ISO 27701 – Lauseke 6.6.2 – User Access Management

ISO 27701, lauseke 6.6.2: Käyttöoikeuksien hallintaopas

Käyttäjien käyttöoikeuksien hallinta hallitsee menetelmiä, joiden kautta käyttäjät käyttävät henkilökohtaisia ​​tunnistetietoja ja yksityisyyteen liittyviä tietoja, ja kuinka organisaatiot voivat hallita pääsyä useilla fyysisilla ja loogisilla toimenpiteillä.

Mitä ISO 27701:n lauseke 6.6.2 kattaa

ISO 27701 6.6.2 on suhteellisen suuri lauseke (aiheeseen nähden), joka sisältää kuusi alalauseketta, jotka liittyvät käyttäjien käyttöoikeuksien tarjoamiseen, käyttöön ja hallintaan.

Jokainen alalause sisältää tietoja ISO 27002:n viereisestä alalausekkeesta, jossa on ohjeita, jotka on mukautettu yksityisyyden suojaan ja henkilökohtaisiin tunnistetietoihin yleisen tietoturvan sijaan:

• ISO 6.6.2.1 – Käyttäjien rekisteröinti ja rekisteröinnin poistaminen (viitteet ISO 27002 ohjaus 5.16).
• ISO 6.6.2.2 – Käyttäjien käyttöoikeuksien hallinta (viitteet ISO 27002 -ohjaus 5.18).
• ISO 6.6.2.3 – Etuoikeutettujen käyttöoikeuksien hallinta (viitteet ISO 27002 ohjaus 8.2).
• ISO 6.6.2.4 – Käyttäjien salaisten todennustietojen hallinta (viitteet ISO 27002 ohjaus 5.17).
• ISO 6.6.2.5 – käyttäjien käyttöoikeuksien tarkastelu (viitteet ISO 27002 ohjaus 5.18).
• ISO 6.6.2.6 – Käyttöoikeuksien poistaminen tai säätäminen (viitteet ISO 27002 ohjaus 5.18).

Kaksi lauseketta sisältävät ohjeita, jotka voivat vaikuttaa Yhdistyneen kuningaskunnan GDPR:n noudattamiseen, ja asiaankuuluvat artikkelit on annettu avuksesi.

ISO 27701 6.6.2 ei sisällä ISO XNUMX XNUMX -lausekkeissa enempää ohjeita PIMS:n käytöstä.

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.

ISO 27701, lauseke 6.6.2.1 – Käyttäjän rekisteröinti ja rekisteröinnin poistaminen

Viitteet ISO 27002 Control 5.16

Käyttäjien rekisteröintiä säätelee määritettyjen 'identiteettien' käyttö. Identiteetit tarjoavat organisaatioille puitteet hallita käyttäjien pääsyä henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyviin resursseihin ja materiaaliin verkon rajoissa.

Organisaation on noudatettava kuutta pääohjeistusta varmistaakseen, että identiteettejä hallitaan oikein ja henkilökohtaisia ​​tunnistetietoja suojataan kaikkialla, missä niitä säilytetään, käsitellään tai niitä käytetään:

1. Kun henkilöllisyydet on määritetty ihmiselle, vain tämä henkilö saa todentaa henkilöllisyytensä ja/tai käyttää sitä, kun hän käyttää henkilökohtaisia ​​tunnistetietoja.
2. Jaetut identiteetit – useita samaan henkilöllisyyteen rekisteröityjä henkilöitä – tulisi ottaa käyttöön vain ainutlaatuisten toiminnallisten vaatimusten täyttämiseksi.
3. Ei-inhimillisiä kokonaisuuksia tulee harkita ja hallita eri tavalla kuin käyttäjäpohjaisia ​​identiteettejä, jotka käyttävät henkilökohtaisia ​​tunnistetietoja ja yksityisyyteen liittyvää materiaalia.
4. Identiteetit tulee poistaa, kun niitä ei enää tarvita – erityisesti ne, joilla on pääsy henkilökohtaisiin tunnistetietoihin tai yksityisyyteen perustuviin rooleihin.
5. Organisaatioiden tulee noudattaa "yksi entiteetti, yksi identiteetti" -sääntöä, kun ne jakavat identiteettejä verkossa.
6. Rekisteröinnit tulee kirjata ja tallentaa selkeillä asiakirjoilla, mukaan lukien aikaleimat, käyttöoikeustasot ja henkilöllisyystiedot.

