ISO 27001:2022 Bylae A 5.15 – Toegangsbeheer

Toegangsbeheerbeleid

Om toegang tot bates binne die bestek van 'n organisasie te bestuur, moet 'n toegangsbeheerbeleid ontwikkel, gedokumenteer en periodiek hersien word.

Toegangsbeheer beheer hoe menslike en nie-menslike entiteite op 'n netwerk toegang tot data, IT-hulpbronne en toepassings verkry.

Inligtingsekuriteitsrisiko's wat met die inligting geassosieer word en die organisasie se aptyt om dit te bestuur, moet weerspieël word in die reëls, regte en beperkings en die diepte van beheermaatreëls wat gebruik word. Dit is bloot 'n kwessie van besluit wie toegang het tot wat, hoeveel en wie nie.

Dit is moontlik om digitale en fisiese toegangskontroles op te stel, soos om gebruikersrekeningtoestemmings te beperk of toegang tot spesifieke fisiese liggings te beperk (belyn met Bylae A.7 Fisiese en Omgewingssekuriteit). Die beleid moet die volgende oorwegings in ag neem:

• Dit is noodsaaklik om die sekuriteitsvereistes van besigheidstoepassings in lyn te bring met die inligtingsklassifikasieskema wat gebruik word volgens Bylae A 5.9, 5.10, 5.11, 5.12, 5.13 & 7.10 met betrekking tot Batebestuur.
• Identifiseer wie toegang tot, kennis van en die gebruik van inligting benodig – vergesel van duidelik gedefinieerde prosedures en verantwoordelikhede.
• Maak seker dat toegangsregte en voorreg toegangsregte (meer krag – sien hieronder) word doeltreffend bestuur, insluitend die byvoeging van lewensveranderinge (bv. kontroles vir supergebruikers/administrateurs) en periodieke hersiening (bv. periodiek) interne oudits per vereiste Bylae A 5.15, 5.16, 5.17, 5.18 & 8.2).
• 'n Formele prosedure en gedefinieerde verantwoordelikhede behoort die toegangsbeheerreëls te ondersteun.

Dit is noodsaaklik om toegangsbeheer te hersien namate rolle verander, veral tydens uitgange, om te voldoen aan Bylae A.7 Menslike Hulpbronsekuriteit.

Netwerk en netwerkdienste is vir gebruikers beskikbaar

’n Algemene benadering tot beskerming is dié van minste toegang eerder as onbeperkte toegang en supergebruikerregte sonder noukeurige oorweging.

Gevolglik moet slegs aan gebruikers toegang verleen word netwerke en netwerkdienste vereis om hul verantwoordelikhede na te kom. Die beleid moet aanspreek; Die netwerke en netwerkdienste in omvang vir toegang; Magtigingsprosedures om te wys wie (rolgebaseerd) toegang tot wat en wanneer toegelaat word; en Bestuurskontroles en -prosedures om toegang te voorkom en dit te monitor in die geval van 'n voorval.

Aan boord en van boord af moet ook hierdie kwessie in ag neem, wat nou verband hou met die toegangsbeheerbeleid.

Doel van ISO 27001:2022 Bylae A 5.15

As 'n voorkomende beheer, verbeter Bylae A 5.15 'n organisasie se onderliggende vermoë om toegang tot data en bates te beheer.

'n Betonstel van kommersiële en inligtingsekuriteit behoeftes moet voorsien word voordat toegang tot hulpbronne toegestaan ​​en gewysig kan word kragtens Bylae A Beheer 5.15.

ISO 27001 Bylae A 5.15 verskaf riglyne vir die fasilitering van veilige toegang tot data en die vermindering van die risiko van ongemagtigde toegang tot fisiese en virtuele netwerke.

Eienaarskap van Bylae A 5.15

Soos getoon in Bylae A 5.15, bestuurspersoneel oor verskeie dele van 'n organisasie moet 'n deeglike begrip handhaaf van watter hulpbronne toegang verkry moet word (bv. Benewens HR wat werknemers inlig oor hul werksrolle, wat hul RBAC-parameters dikteer, is toegangsregte uiteindelik 'n instandhoudingsfunksie wat deur netwerkadministrateurs beheer word.

