ISO 27002:2022 – Beheer 5.15 – Toegangsbeheer

Wat is die doel van beheer 5.15

Soos per die aanvullende leiding, noem Beheer 5.15 (maar beperk homself nie tot) vier verskillende tipes toegangsbeheer, wat breedweg soos volg geklassifiseer kan word:

• Verpligte toegangsbeheer (MAC) – Toegang word sentraal bestuur deur 'n enigste sekuriteitsowerheid.
• Diskresionêre toegangsbeheer (DAC) – Die teenoorgestelde metode van MAC, waar objekeienaars in staat is om voorregte aan ander gebruikers oor te dra.
• Rolgebaseerde toegangsbeheer (RBAC) – Die mees algemene tipe kommersiële toegangsbeheer, gebaseer op voorafbepaalde werksfunksies en voorregte.
• Eienskap-gebaseerde toegangsbeheer (ABAC) – Toegangsregte word aan gebruikers verleen deur die gebruik van beleide wat eienskappe saam kombineer.

5.15 is 'n voorkomende beheer wat risiko handhaaf deur 'n organisasie se onderliggende vermoë te verbeter om toegang tot data en bates te beheer.

5.15 is uitdruklik deur te stel dat toegang tot hulpbronne toegestaan ​​en gewysig moet word op grond van 'n konkrete stel kommersiële en inligtingsekuriteitsvereistes.

Organisasies moet 5.15 implementeer om veilige toegang tot data te fasiliteer, en die risiko van ongemagtigde toegang tot hul netwerk te verminder – hetsy dit fisies of virtueel is.

Eienskappe van beheer 5.15

Eienaarskap

Terwyl 5.15 staatmaak op bestuurspersoneel van verskeie dele van 'n organisasie wat 'n deeglike begrip handhaaf van wie toegang tot watter hulpbronne benodig (dws MH-inligting oor 'n werknemer se posrol, wat op sy beurt hul RBAC-parameters dikteer), is toegangsregte uiteindelik 'n instandhoudingsfunksie wat word beheer deur personeel met administratiewe regte oor enige gegewe netwerk.

As sodanig behoort eienaarskap van 5.15 by 'n lid senior bestuur te berus met oorkoepelende tegniese gesag oor 'n organisasie se domeine, subdomeine, toepassings, hulpbronne en bates, soos 'n IT-hoof.

Algemene leiding

Voldoening aan Beheer 5.15 behels die nakoming van wat bekend staan ​​as 'n 'onderwerpspesifieke' benadering na toegangsbeheer (meer algemeen bekend as 'n 'kwessie-spesifieke' benadering).

Onderwerpspesifieke benaderings moedig organisasies aan om Toegang te skep Beheer beleide wat aangepas is vir individuele besigheidsfunksies, eerder as om te voldoen aan 'n algemene toegangsbeheerbeleid wat van toepassing is op data- en hulpbrontoegang oor die hele linie.

Beheer 5.15 vereis toegangsbeheerbeleide oor alle onderwerpspesifieke areas om die volgende 11 riglyne in ag te neem. Sommige van die onderstaande leidingpunte kruis met verskeie ander kontroles, wat vir verwysing gelys word.

Organisasies moet hierdie meegaande beheermaatreëls op 'n geval-tot-geval basis raadpleeg vir verdere inligting.

• Bepaal watter entiteite toegang tot sekere stukke benodig inligting en/of bates.

Compliance – Dit word maklik bereik deur 'n akkurate rekord te hou van werksrolle en datatoegangsvereistes, wat in lyn is met jou organisasiestruktuur.

• Die integriteit en sekuriteit van alle relevante toepassings (gekoppel aan Beheer 8.2)

Compliance – 'n Formele risiko-assessering uitgevoer kan word om die sekuriteitskenmerke van individuele toepassings te ondersoek.

