää kirjaa.
Noudattaminen – Termi "merkittävä tapahtuma" voidaan tulkita eri tavoin, mutta perustasolla organisaatiot tarvitsevat varmistaakseen, että niiden hallintomenettelyihin kuuluvat henkilöllisyyden rekisteröintiasiakirjat, luotettavat muutospyyntöprotokollat asianmukaisella hyväksyntämenettelyllä ja kyky tuottaa kattava luettelo määritetyistä henkilöllisyydestä milloin tahansa.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Täydentävä opas
Kuuden tärkeimmän toiminnallisen näkökohdan lisäksi kohdassa 5.16 luetellaan myös neljä vaihetta, joita organisaatioiden on noudatettava luodessaan identiteettiä ja myöntäessään sitä pääsy verkkoresursseihin (käyttöoikeuksien muuttaminen tai poistaminen käsitellään hallinnassa 5.18):
- Perustele liiketapaus ennen identiteetin luomista
Noudattaminen – On tärkeää tunnustaa, että identiteetin hallinta muuttuu eksponentiaalisesti vaikeammaksi jokaisen luotavan uuden identiteetin myötä. Organisaatioiden tulisi luoda uusia identiteettejä vain silloin, kun siihen on selkeä tarve.
- Varmista, että entiteetti, jolle henkilöllisyys (ihmisen tai ei-ihmisen) määrätään, on vahvistettu itsenäisesti.
Noudattaminen – Kun liiketoimintatapaus on hyväksytty, identiteetin ja pääsynhallintamenettelyjen tulisi sisältää vaiheet, joilla varmistetaan, että uuden identiteetin vastaanottavalla henkilöllä tai omaisuudella on tarvittavat valtuudet tehdä niin ennen identiteetin luomista.
- Identiteetin perustaminen
Kun kokonaisuus on varmennettu, IT-henkilöstön tulee luoda identiteetti, joka on liiketoimintatapausten vaatimusten mukainen ja rajoittuu muutospyyntöasiakirjoissa mainittuun.
- Lopullinen konfigurointi ja aktivointi
Viimeinen vaihe prosessissa identiteetin määrittäminen sen eri käyttöoikeuksiin ja rooleihin (RBAC) ja kaikkiin niihin liittyviin vaadittaviin todennuspalveluihin.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutoksia standardista ISO 27002:2013
general
27002:2022 / 5.16 korvaa 27002:2013/9.2.1 (Käyttäjien rekisteröinti ja poistaminen) – joka itse kuului 27002:2013:n User Access Management -hallintasarjaan. Vaikka näiden kahden ohjauksen välillä on joitain yhtäläisyyksiä – lähinnä ylläpitoprotokollien ja redundanttien tunnusten deaktivoinnin osalta – 5.16 sisältää paljon kattavamman joukon ohjeita, jotka pyrkivät käsittelemään identiteetin ja pääsyn hallintaa päästä päähän -konseptina.
Ihmisen vs. ei-ihmisidentiteetit
Suurin ero vuoden 2022 kontrollin ja sen 2013 edeltäjän välillä on sen tunnustaminen, että vaikka rekisteröintiprosessissa on eroja, ihmisten ja ei-ihmisiden identiteettejä ei enää käsitellä toisistaan erillisinä yleisissä verkonhallinnassa.
Nykyaikaisen identiteetin ja pääsynhallinnan sekä Windows-pohjaisten RBAC-protokollien ilmaantumisen myötä IT-hallinto ja parhaiden käytäntöjen ohjeet puhuvat ihmis- ja ei-ihmisidentiteetistä enemmän tai vähemmän keskenään. 27002:2013/9.2.1 ei sisällä ohjeita ei-inhimillisten identiteettien hallintaan, ja se koskee vain sen hallintaa, jota se kutsuu "käyttäjätunnuksiksi" (eli kirjautumistiedot, joita käytetään verkkoon pääsyyn, sekä Salasana).
Dokumentaatio
Kuten olemme nähneet, 27002:2013/5.16 sisältää selkeät ohjeet paitsi identiteetin hallinnan yleisistä turvallisuusvaikutuksista, myös siitä, kuinka organisaatioiden tulee tallentaa ja käsitellä tietoja ennen identiteetin määrittämistä ja koko sen elinkaaren ajan. Vertailun vuoksi 27002:2013/9.2.1 mainitsee vain lyhyesti IT-hallinnon oheisroolin ja rajoittuu IT-henkilöstön suorittamaan identiteetinhallinnan fyysiseen käytäntöön.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Hyppää aiheeseen
