Mitä kohta A.3.23 edellyttää?
Henkilötietojen käsittelyyn liittyvät turvalliset todennustekniikat ja -menettelyt on toteutettava tiedonsaantirajoitusten mukaisesti.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja siinä vahvistetaan, että pääsy henkilötietoja käsitteleviin järjestelmiin on suojattava vankoilla todennusmekanismeilla. Ilmaus "tiedonsaantirajoitusten perusteella" on tärkeä: todennuksen vahvuuden ja tyypin tulisi olla oikeassa suhteessa henkilötietojen arkaluontoisuuteen ja myönnettävän käyttöoikeuden tasoon. Erityisluokkiin kuuluvia tietoja käsittelevä järjestelmä edellyttää vahvempaa todennusta kuin perusyhteystietoja käsittelevä järjestelmä.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.23) annetaan seuraavat ohjeet:
- Asiakastilien turvalliset kirjautumismenettelyt — Asiakkaan niin vaatiessa organisaation tulisi tarjota valmiudet turvallisiin kirjautumismenettelyihin kaikille asiakkaan hallinnoimille käyttäjätileille.
Käsittelijään keskittyvässä ohjeistuksessa korostetaan tärkeää sopimusulottuvuutta: käsittelijöiden on kyettävä tarjoamaan turvalliset todennusominaisuudet, jotka täyttävät asiakkaidensa (rekisterinpitäjien) vaatimukset. Tähän voi sisältyä monivaiheinen todennus, kertakirjautumisen integrointi, IP-sallittujen osoitteiden listaus tai muut tietojenkäsittelysopimuksessa määritellyt todennusmekanismit.
Miten tämä vastaa GDPR:ää?
Kontrolli A.3.23 vastaa seuraavaa GDPR artikkeli:
- 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää henkilötietojen asianmukaista suojaamista, mukaan lukien suojaaminen luvattomalta käytöltä
Heikko tai puuttuva todennus on suora tie luvattomaan pääsyyn henkilötietoihin, minkä vuoksi tämä valvonta on olennaista 5(1)(f) artiklan noudattamisen kannalta.
Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.6.4.2 (turvalliset kirjautumismenettelyt). Vuoden 2025 painos laajentaa soveltamisalaa nimenomaan kirjautumismenettelyistä yleisemmin turvallisiin todennusteknologioihin ja -menettelyihin, kuten kohdassa A.3.23. Tämä heijastaa todennuksen kehitystä perinteisen käyttäjätunnuksen ja salasanan käyttöön perustuvan kirjautumisen ulkopuolelle kattamaan biometrian, laitteistotunnisteet, salasanattoman todennuksen ja mukautuvan riskiperusteisen todennuksen. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.23 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Todennuskäytäntö — Dokumentoitu käytäntö, jossa määritellään eri järjestelmätyyppien ja henkilötietojen arkaluontoisuustasojen todennusvaatimukset, mukaan lukien salasanan monimutkaisuussäännöt, monimutkaisen todentamisen vaatimukset ja istunnonhallinnan hallintalaitteet
- MFA-käyttöönotto — Todisteet siitä, että monivaiheinen todennus on käytössä henkilötietoja käsittelevissä järjestelmissä, erityisesti etäkäytössä, etuoikeutetuissa tileissä ja asiakasportaalien osalta
- Pääsyoikeuksien hallintamatriisi — Järjestelmäroolien, henkilötietojen käyttöoikeustasojen ja vaaditun todennusvahvuuden välinen kartoitus
- Kirjautumismenettelyn konfigurointi — Tekninen näyttö turvallisesta kirjautumiskonfiguraatiosta, mukaan lukien tilin lukituskynnykset, epäonnistuneiden yritysten lokitiedot ja istunnon aikakatkaisuasetukset
- Asiakkaan kohtaamat todennusominaisuudet — Käsittelijöiden osalta todiste siitä, että asiakkaille on saatavilla suojattuja todennusvaihtoehtoja, kuten tietojenkäsittelysopimuksessa on kuvattu.
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.8 Identiteetinhallinta | Todennus tarkistaa hallinnoidut henkilöllisyydet A.3.8 Identiteetinhallinta |
| A.3.9 Käyttöoikeudet | Todennuksen vahvuuden tulisi olla oikeassa suhteessa suojattaviin käyttöoikeuksiin |
| A.3.22 Käyttäjän päätelaitteet | Päätelaitteiden tulisi pakottaa suojattu todennus ennen henkilötietojen käyttöoikeuden myöntämistä |
| A.3.25 Lokikirjaus | Todennustapahtumat (onnistuneet ja epäonnistuneet) tulee kirjata lokiin ja niitä tulee seurata. |
| A.3.26 Salauksen käyttö | Kryptografiset mekanismit ovat monien todennustekniikoiden perusta |
Ketä tämä valvonta koskee?
A.3.23 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on otettava käyttöön suojattu todennus omille henkilötietoja käsitteleville järjestelmilleen. Käsittelijöillä on lisävelvollisuus tarjota suojatut todennusominaisuudet asiakkaan hallinnoimille tileille asiakkaan niin vaatiessa, mikä tekee todennuksesta sekä sopimuksellisen että teknisen vaatimukset.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online todennuksen hallintaa varten?
ISMS.online tarjoaa käytännön työkaluja turvallisen todennuksen toteuttamiseen ja hallintaan:
- Pääsyoikeuksien hallintakehys — Määrittele ja dokumentoi todennusvaatimukset järjestelmä-, rooli- ja henkilötietojen herkkyystasokohtaisesti keskitetyssä, auditoitavassa paikassa
- Politiikan hallinta — Julkaise todennuskäytännöt versionhallinnalla ja henkilöstön kuittausten seurannalla
- Riskianalyysit — Arvioi todennukseen liittyviä riskejä valmiilla uhkaskenaarioilla tunnistetietojen varkauksille, raa'alle voimalle hyökkäyksille ja istunnon kaappaukselle
- Vaatimustenmukaisuuden seuranta — Seuraa, mitkä järjestelmät täyttävät todennusvaatimuksesi ja millä on keskeneräisiä toimia
- Todisteiden hallinta — Tallenna ja järjestä todennuskonfiguraatiotodisteet, MFA:n käyttöönottotietueet ja tarkastusraportit helppoa hakemista varten arviointien aikana
UKK
Onko monivaiheinen todennus pakollinen?
Kontrollo ei nimenomaisesti vaadi monitieteistä autentikointia (MFA), mutta se edellyttää todennuksen toteuttamista "tiedonkäyttörajoitusten perusteella" – mikä tarkoittaa, että todennuksen vahvuuden on oltava oikeassa suhteessa riskiin. Arkaluonteisia henkilötietoja, etäkäyttöä ja etuoikeutettuja tilejä käsitteleville järjestelmille MFA:ta pidetään yleisesti hyväksyttävänä vähimmäisstandardina. Tilintarkastajat odottavat riskiperusteista perustelua kaikille henkilötietoja käsitteleville järjestelmille, jotka eivät käytä MFA:ta.
Mitä todennusmenetelmiä pidetään turvallisina?
Turvallisiin todennusmenetelmiin kuuluvat monivaiheinen todennus (yhdistämällä jotain, jonka tiedät, jotain, mitä sinulla on, ja jotain, mitä olet), laitteistopohjaiset suojausavaimet (esim. FIDO2/WebAuthn), biometrinen todennus, varmennepohjainen todennus ja mukautuva riskiperusteinen todennus. Pelkkää salasanaa käyttävää todennusta pidetään yhä useammin riittämättömänä henkilötietoja käsitteleville järjestelmille, erityisesti etäkäytössä. Salasanattomat lähestymistavat, jotka käyttävät laitteistotunnisteita tai biometriaa, ovat saamassa hyväksyntää turvallisempana ja käyttäjäystävällisempänä vaihtoehtona.
Mitä ovat käsittelijän erityiset velvoitteet?
Käsittelijöiden on tarjottava asiakkaan hallinnoimille tileille turvalliset kirjautumisominaisuudet asiakkaan niin vaatiessa. Tämä tarkoittaa, että käsittelijöiden tulisi pystyä tarjoamaan MFA:ta, kertakirjautumisen integrointia, IP-sallittujen luetteloiden luomista tai muita todennusominaisuuksia, joita rekisterinpitäjät tarvitsevat omien vaatimustenmukaisuusvelvoitteidensa täyttämiseksi. Nämä ominaisuudet tulisi dokumentoida tietojenkäsittelysopimuksessa ja asettaa saataville ilman lisäesteitä.
Tallenna tämä ohjausobjekti muistiisi Ilmoitus soveltuvuudesta toteutustapojesi kanssa.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.