• Fisiese (werf) toegangskontroles (gekoppel met kontroles 7.2, 7.3 en 7.4)

Compliance – Jou organisasie moet kan demonstreer dat jy 'n robuuste stel gebou- en kamertoegangskontroles het, insluitend bestuurde toegangstelsels, sekuriteitsperimeters en besoekersprosedures, waar toepaslik.

• 'n Maatskappywye "need to know"-beginsel, wanneer dit kom by inligtingverspreiding, sekuriteit en kategorisering (gekoppel aan 5.10, 5.12 en 5.13)

Compliance – Maatskappye moet voldoen aan streng beste-praktykbeleide wat nie algemene toegang tot data oor 'n organisasiekaart bied nie.

• Verseker beperkings op bevoorregte toegangsregte (gekoppel aan 8.2)

Compliance – Datatoegangsregte bo en behalwe dié van 'n standaardgebruiker moet noukeurig wees gemonitor en geoudit.

• Nakoming van enige heersende stukke wetgewing, sektorspesifieke regulatoriese riglyne of kontraktuele verpligtinge wat verband hou met datatoegang (gekoppel aan 5.31, 5.32, 5.33, 5.34 en 8.3)

Compliance – Organisasies pas hul eie Toegangsbeheerbeleide aan in ooreenstemming met enige eksterne verpligtinge wat hulle het met betrekking tot data-, bate- en hulpbrontoegang.

• Toesig oor potensiële pligskonflik

Compliance – Beleide moet kontroles insluit wat 'n individu se vermoë uitskakel om 'n breër toegangsbeheerfunksie in gedrang te bring, gebaseer op hul eie vlakke van toegang (dws 'n werknemer wat die vermoë het om veranderinge aan 'n netwerk aan te vra, te magtig en te implementeer).

• Die drie hooffunksies van 'n toegangsbeheerbeleid – versoeke, magtigings en administrasie – moet in isolasie aangespreek word

Compliance – Toegangsbeheerbeleide moet erken dat hoewel toegangsbeheer 'n selfstandige funksie is, dit uit 'n aantal individuele stappe bestaan ​​wat hul eie stel vereistes op 'n onderwerp-vir-onderwerp basis dra.

• Toegangsversoeke moet op 'n gestruktureerde, formele wyse gedoen word (gekoppel aan 5.16 en 5.18)

Compliance – Organisasies moet 'n magtigingsproses implementeer wat formele, gedokumenteerde goedkeuring van 'n toepaslike personeellid vereis.

• Deurlopende bestuur van toegangsregte (gekoppel aan 5.18)

Compliance – Data-integriteit en sekuriteitsomtreke moet gehandhaaf word deur 'n voortdurende siklus van periodieke oudits, HR-toesig (verlaters, ens.) en posspesifieke veranderinge (bv. departementele skuiwe en rolwysigings).

• Handhawing van voldoende logs en beheer van toegang daartoe

Compliance – Organisasie moet data oor toegangsgebeure (bv. lêeraktiwiteit) insamel en stoor, tesame met beveiliging teen ongemagtigde toegang tot sekuriteitsgebeurtenislogboeke, en werk met 'n omvattende stel voorvalbestuur prosedures.

Riglyne oor die implementering van toegangsbeheerreëls

Soos ons bespreek het, word toegangsbeheerreëls toegeken aan verskeie entiteite (menslik en nie-menslik) wat op 'n gegewe netwerk bestaan, wat op hul beurt 'rolle' kry wat hul algehele vereistes dikteer.

Terwyl jou organisasie sy eie stel Toegangsbeheerbeleide definieer en instel, vra 5.15 jou om die volgende 4 punte in ag te neem:

1. Verseker konsekwentheid tussen die toegangsreg en die soort data waarop dit van toepassing is.
2. Verseker konsekwentheid tussen die toegangsreg, en die fisiese sekuriteitsvereistes van jou organisasie (omtrek, ens.).
3. Waar jou organisasie funksioneer onder 'n verspreide rekenaaromgewing wat verskeie afsonderlike netwerke of stelle hulpbronne insluit (soos 'n wolk-gebaseerde omgewing), neem toegangsregte die implikasies van data wat oor 'n wye reeks netwerkdienste vervat is, in ag.
4. Wees bedag op die implikasies rondom dinamiese toegangskontroles ('n fyn metode van toegang wat deur stelseladministrateurs geïmplementeer word tot 'n gedetailleerde stel veranderlikes).