'n Organisasie se Aanhangsel A 5.15 eienaarskap behoort by 'n lid van senior bestuur te berus wat oorkoepelende tegniese gesag het oor die maatskappy se domeine, subdomeine, toepassings, hulpbronne en bates. Dit kan die hoof van IT wees.

Algemene riglyne oor ISO 27001:2022 Bylae 5.15

'n Onderwerpspesifieke benadering tot toegangsbeheer word vereis vir voldoening aan ISO 27001:2022 Bylae A Beheer 5.15 (meer algemeen bekend as 'n kwessie-spesifieke benadering).

Eerder as om te voldoen aan 'n algemene toegangsbeheerbeleid wat van toepassing is op hulpbron- en datatoegang regoor die organisasie, moedig onderwerpspesifieke benaderings organisasies aan om toegangsbeheerbeleide te skep wat op individuele besigheidsfunksies gerig is.

Oor alle onderwerpspesifieke gebiede vereis Bylae A Beheer 5.15 dat beleide rakende toegangsbeheer die 11 punte hieronder oorweeg. Sommige van hierdie riglyne oorvleuel met ander beleide.

As 'n riglyn moet organisasies die meegaande kontroles raadpleeg vir verdere inligting op 'n geval-tot-geval basis:

• Identifiseer watter entiteite toegang tot sekere bates en inligting benodig.
• Die handhawing van 'n rekord van werksrolle en datatoegangsvereistes in ooreenstemming met die organisasiestruktuur van jou organisasie is die maklikste manier om nakoming te verseker.
• Sekuriteit en integriteit van alle relevante toepassings (gekoppel aan Beheer 8.2).
• 'n Formele risiko-evaluering kan uitgevoer word om die sekuriteitskenmerke van individuele aansoeke te assesseer.
• Die beheer van fisiese toegang tot 'n webwerf (skakels met kontroles 7.2, 7.3 en 7.4).
• As deel van jou nakomingsprogram, moet jou organisasie 'n robuuste stel gebou- en kamertoegangskontroles demonstreer, insluitend bestuurde toegangstelsels, sekuriteitsperimeters en besoekersprosedures, waar toepaslik.
• Wanneer dit kom by die verspreiding, sekuriteit en kategorisering van inligting, moet die "need to know"-beginsel regdeur die organisasie toegepas word (gekoppel aan 5.10, 5.12 en 5.13).
• Maatskappye moet voldoen aan streng beste-praktykbeleide wat nie algemene toegang tot data oor 'n organisasie se hiërargie bied nie.
• Maak seker dat bevoorregte toegangsregte beperk word (verwant aan 8.2).
• Die toegangsregte van gebruikers wat toegang tot data bo en behalwe dié van 'n standaardgebruiker kry, moet gemonitor en geoudit word.
• Verseker voldoening aan enige heersende wetgewing, sektorspesifieke regulatoriese riglyne, of kontraktuele verpligtinge met betrekking tot datatoegang (sien 5.31, 5.32, 5.33, 5.34 en 8.3).
• 'n Organisasie se toegangsbeheerbeleide word aangepas volgens eksterne verpligtinge rakende datatoegang, bates en hulpbronne.
• Hou 'n oog op potensiële botsings van belange.
• Die beleide moet beheermaatreëls insluit om te verhoed dat 'n individu 'n breër toegangsbeheerfunksie op grond van hul toegangsvlakke in gevaar stel (dws 'n werknemer wat veranderinge aan 'n netwerk kan versoek, magtig en implementeer).
• 'n Toegangsbeheerbeleid moet die drie hooffunksies – versoeke, magtigings en administrasie – onafhanklik aanspreek.
• 'n Beleid vir Toegangsbeheer moet erken dat dit, ten spyte van die selfstandige aard daarvan, verskeie individuele stappe bevat wat elkeen sy vereistes bevat.
• Om voldoening aan die vereistes van 5.16 en 5.18 te verseker, moet toegangsversoeke op 'n gestruktureerde, formele wyse uitgevoer word.
• Organisasies moet formele magtigingsprosesse implementeer wat formele, gedokumenteerde goedkeuring van die toepaslike personeel vereis.
• Bestuur van toegangsregte op 'n deurlopende basis (gekoppel aan 5.18).
• Om data-integriteit en sekuriteitsperimeters te handhaaf, word periodieke oudits, HR-toesig (verlaters, ens.) en posspesifieke veranderinge (bv. departementele skuiwe en veranderinge aan rolle) vereis.
• Handhawing van voldoende logboeke en beheer van toegang daartoe Voldoening – Organisasies moet data oor toegangsgebeure (bv. lêeraktiwiteit) insamel en berg, teen ongemagtigde toegang tot sekuriteitsgebeurtenislogboeke beskerm, en 'n omvattende voorvalbestuur strategie.

Aanvullende leiding oor aanhangsel 5.15

Volgens die aanvullende leiding noem ISO 27001:2022 Bylae A Beheer 5.15 (sonder om homself te beperk tot) vier verskillende tipes toegangsbeheer, wat breedweg soos volg geklassifiseer kan word:

• Verpligte toegangsbeheer (MAC) – Toegang word sentraal bestuur deur 'n enkele sekuriteitsowerheid.
• 'n Alternatief vir MAC is diskresionêre toegangsbeheer (DAC), waarin die eienaar van die voorwerp aan ander voorregte binne die voorwerp kan gee.
• 'n Toegangsbeheerstelsel gebaseer op voorafbepaalde werkfunksies en voorregte word Rolgebaseerde Toegangsbeheer (RBAC) genoem.
• Deur gebruik te maak van Attribuut-Based Access Control (ABAC), word gebruikerstoegangsregte toegestaan ​​op grond van beleide wat eienskappe kombineer.

Riglyne vir die implementering van toegangsbeheerreëls

Ons het bespreek dat toegangsbeheerreëls toegeken word aan verskeie entiteite (menslik en nie-menslik) wat binne 'n netwerk werk, wat rolle toegeken word wat hul algehele funksie bepaal.

By die definisie en uitvoering van jou organisasie se Toegangsbeheerbeleide, vra Bylae A 5.15 jou om die volgende vier faktore in ag te neem:

1. Konsekwentheid moet gehandhaaf word tussen die data waarop die toegangsreg van toepassing is en die soort toegangsreg.
2. Dit is noodsaaklik om konsekwentheid te verseker tussen jou organisasie se toegangsregte en fisiese sekuriteitsvereistes (omtrek, ens.).
3. Toegangsregte in 'n verspreide rekenaaromgewing (soos 'n wolk-gebaseerde omgewing) oorweeg die implikasies van data wat oor 'n breë spektrum van netwerke woon.
4. Oorweeg die implikasies van dinamiese toegangskontroles ('n fyn metode om toegang te verkry tot 'n gedetailleerde stel veranderlikes wat deur 'n stelseladministrateur geïmplementeer is).

Definieer verantwoordelikhede en dokumentasie van die proses

Volgens ISO 27001:2022 Bylae A Beheer 5.15 moet organisasies 'n gestruktureerde lys van verantwoordelikhede en dokumentasie ontwikkel en in stand hou. Daar is talle ooreenkomste tussen ISO 27001:2022 se hele lys van kontroles, met Bylae A 5.15 wat die mees relevante vereistes bevat:

dokumentasie

• ISO 27001:2022 Bylae A 5.16
• ISO 27001:2022 Bylae A 5.17
• ISO 27001:2022 Bylae A 5.18
• ISO 27001:2022 Bylae A 8.2
• ISO 27001:2022 Bylae A 8.3
• ISO 27001:2022 Bylae A 8.4
• ISO 27001:2022 Bylae A 8.5
• ISO 27001:2022 Bylae A 8.18

Verantwoordelikhede

• ISO 27001:2022 Bylae A 5.2
• ISO 27001:2022 Bylae A 5.17

korrelig

Beheer 5.15 van Bylae A bied organisasies aansienlike vryheid om die fynheid van hul toegangsbeheerbeleide te spesifiseer.

Oor die algemeen raai ISO maatskappye aan om hul oordeel te gebruik oor hoe gedetailleerd 'n gegewe stel reëls op 'n werknemer-vir-werknemer-basis moet wees en hoeveel veranderlikes op 'n gegewe inligting toegepas moet word.

