Suojattu todennus on ensisijainen menetelmä, jota ihmiset ja muut käyttäjät käyttävät, kun he yrittävät hyödyntää organisaation ICT-omaisuutta.
Viimeisen vuosikymmenen aikana todennusteknologiassa on tapahtunut perustavanlaatuinen muutos perinteisestä käyttäjätunnus-/salasana-pohjaisesta validoinnista erilaisia täydentäviä tekniikoita sisältää biometrisiä tietoja, loogisia ja fyysisiä kulunvalvontaa, ulkoisten laitteiden todennuksia, tekstiviestikoodeja ja kertakäyttöisiä salasanoja (OTP).
27002:2022-8.5 laittaa kaiken tämän kontekstiin ja neuvoo organisaatioita tarkalleen, miten niiden tulisi olla valvoa pääsyä niiden tieto- ja viestintätekniikkajärjestelmiin ja -omaisuuteen suojatun sisäänkirjautumisyhdyskäytävän kautta.
Ohjaus 8.5 on a ennaltaehkäisevä valvonta että ylläpitää riskiä ottamalla käyttöön teknologiaa ja luomalla aihekohtaisia suojattuja todennusmenettelyjä, jotka varmistavat, että ihmis- ja muut käyttäjät ja identiteetit käyvät läpi vankan ja turvallisen todennusmenettelyn yrittäessään käyttää ICT-resursseja.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Identiteetti- ja käyttöoikeushallinta | #Suojaus |
Ohjaus 8.5 käsittelee organisaation kykyä hallita pääsyä verkkoonsa (ja sen sisältämiin tietoihin ja dataan) kriittisissä risteyksissä, kuten kirjautumisyhdyskäytävässä.
Vaikka valvonta käsitteleekin tieto- ja tietoturvallisuutta laajempana käsitteenä, toimintaohje on ensisijaisesti teknistä.
Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä (tai vastaavalla organisaatiolla), joka omistaa vastaa organisaation päivittäisistä IT-hallinnon toiminnoista.
Ohjaus 8.5 pyytää organisaatioita harkitsemaan todennusohjaimia, jotka ovat olennaisia käytettävän datan ja verkon tyypin ja herkkyyden kannalta, mukaan lukien:
Organisaation suojatun todennusohjauksen päätavoitteena tulisi olla estää ja/tai minimoida luvattoman käytön riskin suojattuihin järjestelmiinsä.
Tämän saavuttamiseksi Control 8.5 hahmottelee 12 pääohjeistusta. Organisaatioiden tulee:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO suosittelee, että johtuen useista biometristen kirjautumisprosessien tehokkuuteen ja eheyteen liittyvistä tekijöistä perinteisiin mittareihin (salasanat, MFA, tunnukset jne.) verrattuna, biometriset todennusmenetelmät ei pidä käyttää erikseen, ja mukana on vähintään yksi muu kirjautumistekniikka.
27002:2022-8.5 korvaa 27002:2014-9.4.2 (Suojatut kirjautumistoimenpiteet).
27002:2022-8.5 sisältää samat 12 ohjepistettä kuin vuoden 2013 vastineensa, jossa on pieniä muutoksia sanamuotoon, ja se noudattaa samoja taustalla olevia turvallisuusperiaatteita.
Viime vuosikymmenen aikana lisääntyneen MFA- ja biometristen kirjautumistekniikoiden myötä 27002:2022-8.5 sisältää selkeät ohjeet molempien tekniikoiden käytöstä, jotka organisaatioiden tulee ottaa huomioon laatiessaan omia kirjautumissäätimiä.
Pilvipohjainen alustamme tarjoaa sinulle vankan tietoturvavalvontakehyksen, jotta voit tarkistuslista ISMS-prosessistasi kun menet varmistaaksesi, että se täyttää ISO 27000k vaatimukset. Oikein käytettynä, ISMS. online voi auttaa sinua sertifioinnin saavuttaminen mahdollisimman vähän aikaa ja resursseja.
Ota yhteyttä jo tänään varaa esittely.
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |