Valvonnan tarkoitus 8.2
Haitallinen tai virheellinen korotettujen järjestelmänvalvojan oikeuksien käyttö on yksi tärkeimmistä ICT-häiriöiden syistä kaupallisissa verkoissa kaikkialla maailmassa.
Etuoikeutettujen käyttöoikeuksien avulla organisaatiot voivat hallita pääsyä infrastruktuuriinsa, sovelluksiinsa, omaisuutensa ja säilyttää kaikkien tallennettujen tietojen ja järjestelmien eheyden.
Ohjaus 8.2 on a ennaltaehkäisevä valvonta että ylläpitää riskiä perustamalla valtuutuksen prosessi, joka käsittelee kaikki käyttöoikeuspyynnöt organisaation ICT-verkon ja siihen liittyvien resurssien yli.
Attribuuttien ohjaustaulukko 8.2
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Identiteetti- ja käyttöoikeushallinta | #Suojaus |
| #Integrity | ||||
| #Saatavuus |
Määräysvallan omistus 8.2
Ohjaus 8.6 käsittelee an organisaation kyky hallita pääsyä tietoihin käyttäjätilien kautta, joilla on parannetut käyttöoikeudet.
Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä (tai vastaavalla organisaatiolla), joka omistaa vastuuta organisaatiosta kyky hallita ja valvoa etuoikeutettuja verkkotunnuksen tai sovelluksen käyttäjätilejä.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset valvontaohjeet 8.2
Ohjaus 8.2 sisältää 12 pääohjetta organisaatiot tarvitsevat noudatettava "aihekohtaisen" kulunvalvontapolitiikan mukaisesti (katso Ohjaus 5.15), joka kohdistuu yksittäisiin liiketoimintatoimintoihin.
Organisaatioiden tulee:
- Tunnista luettelo käyttäjistä, jotka tarvitsevat jonkin verran etuoikeutettuja käyttöoikeuksia joko yksittäiselle järjestelmälle, kuten tietokantasovellukselle tai taustalla olevalle käyttöjärjestelmälle.
- Ylläpidä käytäntöä, joka jakaa käyttäjille etuoikeutetut käyttöoikeudet niin sanotun "tapahtumakohtaisesti" – käyttäjille on myönnettävä käyttöoikeustasot sen vähimmäismäärän perusteella, mitä he tarvitsevat tehtävänsä suorittamiseksi.
- Selkeän valtuutusprosessin hahmottaminen, joka käsittelee kaikki etuoikeutettuja käyttöoikeuksia koskevat pyynnöt, mukaan lukien kirjaaminen kaikista toteutetuista käyttöoikeuksista.
- Varmista, että käyttöoikeuksilla on asianmukainen voimassaoloaika.
- Varmista, että käyttäjät ovat nimenomaisesti tietoinen mistä tahansa ajanjaksosta, jolloin he toimivat etuoikeutetulla pääsyllä järjestelmään.
- Tarvittaessa käyttäjiä pyydetään todentamaan uudelleen ennen etuoikeutettujen käyttöoikeuksien käyttöä parantaakseen tieto-/tietoturvallisuutta.
- Suorita säännöllisiä tarkastuksia etuoikeutetuista käyttöoikeuksista, erityisesti organisaatiomuutosten jälkeen. Käyttäjien käyttöoikeuksia tulisi tarkastella heidän "tehtäviensä, roolien, vastuiden ja pätevyyden" perusteella (katso Valvonta 5.18).
- Harkitse ns. lasinmurtomenettelyä – eli varmista, että etuoikeutetut käyttöoikeudet myönnetään tiukasti kontrolloiduissa aikaikkunoissa, jotka täyttävät suoritettavan toiminnon vähimmäisvaatimukset (kriittiset muutokset, järjestelmän hallinta jne.).
- Varmista, että kaikki etuoikeutetut käyttöoikeudet kirjataan lokiin.
- Estä yleisten järjestelmän kirjautumistietojen (etenkin standardoitujen käyttäjätunnusten ja salasanojen) käyttö (katso Ohjaus 5.17).
- Noudata käytäntöä määrittää käyttäjille erillinen identiteetti, mikä mahdollistaa etuoikeutettujen käyttöoikeuksien tiukemman hallinnan. Tällaiset identiteetit voidaan sitten ryhmitellä yhteen, jolloin liittyvälle ryhmälle tarjotaan eritasoisia käyttöoikeuksia.
- Varmista, että etuoikeutetut käyttöoikeudet on varattu vain kriittisiin tehtäviin, jotka liittyvät toimivan ICT-verkon jatkuvaan toimintaan – kuten järjestelmänhallinta ja verkon ylläpito.
Ohjaimet tukevat
- 5.15
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Muutokset ja erot standardista ISO 27002:2013
Ohjaus 27002:2022-8.2 korvaa 27002:2013-9.2.3 (Etuoikeutettujen käyttöoikeuksien hallinta).
27002:2022-8.2 sisältää 5 tärkeintä ohjekohtaa, jotka eivät ole selkeät vuoden 2013 vastineessa:
- 27002:2022-8.2 ei nimenomaisesti vaadi eri käyttäjätunnusta etuoikeutetuille käyttöoikeuksille.
- 27002:2022-8.2 korostaa tarvetta todentaa uudelleen ennen etuoikeutettujen käyttöoikeuksien saamista.
- 27002:2022-8.2 kannattaa lasinmurtoa suoritettaessa kriittisiä huoltotehtäviä tiukasti valvottujen aikaikkunoiden perusteella.
- 27002:2022-8.2 pyytää organisaatioita pitämään perusteellisia käyttöoikeuslokeja, tilintarkastustarkoituksiin.
- 27002:2022-8.2 pyytää organisaatioita rajoittamaan etuoikeutettujen käyttöoikeuksien käyttöä hallinnollisiin tehtäviin.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISO 27002, Control 6.6, kattaa organisaatioiden tarpeen estää luottamuksellisten tietojen vuotaminen perustamalla luottamuksellisuussopimukset asianomaisten osapuolten kanssa ja henkilöstöä.
Pilvipohjainen alustamme tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita perustamaan tietoturvan hallintajärjestelmä (ISMS) mukaan ISO 27002.
Näitä työkaluja ovat:
- Kirjasto malleja yleisille yritysasiakirjoille.
- Joukko ennalta määritettyjä käytäntöjä ja menettelytapoja.
- Tarkastustyökalu sisäisen tarkastuksen tueksi.
- Asetuskäyttöliittymä mukauttamiseen ISMS-käytännöt ja menettelyt.
- Hyväksynnän työnkulku kaikille käytäntöihin ja menettelyihin tehdyille muutoksille.
- Tarkistuslista varmistaaksesi, että käytäntösi ja tietoturvaprosessisi noudattavat hyväksyttyjä kansainvälisiä standardeja.
ISMS.Online antaa käyttäjille myös mahdollisuuden:
- Hallitse kaikkia ISMS:n osa-alueita elinkaari helposti.
- Saat reaaliaikaisia näkemyksiä heidän tietoturva-asennostaan ja vaatimustenmukaisuusaukoistaan.
- Integroi muihin järjestelmiin, kuten HR-, talous- ja projektinhallintaan.
- Osoita noudattavansa niitä ISMS ja ISO 27001 standardit.
ISMS.Online-työkalu opastaa myös ISMS:n parhaiten toteuttamisessa antamalla vinkkejä politiikkojen ja menettelyjen luomiseen, jotka liittyvät esimerkiksi riskienhallintaan, henkilöstön tietoturvakoulutukseen ja häiriötilanteiden hallintaan.
Hyppää aiheeseen