Spesifiek, Bylae A 5.15 erken dat hoe meer gedetailleerd 'n maatskappy se toegangsbeheerbeleide is, hoe groter is die koste en hoe meer uitdagend word die konsep van toegangsbeheer oor verskeie liggings, netwerktipes en toepassingsveranderlikes.

Toegangsbeheer, tensy dit versigtig bestuur word, kan baie vinnig handuit ruk. Dit is wys om toegangsbeheerreëls te vereenvoudig om te verseker dat dit makliker is om te bestuur en meer koste-effektief.

Gevallestudies

MIRACL verander vertroue in 'n mededingende voordeel met ISO 27001-sertifisering

Lees Gevallestudie

Gevallestudies

Xergy se instrument Proteus genereer groei deur ISO 27001-voldoening met behulp van ISMS.online

Lees Gevallestudie

← →

Wat is die veranderinge vanaf ISO 27001:2013?

Bylae A 5.15 in 27001:2022 is 'n samevoeging van twee soortgelyke kontroles in 27001:2013 – Bylae A 9.1.1 (Toegangsbeheerbeleid) en Bylae A 9.1.2 (Toegang tot netwerke en netwerkdienste).

Die onderliggende temas van A.9.1.1 en A.9.1.2 is soortgelyk aan dié in Bylae A 5.15, behalwe vir 'n paar subtiele operasionele verskille.

Soos in 2022, hou beide beheermaatreëls verband met die administrasie van toegang tot inligting, bates en hulpbronne en werk dit volgens die beginsel van "need to know", waarin korporatiewe data hanteer word as 'n kommoditeit wat noukeurige bestuur en beskerming vereis.

Daar is 11 bestuursriglyne in 27001:2013 Bylae A 9.1.1, wat almal dieselfde algemene beginsels volg as 27001:2022 Bylae A Beheer 5.15 met 'n effens groter klem op omtreksekuriteit en fisiese sekuriteit.

Daar is oor die algemeen dieselfde implementeringsriglyne vir toegangsbeheer, maar die 2022-beheer bied baie meer bondige en praktiese leiding oor sy vier implementeringsriglyne.

Tipes toegangskontroles wat in ISO 27001:2013 Bylae A gebruik word 9.1.1 het verander

Soos vermeld in ISO 27001 Bylae A 5.15, het verskeie vorme van toegangsbeheer oor die afgelope nege jaar na vore gekom (MAC, DAC, ABAC), terwyl in 27001:2013 Bylae A Beheer 9.1.1, die primêre metode van kommersiële toegangsbeheer op daardie stadium tyd was RBAC.

Vlak van Granulariteit

Die 2013-kontroles moet betekenisvolle riglyne bevat vir hoe 'n organisasie korreltoegangsbeheer moet benader in die lig van tegnologiese veranderinge wat organisasies van verbeterde beheer oor hul data voorsien.

Daarteenoor bied aanhangsel A 5.15 van 27001:2022 organisasies aansienlike buigsaamheid.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

Hoe kan ISMS.online help?

Bylae A 5.15 van ISO 27001:2022 is waarskynlik die klousule wat die meeste gepraat word in Bylae A, en sommige beweer dat dit die belangrikste is.

Jou inligtingsekuriteitbestuurstelsel (ISMS) het ten doel om te verseker dat die toepaslike mense toegang tot die korrekte inligting op die regte tyd het. Een van die sleutels tot sukses is om dit reg te kry, maar om dit verkeerd te doen, kan jou besigheid nadelig beïnvloed.

Oorweeg die scenario waar jy per ongeluk vertroulike werknemerinligting aan die verkeerde mense bekend gemaak het, soos wat almal in die organisasie betaal word.

As jy nie versigtig is nie, kan die gevolge om hierdie deel verkeerd te kry ernstig wees. Daarom is dit noodsaaklik om die tyd te neem om al die aspekte noukeurig te oorweeg voordat u voortgaan.

In hierdie verband, ons platform 'n ware bate kan wees. Dit is omdat dit die hele struktuur van ISO 27001 volg en jou toelaat om die inhoud wat ons vir jou verskaf aan te neem, aan te pas en te verryk, wat jou 'n aansienlike voorsprong gee.

Kry 'n gratis demo van ISMS.online vandag.