Dokumentasie en Omskrewe Verantwoordelikhede

Beheer 5.15 is eksplisiet deur van organisasies te vereis om hulself met dokumentasie en 'n gestruktureerde lys van verantwoordelikhede besig te hou. ISO 27002 bevat talle soortgelyke vereistes oor sy hele lys kontroles – hier is die individuele kontroles wat die meeste relevant is vir 5.15:

dokumentasie

• 5.16
• 5.17
• 5.18
• 8.2
• 8.3
• 8.4
• 8.5
• 8.18

Verantwoordelikhede

• 5.2
• 5.17

korrelig

Beheer 5.15 gee organisasies 'n aansienlike mate van speelruimte wanneer dit kom by die keuse van die vlak van granulariteit vervat in hul toegangsbeheerreëls.

ISO raai maatskappye aan om hul eie oordeel uit te oefen oor hoe gedetailleerd 'n gegewe stel reëls op 'n werknemer-vir-werknemer-basis moet wees, en hoeveel toegangsveranderlikes op enige stukkie data toegepas word.

5.15 erken uitdruklik dat hoe meer gedetailleerd 'n maatskappy se Toegangsbeheerbeleide is, hoe groter is die koste en hoe moeiliker word die hele konsep van Toegangsbeheer oor verskeie liggings, netwerktipes en toepassingsveranderlikes.

Toegangsbeheer as 'n konsep, tensy dit noukeurig bestuur word, kan binnekort handuit ruk. Dit is byna altyd 'n goeie idee om toegangsbeheerreëls te vereenvoudig om dit makliker en meer koste-effektief te maak om te bestuur.

Veranderinge vanaf ISO 27002:2013

27002:2013/5.15 is 'n samevoeging van twee soortgelyke kontroles in 27002:2013 – 9.1.1 (Toegangsbeheerbeleid) en 9.1.2 (Toegang tot netwerke en netwerkdienste).

Oor die algemeen spreek beide 9.1.1 en 9.1.2 dieselfde onderliggende temas as 5.15 aan en volg breedweg dieselfde stel bestuursriglyne, met 'n paar subtiele operasionele verskille.

Beide die 2022- en 2013-kontroles handel oor die administrasie van toegang tot inligting, bates en hulpbronne en werk volgens 'n "need to know"-beginsel wat korporatiewe data as 'n kommoditeit hanteer wat noukeurig bestuur en beskerm moet word.

Al 27002:2013/9.1.1 se 11 beheerriglyne loop volgens dieselfde algemene lyne as wat in 27002:2013/5.15 gesien word, met laasgenoemde wat 'n effens groter klem op fisiese sekuriteit en omtreksekuriteit het.

Ondersteunende leiding oor die implementering van toegangsbeheer is in die algemeen dieselfde, maar die 2022-beheer doen 'n baie beter werk om bondige, praktiese leiding oor sy 4 implementeringsriglyne te bied.

Veranderinge in tipes toegangskontroles vanaf 9.1.1

5.15 erken die verskillende soorte toegangsbeheermetodes wat oor die afgelope 9 jaar na vore gekom het (MAC, DAC, ABAC), terwyl 27002:2013/9.1.1 sy leiding beperk tot RBAC – die mees algemene metode van kommersiële toegangsbeheer op daardie tydstip .

korrelig

In samehang met tegnologiese veranderinge wat organisasies groter beheer oor hul data bied, bevat nie een van die 2013-kontroles enige betekenisvolle rigting oor hoe 'n organisasie granulêre toegangsbeheer moet benader nie, terwyl 27002:2013/5.15 organisasies 'n aansienlike mate van speelruimte gee.

Nuwe ISO 27002-kontroles