ISO 27001 – Bylae A.9: Toegangsbeheer

Wat is Bylae A.9?

Bylae A.9 gaan alles oor toegangsbeheerprosedures. Die doel van aanhangsel A.9 is om toegang tot inligting te beskerm en te verseker dat werknemers slegs inligting kan sien wat relevant is vir hul werk. Hierdie gids sal jou deur alles neem wat jy moet weet oor Bylae A.9.

Bylae A.9 is in vier afdelings verdeel en jy sal deur elkeen moet werk. Dit is toegangskontroles, gebruikerstoegangsbestuur, gebruikersverantwoordelikhede en toepassingstoegangskontroles.

Wat is die doel van Aanhangsel A.9.1?

Bylae A.9.1 handel oor besigheidsvereistes van toegangsbeheer. Die doelwit in hierdie Bylae A-kontrole is om toegang tot inligting en inligtingverwerkingsfasiliteite te beperk.

Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal. Kom ons verstaan ​​​​die vereistes en wat dit beteken in 'n bietjie meer diepte.

A.9.1.1 Toegangsbeheerbeleid

'n Toegangsbeheerbeleid moet opgestel, gedokumenteer en gereeld hersien word met inagneming van die vereistes van die onderneming vir die bates in omvang.

Toegangsbeheerreëls, regte en beperkings tesame met die diepte van die beheermaatreëls wat gebruik word, moet die inligtingsekuriteitsrisiko's rondom die inligting en die organisasie se aptyt om dit te bestuur weerspieël. Eenvoudig gestel, toegangsbeheer gaan oor wie moet weet, wie moet gebruik en tot hoeveel hulle toegang kry.

Toegangskontroles kan digitaal en fisies van aard wees, bv. toestemmingsbeperkings op gebruikersrekeninge asook beperkings op wie toegang tot sekere fisiese liggings kan verkry (belyn met Bylae A.11 Fisiese en Omgewingssekuriteit). Die beleid moet in ag neem:

• Sekuriteitsvereistes van besigheidstoepassings en belyn met die inligtingklassifikasieskema wat gebruik word soos per A.8 Batebestuur;
• Verduidelik wie toegang moet verkry, weet, wie die inligting moet gebruik – ondersteun deur gedokumenteerde prosedures en verantwoordelikhede;
• Bestuur van die toegangsregte en bevoorregte toegangsregte (meer krag – sien hieronder) insluitend byvoeging, in lewensveranderinge (bv. supergebruikers/administrateurskontroles) en periodieke hersiening (bv. deur gereelde interne oudits in ooreenstemming met vereiste 9.2.
• Toegangsbeheerreëls moet deur formele prosedures en gedefinieerde verantwoordelikhede ondersteun word;

Toegangsbeheer moet hersien word op grond van verandering in rolle en veral tydens uitgang, om in lyn te kom met Bylae A.7 Menslike Hulpbronsekuriteit.

A.9.1.2 Toegang tot netwerke en netwerkdienste

Die beginsel van minste toegang is die algemene benadering wat vir beskerming bevoordeel word, eerder as onbeperkte toegang en supergebruikersregte sonder noukeurige oorweging.

As sodanig behoort gebruikers slegs toegang te kry tot die netwerk en netwerkdienste wat hulle vir hul werk moet gebruik of van weet. Die beleid moet dus aandag gee; Die netwerke en netwerkdienste in omvang vir toegang; Magtigingsprosedures om te wys wie (rolgegrond) toegang tot wat en wanneer toegelaat word; en Bestuurskontroles en -prosedures om toegang te voorkom en dit in die lewe te monitor.

Dit moet ook in ag geneem word tydens aan- en uitklim, en hou nou verband met die toegangsbeheerbeleid self.

Wat is die doel van Aanhangsel A.9.2?

Bylae A.9.2 handel oor gebruikerstoegangbestuur. Die doelwit in hierdie Bylae A-kontrole is om te verseker dat gebruikers gemagtig is om toegang tot stelsels en dienste te verkry, asook om ongemagtigde toegang te voorkom.

A.9.2.1 Gebruikersregistrasie en -deregistrasie

'n Formele gebruikerregistrasie- en deregistrasieproses moet geïmplementeer word. 'n Goeie proses vir gebruikers-ID-bestuur sluit in om individuele ID's aan regte mense te assosieer, en gedeelde toegang-ID's te beperk, wat goedgekeur en aangeteken moet word waar gedoen.

'n Goeie aanboord- en uitgangproses sluit aan by A7 Menslike Hulpbronsekuriteit om vinnige en duidelike registrasie/deregistrasie te toon tesame met die vermyding van die heruitreiking van ou ID's. 'n Gereelde hersiening van ID's sal goeie beheer illustreer en deurlopende bestuur versterk.

Dit kan gekoppel word aan die interne oudits wat hierbo genoem is vir toegangsbeheer-oudits, en periodieke hersiening deur die eienaars van die inligtingbate of verwerking van toepassings.

A.9.2.2 Gebruikerstoegangvoorsiening

'n Proses (hoe eenvoudig en gedokumenteer ook al) moet geïmplementeer word om toegangsregte vir alle gebruikertipes aan alle stelsels en dienste toe te ken of te herroep. Goed gedoen, dit sluit aan by die punte hierbo sowel as die breër HR-sekuriteitswerk.

Voorsiening en herroeping proses moet insluit; Magtiging van die eienaar van die inligtingstelsel of diens vir die gebruik van die inligtingstelsel of diens; Verifieer dat die toegang wat verleen is, relevant is vir die rol wat uitgevoer word; en beskerming teen voorsiening wat gedoen word voordat magtiging voltooi is.

Gebruikerstoegang moet altyd besigheid gelei word en toegang gebaseer op die vereistes van die besigheid. Dit klink dalk burokraties, maar dit hoef nie te wees nie en doeltreffende eenvoudige prosedures met rolgebaseerde toegang deur stelsels en dienste kan dit aanspreek.

A.9.2.3 Bestuur van Bevoorregte Toegangsregte

A.9.2.3 gaan oor die bestuur van gewoonlik kragtiger en hoër 'bevoorregte' vlakke van toegang, bv. stelseladministrasietoestemmings teenoor normale gebruikersregte.

Die toekenning en gebruik van bevoorregte toegangsregte moet streng beheer word gegewe die ekstra regte wat gewoonlik oorgedra word oor inligtingsbates en die stelsels wat dit beheer. Byvoorbeeld die vermoë om werk uit te vee of die integriteit van die inligting fundamenteel te beïnvloed. Dit moet ooreenstem met die formele magtigingsprosesse langs die toegangsbeheerbeleid.

Dit kan insluit; stelsel deur stelsel duidelikheid oor bevoorregte toegangsregte (wat binne die toepassing bestuur kan word); toekenning op 'n behoefte-tot-gebruik-basis nie 'n algemene benadering nie; ’n Proses en rekord van alle voorregte wat toegeken is, moet gehandhaaf word (langs die inligtingsbate-inventaris of as deel van die A.9-bewyse; en die bevoegdheid van gebruikers wat die regte toegestaan ​​is, moet gereeld hersien word om by hul pligte te pas.

Dit is nog 'n goeie area om by die interne oudit in te sluit om beheer te demonstreer.

Een van die grootste bydraende faktore tot mislukkings of oortredings van stelsels is onvanpaste en algemene gebruik van stelseladministrasievoorregte met menslike foute wat tot meer skade of verlies lei as wanneer 'n 'minste toegang'-benadering gevolg is.

Ander goeie praktyke met betrekking tot hierdie area sluit in die skeiding van die stelseladministrateurrol van die daaglikse gebruikerrol en om 'n gebruiker met twee rekeninge te hê as hulle verskillende take op dieselfde platform verrig.

A.9.2.4 Bestuur van geheime stawinginligting van gebruikers

Geheime verifikasie-inligting is 'n poort om toegang tot waardevolle bates te verkry. Dit sluit tipies wagwoorde, enkripsiesleutels ens. in, dus moet deur 'n formele bestuursproses beheer word en moet vertroulik vir die gebruiker gehou word.

Dit is gewoonlik gekoppel aan dienskontrakte en dissiplinêre prosesse (A.7) en verskaffersverpligtinge (A13.2.4 en A.15) indien dit met eksterne partye gedeel word.

Prosedures moet ingestel word om die identiteit van 'n gebruiker te verifieer voordat nuwe, vervangende of tydelike geheime stawinginligting verskaf word. Enige verstek geheime stawing inligting verskaf as deel van 'n nuwe stelsel gebruik moet so gou as moontlik verander word.

A.9.2.5 Hersiening van Gebruikerstoegangsregte

Bate-eienaars moet gebruikers se toegangsregte met gereelde tussenposes hersien, beide rondom individuele verandering (aanboord, verandering van rol en uitgang) sowel as breër oudits van die stelseltoegang.

Magtigings vir bevoorregte toegangsregte moet met meer gereelde tussenposes hersien word gegewe hul hoër risiko aard. Dit sluit aan by 9.2 vir interne oudits en moet ten minste jaarliks ​​gedoen word of wanneer groot veranderinge plaasvind.

A.9.2.6 Opheffing of aanpassing van toegangsregte

Soos hierbo uiteengesit, moet toegangsregte van alle werknemers en eksterne partygebruikers tot inligting- en inligtingverwerkingsfasiliteite verwyder word by beëindiging van hul diens, kontrak of ooreenkoms, (of aangepas by verandering van rol indien nodig).

'n Goeie uittreebeleid en prosedures wat by A.7 pas, sal ook verseker dat dit bereik en gedemonstreer word vir ouditdoeleindes wanneer mense vertrek.

Wat is die doel van Aanhangsel A.9.3?

Bylae A.9.3 handel oor gebruikersverantwoordelikhede. Die doelwit in hierdie Bylae A-kontrole is om gebruikers aanspreeklik te maak vir die beveiliging van hul verifikasie-inligting.

A.9.3.1 Gebruik van geheime stawinginligting

Dit gaan bloot daaroor om seker te maak dat gebruikers die beleide volg en sal dus aansluit by A7 Menslike Hulpbronsekuriteit vir kontrakte, gebruikersopvoeding vir bewustheid en nakoming, asook gesonde verstandpraktyke.

Dit sluit in: Hou enige geheime verifikasie-inligting vertroulik; Vermy om rekord daarvan te hou wat deur ongemagtigde partye verkry kan word; Verander dit wanneer daar enige voorstel van moontlike kompromie is; kies kwaliteit wagwoorde met voldoende minimum lengte en sterkte om breër wagwoordbeleidkontroles in Bylae A.9.4 te volg.

Wat is die doel van Aanhangsel A.9.4?

Bylae A.9.4 handel oor stelsel- en toepassingstoegangsbeheer. Die doelwit in hierdie Bylae A-beheer is om ongemagtigde toegang tot stelsels en toepassings te voorkom.

A.9.4.1 Inligtingtoegangbeperking

Toegang tot inligting en toepassingstelselfunksies moet by die toegangsbeheerbeleid ingeskakel word. Sleuteloorwegings moet die volgende insluit:

Dit sluit die volgende in:

• Rolgebaseerde toegangsbeheer (RBAC);
• Toegangsvlakke;
• Ontwerp van "menu"-stelsels binne toepassings;
• Lees, skryf, skrap en voer toestemmings uit;
• Beperking van uitset van inligting; en
• Fisiese en/of logiese toegangskontroles tot sensitiewe toepassings, data en stelsels.

Die ouditeur sal kyk of oorwegings gemaak is vir die beperking van toegang binne stelsels en toepassings wat toegangsbeheerbeleide, besigheidsvereistes, risikovlakke en skeiding van pligte ondersteun.

A.9.4.2 Veilige aanmeldprosedures

Toegang tot stelsels en toepassings moet beheer word deur 'n veilige aanmeldprosedure om die identiteit van die gebruiker te bewys.

Dit kan verder gaan as die tipiese wagwoordbenadering in multi-faktor-verifikasie, biometrie, slimkaarte en ander maniere van enkripsie gebaseer op die risiko wat oorweeg word.

Veilige aanmelding moet so ontwerp word dat dit nie maklik omseil kan word nie en dat enige stawinginligting versend en geënkripteer gestoor word om onderskepping en misbruik te voorkom.

ISO 27002-leiding is belangrik oor hierdie onderwerp, asook spesialisliggame soos die Nasionale Kuberveiligheidsentrum (NCSC). Bykomende wenke sluit in:

• Aantekenprosedures moet so ontwerp word dat dit nie maklik omseil kan word nie en dat enige stawinginligting versend en geënkripteer gestoor word om onderskepping en misbruik te voorkom.
• Aantekenprosedures moet ook 'n vertoning insluit wat verklaar dat toegang slegs vir gemagtigde gebruikers is. Dit is ontwerp om kuberveiligheidswetgewing soos die
• Wet op Rekenaarmisbruik 1990 (VK).
• Beide 'n suksesvolle en onsuksesvolle aan- en afmelding moet op 'n veilige manier aangeteken word om forensiese bewysvermoë te verskaf en waarskuwings vir onsuksesvolle pogings en moontlike uitsluitings moet oorweeg word.
• Afhangende van die aard van die stelsel moet toegang beperk word tot sekere tye van die dag of tydperke en moontlik selfs beperk word volgens ligging.

In die praktyk behoort die besigheidsbehoeftes en inligting wat in gevaar is, die aan- en afmeldprosedures te bestuur. Dit is nie die moeite werd om 25 stappe te hê om aan te meld, dan vinnige time-outs te hê, ens. as personeel dan nie hul werk goed kan doen nie en 'n buitensporige hoeveelheid tyd in hierdie lus spandeer.

A.9.4.3 Wagwoordbestuurstelsel

Die doel van 'n wagwoordbestuurstelsel is om te verseker dat kwaliteitwagwoorde aan die vereiste vlak voldoen en konsekwent toegepas word.

Wagwoordgenerering en -bestuurstelsels bied 'n goeie manier om die verskaffing van toegang te sentraliseer en dit dien om die risiko te verminder dat mense dieselfde aanmelding vir alles gebruik, soos geïllustreer in hierdie klein storietjie van wat gebeur wanneer 'n kliënt ons span kontak oor 'n vergete wagwoord !

Soos met enige beheermeganisme, moet wagwoordgenerering en -bestuurstelsels noukeurig geïmplementeer word om voldoende en proporsionele vlakke van beskerming te verseker.

Waar moontlik moet gebruikers hul eie wagwoorde kan kies, aangesien dit dit makliker maak om te onthou as masjiengegenereerdes, maar dit moet op 'n sekere vlak van sterkte wees.

Daar is baie teenstrydige sienings oor wagwoordbestuurstelsels en wagwoordbeleide, so ons moedig organisasies aan om na die gereeld veranderende beste praktyke te kyk en benaderings aan te neem gebaseer op die risiko-aptyt en kultuur van die organisasie.

Soos hierbo genoem, is NCSC 'n goeie plek om die nuutste praktyke te hersien of ons eenvoudig te vra om jou aan een van ons vennote voor te stel vir hulp.

A.9.4.4 Gebruik van bevoorregte nutsprogramme

Nutsrekenaarprogramme wat moontlik stelsel- en toepassingkontroles kan ignoreer, moet versigtig bestuur word.

Kragtige stelsel- en netwerknutsprogramme kan 'n aantreklike teiken vir kwaadwillige aanvallers skep en toegang daartoe moet beperk word tot die kleinste aantal mense. Aangesien sulke nutsprogramme maklik opgespoor en van die internet afgelaai kan word, is dit ook belangrik dat gebruikers beperk word in hul vermoë om enige sagteware te installeer so veel as moontlik geweeg teen besigheidsvereistes en risikobepaling. Gebruik van nutsprogramme moet aangeteken en periodiek gemonitor/hersien word om ouditeurversoeke te bevredig.

A.9.4.5 Toegangsbeheer tot programbronkode

Toegang tot programbronkode moet beperk word. Toegang tot programbronkode en verwante items (soos ontwerpe, spesifikasies, verifikasieplanne en valideringsplanne) moet streng beheer word.

Programbronkode kan kwesbaar wees vir aanval as dit nie voldoende beskerm word nie en kan 'n aanvaller 'n goeie manier bied om stelsels op 'n dikwels geheime manier te kompromitteer. As die bronkode sentraal tot die besigheidsukses is, kan dit ook die besigheidswaarde vinnig vernietig.

Kontroles moet oorweging insluit vir:

• So min mense as moontlik het toegang
• Hou bronkode van operasionele stelsels af (slegs saamgestelde kode)
• Toegang tot bronkode word so beperk as moontlik (weier-by-verstek)
• Toegang tot bronkode word aangeteken en die logs word periodiek hersien
• Sterk en streng veranderingsbeheerprosedures
• Gereelde oudits en resensies

Waarom is Bylae A.9 belangrik?

Bylae A.9 is waarskynlik die klousule wat die meeste gepraat word in die hele Bylae A, en sommige sal beweer dit is die belangrikste.

Dit is omdat jou hele Inligtingsekuriteitsbestuurstelsel (ISMS) daarop gebaseer is om seker te maak dat die regte mense toegang tot die regte inligting op die regte tyd het. Om dit reg te kry is een van die sleutels tot sukses, maar om dit verkeerd te doen kan 'n groot impak op jou besigheid hê.

Stel jou voor as jy per ongeluk toegang tot vertroulike werknemerinligting aan die verkeerde mense gegee het, soos byvoorbeeld om te onthul wat almal in die besigheid betaal word.

Die gevolge om hierdie deel verkeerd te kry, kan aansienlik wees, so dit is die moeite werd om genoeg tyd te spandeer om dit alles deur te dink.