Organisaatioiden, jotka työskentelevät yhteistyössä ulkoisten organisaatioiden (erityisesti pilvipohjaisten alustojen) kanssa, tulee ymmärtää tällaisiin käytäntöihin liittyvät riskit ja ryhtyä toimiin varmistaakseen, että henkilökohtaisiin tunnistetietoihin ei vaikuteta haitallisesti prosessissa (katso ISO 27002 -säätimet 5.19 ja 5.17).

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.17
• ISO 27002 5.19

Sovellettavat GDPR-artikkelit

• 5 artikla – 1 kohdan f alakohta

ISO 27701, lauseke 6.6.2.2 – Käyttäjän käyttöoikeuksien hallinta

Viitteet ISO 27002 Control 5.18

"Käyttöoikeudet" säätelevät, kuinka pääsy henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyviin tietoihin sekä myönnetään että peruutetaan samojen ohjaavien periaatteiden mukaisesti.

Käyttöoikeuksien myöntäminen ja peruuttaminen

Pääsymenettelyihin tulee kuulua:

• Tietojen tai omaisuuden omistajan (tai johdon) lupa ja valtuutus (katso ISO 27002 -ohjaus 5.9).
• Kaikki vallitsevat kaupalliset, oikeudelliset tai toiminnalliset vaatimukset.
• Tunnustus tarpeesta erottaa tehtävät henkilökohtaisten tunnistetietojen turvallisuuden parantamiseksi ja kestävämmän yksityisyyden suojan rakentamiseksi.
• Ohjaa käyttöoikeuksien peruuttamista, kun pääsyä ei enää tarvita (poistujat jne.).
• Ajankäyttötoimenpiteet väliaikaisille työntekijöille tai urakoitsijoille.
• Keskitetty rekisteri sekä ihmisille että muille kuin ihmisille myönnetyistä käyttöoikeuksista.
• Toimenpiteet työtehtäviä vaihtaneiden henkilöstön tai ulkopuolisten sopimuspuolten käyttöoikeuksien muuttamiseksi.

Käyttöoikeuksien tarkistaminen

Organisaatioiden tulee suorittaa määräajoin verkon käyttöoikeuksien tarkastuksia, mukaan lukien:

• Sisäänpääsyoikeuden peruuttamisen sisällyttäminen HR off boarding -menettelyihin (katso ISO 27002 -säätimet 6.1 ja 6.5) ja roolinvaihtotyönkulkuja.
• "Etuoikeutettujen" käyttöoikeuksien pyynnöt.

Muutosjohtaminen ja lähtevät

Henkilöstön, joka joko lähtee organisaatiosta (joko tahallisesti tai irtisanoutuneena työntekijänä), ja henkilöiden, joille on tehty muutospyyntö, käyttöoikeuksiaan tulisi muuttaa vankkojen riskinhallintamenettelyjen perusteella, mukaan lukien:

• Muutoksen/päättymisen lähde, mukaan lukien taustalla oleva syy.
• Käyttäjän nykyinen työtehtävä ja siihen liittyvät vastuut.
• Tällä hetkellä saatavilla olevat tiedot ja omaisuus – mukaan lukien niiden riskitasot ja arvo organisaatiolle.

Täydentävä opas

Työsopimuksiin ja urakoitsija-/palvelusopimuksiin tulee sisältyä selvitys siitä, mitä tapahtuu luvattoman pääsyn yritysten jälkeen (katso ISO 27002 -säätimet 5.20, 6.2, 6.4, 6.6).

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

Sovellettavat GDPR-artikkelit

• 5 artikla – 1 kohdan f alakohta

ISO 27701 lauseke 6.6.2.3 – Etuoikeutettujen käyttöoikeuksien hallinta

Viitteet ISO 27002 Control 8.2

Etuoikeutetut käyttöoikeudet antavat organisaatioille mahdollisuuden hallita samanaikaisesti pääsyä henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyviin sovelluksiin ja resursseihin ja ylläpitää henkilökohtaisten tunnistetietojen eheyttä verkossa.

Järjestelmänvalvojan oikeuksien (tai kohonneiden RBAC-oikeuksien) luvaton käyttö on yksi tärkeimmistä ICT-häiriöiden syistä kaikkialla maailmassa.

Hallitessaan etuoikeutettuja käyttöoikeuksia yksityisyyden suojaa ajatellen organisaatioiden tulee:

• Laadi luettelo käyttäjistä, jotka tarvitsevat etuoikeutetun käyttöoikeuden.
• Toteuta menettelyjä, jotka jakavat etuoikeutetut käyttöoikeudet käyttäjille "tapahtumakohtaisesti" eli käyttäjälle annetaan hänen työroolinsa mukainen käyttöoikeustaso.
• Käytä selkeää valtuutusprosessia, joka käsittelee etuoikeutettuja käyttöoikeuksia koskevia pyyntöjä.
• Pidä keskitettyä kirjaa etuoikeutetuista käyttöoikeuksista.
• Huomioi käyttöoikeuden viimeinen käyttöpäivä, jos ne on ilmoitettu.
• Varmista, että käyttäjät ovat tietoisia kaikista heille myönnetyistä etuoikeutetuista käyttöoikeuksista.
• Pakota uudelleentodennus ennen kuin käyttäjät käyttävät etuoikeutettuja käyttöoikeuksia.
• Tarkista säännöllisesti organisaation laajuiset etuoikeutetut käyttöoikeudet (katso ISO 27002 -ohjaus 5.18).
• Harkitse lasinmurtomenettelyn käyttöönottoa varmistamalla, että etuoikeutetut käyttöoikeudet myönnetään tiukkojen ikkunoiden puitteissa pyynnön luonteen mukaan.
• Estä yleisten kirjautumistietojen ja arvattavissa olevien salasanojen käyttö (katso ISO 27002 -ohjaus 5.17).
• Varaa yksi identiteetti käyttäjää kohden, tarvittaessa koottuna käyttöoikeusryhmiin.
• Varmista, että etuoikeutettu käyttöoikeus on varattu vain kriittisiin tehtäviin – kuten välttämättömään ylläpitoon tai tapahtumaan liittyvään toimintaan.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.17
• ISO 27002 5.18

ISO 27701 lauseke 6.6.2.4 – Käyttäjien salaisten todennustietojen hallinta

Viitteet ISO 27002 Control 5.17

Todennustiedot tulee jakaa ja hallita siten, että:

• Automaattisesti luodut todennustiedot (salasanat jne.) pidetään salassa kaikilta, joilla ei ole oikeutta käyttää niitä, ne eivät ole arvattavissa ja niitä hallitaan tavalla, joka pakottaa käyttäjän vaihtamaan ne ensimmäisen kirjautumisen jälkeen.
• Ennen todennustietojen myöntämistä tai korvaamista otetaan käyttöön menettelyt, joilla varmistetaan niitä tarvitsevan henkilön henkilöllisyys.
• Todennustietojen välittämiseen käytetään oikeita suojattuja kanavia (eli ei sähköpostitse).
• Kun tiedot on toimitettu onnistuneesti niille, jotka niitä tarvitsevat, käyttäjä (käyttäjät) kuittaa vastaanottaneensa ajoissa.
• Kaikki toimittajan toimittamat todennustiedot (kuten oletuskäyttäjätunnukset ja -salasanat reitittimet ja palomuurit) muutetaan vastaanotettaessa.
• Asiaankuuluvista todennustapahtumista pidetään kirjaa – erityisesti koskien autentikointitietojen alkuperäistä allokointia ja myöhempää hallintaa.

Kaikkien organisaation todennustietoja käyttävien henkilöiden tulee varmistaa, että:

• Kaikki todennustiedot pidetään ehdottoman luottamuksellisina.
• Jos todennustiedot vaarantuvat, joku muu kuin alkuperäinen omistaja tarkastelee tai jakaa ne, tiedot muuttuvat heti.
• Mahdolliset salasanat luodaan ja/tai luodaan organisaation salasanapolitiikan mukaisesti, ja salasanat ovat yksilöllisiä eri alustoilla (eli verkkotunnuksen salasanat eivät ole samoja kuin pilvipalvelun salasanat).
• Työsopimukset sisältävät nimenomaisen vaatimuksen noudattaa yrityksen salasanapolitiikkaa (katso ISO 27002 -ohjaus 6.2).

Salasanan hallintajärjestelmät

Organisaatioiden tulisi harkita sellaisen salasananhallintajärjestelmän käyttöönottoa (erikoistuneet salasananhallintasovellukset), jotka:

• Sopii käyttäjille, joiden on vaihdettava käyttämänsä salasana.
• On ohjelmoitu hylkäämään salasanat, jotka eivät kuulu parhaiden käytäntöjen ohjeisiin.
• Pakottaa käyttäjät vaihtamaan järjestelmän luoman salasanansa, kun he käyttävät sitä ensimmäisen kerran.
• Ei salli vanhojen salasanojen tai vastaavien lauseiden ja aakkosnumeeristen yhdistelmien käyttöä.
• Piilottaa salasanat, kun niitä syötetään.
• Tallentaa ja lähettää salasanatiedot turvallisesti.
• Kattaa salasanan salauksen ja vastaavat salaustekniikat (katso ISO 27002 ohjaus 8.24).

Henkilökohtaisten tunnistetietojen suojaamiseksi ja organisaation yksityisyyden suojan parantamiseksi salasanojen tulee noudattaa neljää pääperiaatetta:

1. Salasanoja ei saa rakentaa arvattavissa olevien tai elämäkertatietojen ympärille.
2. Salasanat eivät saa sisältää tunnistettavia sanoja satunnaisten aakkosnumeeristen merkkien sijaan.
3. Erikoismerkkejä tulisi käyttää salasanan monimutkaisuuden lisäämiseksi.
4. Kaikkien salasanojen tulee olla vähimmäispituisia (mieluiten 12 merkkiä).

Organisaatioiden tulisi myös harkita todennusprotokollien, kuten SSO:n, käyttöä salasanasuojauksen parantamiseksi, mutta tällaisia ​​toimenpiteitä tulisi harkita vain organisaatioiden ainutlaatuisten teknisten ja toiminnallisten vaatimusten rinnalla.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 6.2
• ISO 27002 8.24

ISO 27701 lauseke 6.6.2.5 – Käyttäjien käyttöoikeuksien tarkistus

Viitteet ISO 27002 Control 5.18

Katso edellä (ISO 27701, kohta 6.6.2.2).

ISO 27701 lauseke 6.6.2.6 – Käyttöoikeuksien poistaminen tai säätäminen

Viitteet ISO 27002 Control 5.18

Katso edellä (ISO 27701, kohta 6.6.2.2).

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

Miten ISMS.online auttaa

Kun lisäät PIMS:n ISMS:ään ISMS.online-alustalla, tietoturva-asento pysyy yhtenäisenä ja vältyt päällekkäisyydeltä, kun standardit menevät päällekkäin.

Kun PIMS on välittömästi kiinnostuneiden osapuolten saatavilla, ei ole koskaan ollut helpompaa valvoa, raportoida ja auditoida sekä ISO 27002- että ISO 27701 -standardien mukaisesti napin painalluksella.

Lisätietoja: varata käytännön demo.