Todennustiedot, kuten salasanat, salausavaimet ja korttisirut, ovat portti tietojärjestelmiin, jotka isännöivät arkaluontoisia tietoja.
Todennustietojen huono hallinta tai virheellinen allokointi voi johtaa luvattomaan pääsyyn tietojärjestelmiin ja arkaluonteisten tietovarojen luottamuksellisuuden, saatavuuden ja eheyden menetykseen.
Esimerkiksi GoodFirmin vuoden 2021 tutkimus osoittaa, että 30 % kaikista tietomurroista johtuu heikkoista salasanoista tai huonoista salasanojen hallintakäytännöistä.
Siksi organisaatioilla tulisi olla vankka todennustietojen hallintaprosessi todennustietojen allokoimiseksi, hallitsemiseksi ja suojaamiseksi.
Control 5.17:n avulla organisaatiot voivat allokoida ja hallita todennustietoja oikein, eliminoida todennusprosessin epäonnistumisriskit ja ehkäistä todennustietojen vaarantumisen vuoksi mahdollisesti syntyviä turvallisuusriskejä.
Ohjaus 5.17 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita luomaan ja toteuttamaan asianmukaisen todennustietojen hallintaprosessin.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Identiteetti- ja käyttöoikeushallinta | #Suojaus |
Ottaen huomioon, että Valvonta 5.17 edellyttää organisaation laajuisten sääntöjen, menettelyjen ja toimenpiteiden luomista ja täytäntöönpanoa todennustietojen allokointia ja hallintaa varten, tietoturvavastaavien tulisi olla vastuussa Control 5.17:n noudattamisesta.
Organisaatioiden on täytettävä seuraavat kuusi vaatimusta todennustietojen allokoinnissa ja hallinnassa:
Käyttäjiä, jotka voivat päästä käsiksi ja käyttää todennustietoja, tulee neuvoa noudattamaan seuraavia:
Organisaatioiden tulee noudattaa seuraavia salasanojen hallintajärjestelmää luodessaan:
Lisäksi organisaatioiden tulee suorittaa hajautus- ja salaustekniikoita salasanojen valtuutettujen salausmenetelmien mukaisesti, jotka on määritelty kohdassa Control 8.24.
Salasanojen lisäksi on olemassa muun tyyppisiä todennustietoja, kuten salausavaimia, älykortteja ja biometrisiä tietoja, kuten sormenjälkiä.
Organisaatioita kehotetaan tutustumaan ISO/IEC 24760 -sarjaan saadaksesi tarkempia ohjeita todennustiedoista.
Koska salasanojen toistuva vaihtaminen voi olla käyttäjille hankalaa ja ärsyttävää, organisaatiot voivat harkita vaihtoehtoisten menetelmien, kuten kertakirjautumisen tai salasanavarastojen, käyttöönottoa. On kuitenkin huomattava, että nämä vaihtoehtoiset menetelmät voivat altistaa todennustiedot suuremmalle luvattoman paljastamisen riskille.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
27002:2022/5.17 korvaa 27002:2013/(9.2.4, 9.3.1 9.4.3)
Vaikka 2013- ja 2022-versiot ovat erittäin samankaltaisia todennustietojen allokoinnin ja hallinnan vaatimusten suhteen, 5.17-version Control 2022 sisältää seuraavan vaatimuksen, jota ei sisällytetty vuoden 2013 versioon:
Ohjaus 5.17 ottaa käyttöön seuraavan vaatimuksen käyttäjien vastuista, joita ei mainittu vuoden 9.3.1 version Control 2013:ssä.
Toisin kuin vuoden 2022 versiossa, Control 9.3.1 sisälsi seuraavan vaatimuksen todennustietojen käytölle:
Control 9.4.3 2013-versiossa sisälsi seuraavan vaatimuksen salasanojen hallintajärjestelmille.
Control 5.17 2022-versiossa sitä vastoin ei sisältänyt tätä vaatimusta.
ISMS.Online auttaa organisaatioita ja yrityksiä täyttämään ISO 27002 -standardin vaatimukset tarjoamalla niille alustan, jonka avulla on helppo hallita luottamuksellisuus- tai salassapitokäytäntöjä ja -menettelyjä, päivittää niitä tarpeen mukaan, testata ja seurata niiden tehokkuutta.
Tarjoamme pilvipohjaisen alustan luottamuksellisuuden ja tietoturvan hallintajärjestelmien hallintaan, mukaan lukien salassapitolausekkeet, riskinhallinta, käytännöt, suunnitelmat ja menettelyt yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
Ota yhteyttä jo tänään aikataulun esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |