Vahvan todennuksen varmistaminen: ISO 27701:n mukaiset käyttäjän velvollisuudet
Asianmukaiset ja turvalliset todennusmenettelyt ovat useimpien yleisten ja aihekohtaisten pääsykäytäntöjen selkäranka riippumatta siitä, liittyvätkö ne henkilökohtaisiin tunnistetietoihin tai tietoihin, resursseihin ja tietoihin yleensä.
Helposti arvattavissa olevat ja huonosti rakennetut salasanat ovat alhainen hedelmä mahdollisille verkkorikollisille, jotka haluavat päästä käsiksi organisaation henkilökohtaisiin tunnistetietoihin, jotka yleensä joko lunastetaan takaisin, käytetään maineeseen tai myydään pimeässä verkossa eniten tarjoavalle.
Käyttäjien on noudatettava tiukasti pakotettua salasanakäytäntöä, joka kattaa luomisen, jakelun, salasanan rakentamisen ja hyödyntää saatavilla olevaa todennustekniikkaa (SSO, salasanavarastot).
Mitä ISO 27701:n lauseke 6.6.3 kattaa
ISO 27702 6.6.3 sisältää vain yhden alalausekkeen, joka sisältää yhdistettyjä ohjeita ISO 27002:sta, jossa hahmotellaan, kuinka organisaatioiden tulee lähestyä todennusturvallisuutta:
- ISO 27701 6.6.3.1 – Salaisten todennustietojen käyttö (viitteet ISO 27002 Control 5.17)
Yhdistyneen kuningaskunnan GDPR-viittauksia ei ole huomioitava, eikä ISO tarjoa PIMS- tai PII-spesifisiä ohjeita, joita noudattaa.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.6.3.1 – Salaisten todennustietojen käyttö
Viitteet ISO 27002 Control 5.17
Todennustietojen myöntäminen ja hallinta
Todennustiedot tulee jakaa ja hallita siten, että:
- Automaattisesti luodut todennustiedot (salasanat jne.) pidetään salassa kaikilta, joilla ei ole oikeutta käyttää niitä, ne eivät ole arvattavissa ja niitä hallitaan tavalla, joka pakottaa käyttäjän vaihtamaan ne ensimmäisen kirjautumisen jälkeen.
- Ennen todennustietojen myöntämistä tai korvaamista otetaan käyttöön menettelyt, joilla varmistetaan niitä tarvitsevan henkilön henkilöllisyys.
- Todennustietojen välittämiseen käytetään oikeita suojattuja kanavia (eli ei sähköpostitse).
- Kun tiedot on toimitettu onnistuneesti niille, jotka niitä tarvitsevat, käyttäjä (käyttäjät) kuittaa vastaanottaneensa ajoissa.
- Kaikki toimittajan toimittamat todennustiedot (kuten oletuskäyttäjätunnukset ja -salasanat reitittimet ja palomuurit) muutetaan vastaanotettaessa.
- Asiaankuuluvista todennustapahtumista pidetään kirjaa – erityisesti koskien autentikointitietojen alkuperäistä allokointia ja myöhempää hallintaa.
Kaikkien organisaation todennustietoja käyttävien henkilöiden tulee varmistaa, että:
- Kaikki todennustiedot pidetään ehdottoman luottamuksellisina.
- Jos todennustiedot vaarantuvat, joku muu kuin alkuperäinen omistaja tarkastelee tai jakaa ne, tiedot muuttuvat heti.
- Mahdolliset salasanat luodaan ja/tai luodaan organisaation salasanapolitiikan mukaisesti, ja salasanat ovat yksilöllisiä eri alustoilla (eli verkkotunnuksen salasanat eivät ole samoja kuin pilvipalvelun salasanat).
- Työsopimukset sisältävät nimenomaisen vaatimuksen noudattaa yrityksen salasanapolitiikkaa (katso ISO 27002 -ohjaus 6.2).
Salasanan hallintajärjestelmät
Organisaatioiden tulisi harkita sellaisen salasananhallintajärjestelmän käyttöönottoa (erikoistuneet salasananhallintasovellukset), jotka:
- Sopii käyttäjille, joiden on vaihdettava käyttämänsä salasana.
- On ohjelmoitu hylkäämään salasanat, jotka eivät kuulu parhaiden käytäntöjen ohjeisiin.
- Pakottaa käyttäjät vaihtamaan järjestelmän luoman salasanansa, kun he käyttävät sitä ensimmäisen kerran.
- Ei salli vanhojen salasanojen tai vastaavien lauseiden ja aakkosnumeeristen yhdistelmien käyttöä.
- Piilottaa salasanat, kun niitä syötetään.
- Tallentaa ja lähettää salasanatiedot turvallisesti.
- Tarjoaa salasanan salauksen ja vastaavat salaustekniikat (katso ISO 27002 -ohjaus 8.24).
Salasanatiedot
Henkilökohtaisten tunnistetietojen suojaamiseksi ja organisaation yksityisyyden suojan parantamiseksi salasanojen tulee noudattaa neljää pääperiaatetta:
- Salasanoja ei saa rakentaa arvattavissa olevien tai elämäkertatietojen ympärille.
- Salasanat eivät saa sisältää tunnistettavia sanoja satunnaisten aakkosnumeeristen merkkien sijaan.
- Erikoismerkkejä tulisi käyttää salasanan monimutkaisuuden lisäämiseksi.
- Kaikkien salasanojen tulee olla vähimmäispituisia (mieluiten 12 merkkiä).
Organisaatioiden tulisi myös harkita todennusprotokollien, kuten SSO:n, käyttöä salasanasuojauksen parantamiseksi, mutta tällaisia toimenpiteitä tulisi harkita vain organisaatioiden ainutlaatuisten teknisten ja toiminnallisten vaatimusten rinnalla.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 6.2
- ISO 27002 8.24
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.6.3.1 | Salaisten todennustietojen käyttö | 5.17 – ISO 27002:n todennustiedot | Ei eristetty |
Miten ISMS.online auttaa
Miten autamme?
Kun lisäät PIMS:n ISMS:ään ISMS.online-alustalla, tietoturva-asento pysyy yhtenäisenä ja vältyt päällekkäisyydeltä, kun standardit menevät päällekkäin.
Kun PIMS on välittömästi kiinnostuneiden osapuolten saatavilla, ei ole koskaan ollut helpompaa valvoa, raportoida ja auditoida sekä ISO 27002- että ISO 27701 -standardien mukaisesti napin painalluksella.
Kaikki tarvitsemasi ominaisuudet:
- ROPA on tehty helpoksi
- Sisäänrakennettu riskipankki
- Turvallinen tila DRR:lle
Selvitä, kuinka paljon aikaa ja rahaa säästät matkallasi yhdistettyyn ISO 27002- ja 27701 -sertifiointiin käyttämällä ISMS.onlinea. varata demo.
Hyppää aiheeseen
