Toegangsbeheer beheer die maniere waarop menslike en nie-menslike entiteite op enige gegewe netwerk toegang tot data, IT-hulpbronne en toepassings verleen word.
Soos per die aanvullende leiding, noem Beheer 5.15 (maar beperk homself nie tot) vier verskillende tipes toegangsbeheer, wat breedweg soos volg geklassifiseer kan word:
5.15 is 'n voorkomende beheer wat risiko handhaaf deur 'n organisasie se onderliggende vermoë te verbeter om toegang tot data en bates te beheer.
5.15 is uitdruklik deur te stel dat toegang tot hulpbronne toegestaan en gewysig moet word op grond van 'n konkrete stel kommersiële en inligtingsekuriteitsvereistes.
Organisasies moet 5.15 implementeer om veilige toegang tot data te fasiliteer, en die risiko van ongemagtigde toegang tot hul netwerk te verminder – hetsy dit fisies of virtueel is.
| Beheer tipe | Inligting sekuriteit eienskappe | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | # Identiteit en toegangsbestuur | #Beskerming |
Terwyl 5.15 staatmaak op bestuurspersoneel van verskeie dele van 'n organisasie wat 'n deeglike begrip handhaaf van wie toegang tot watter hulpbronne benodig (dws MH-inligting oor 'n werknemer se posrol, wat op sy beurt hul RBAC-parameters dikteer), is toegangsregte uiteindelik 'n instandhoudingsfunksie wat word beheer deur personeel met administratiewe regte oor enige gegewe netwerk.
As sodanig behoort eienaarskap van 5.15 by 'n lid senior bestuur te berus met oorkoepelende tegniese gesag oor 'n organisasie se domeine, subdomeine, toepassings, hulpbronne en bates, soos 'n IT-hoof.
Voldoening aan Beheer 5.15 behels die nakoming van wat bekend staan as 'n 'onderwerpspesifieke' benadering na toegangsbeheer (meer algemeen bekend as 'n 'kwessie-spesifieke' benadering).
Onderwerpspesifieke benaderings moedig organisasies aan om Toegang te skep Beheer beleide wat aangepas is vir individuele besigheidsfunksies, eerder as om te voldoen aan 'n algemene toegangsbeheerbeleid wat van toepassing is op data- en hulpbrontoegang oor die hele linie.
Beheer 5.15 vereis toegangsbeheerbeleide oor alle onderwerpspesifieke areas om die volgende 11 riglyne in ag te neem. Sommige van die onderstaande leidingpunte kruis met verskeie ander kontroles, wat vir verwysing gelys word.
Organisasies moet hierdie meegaande beheermaatreëls op 'n geval-tot-geval basis raadpleeg vir verdere inligting.
Compliance – Dit word maklik bereik deur 'n akkurate rekord te hou van werksrolle en datatoegangsvereistes, wat in lyn is met jou organisasiestruktuur.
Compliance – 'n Formele risiko-assessering uitgevoer kan word om die sekuriteitskenmerke van individuele toepassings te ondersoek.
Compliance – Jou organisasie moet kan demonstreer dat jy 'n robuuste stel gebou- en kamertoegangskontroles het, insluitend bestuurde toegangstelsels, sekuriteitsperimeters en besoekersprosedures, waar toepaslik.
Compliance – Maatskappye moet voldoen aan streng beste-praktykbeleide wat nie algemene toegang tot data oor 'n organisasiekaart bied nie.
Compliance – Datatoegangsregte bo en behalwe dié van 'n standaardgebruiker moet noukeurig wees gemonitor en geoudit.
Compliance – Organisasies pas hul eie Toegangsbeheerbeleide aan in ooreenstemming met enige eksterne verpligtinge wat hulle het met betrekking tot data-, bate- en hulpbrontoegang.
Compliance – Beleide moet kontroles insluit wat 'n individu se vermoë uitskakel om 'n breër toegangsbeheerfunksie in gedrang te bring, gebaseer op hul eie vlakke van toegang (dws 'n werknemer wat die vermoë het om veranderinge aan 'n netwerk aan te vra, te magtig en te implementeer).
Compliance – Toegangsbeheerbeleide moet erken dat hoewel toegangsbeheer 'n selfstandige funksie is, dit uit 'n aantal individuele stappe bestaan wat hul eie stel vereistes op 'n onderwerp-vir-onderwerp basis dra.
Compliance – Organisasies moet 'n magtigingsproses implementeer wat formele, gedokumenteerde goedkeuring van 'n toepaslike personeellid vereis.
Compliance – Data-integriteit en sekuriteitsomtreke moet gehandhaaf word deur 'n voortdurende siklus van periodieke oudits, HR-toesig (verlaters, ens.) en posspesifieke veranderinge (bv. departementele skuiwe en rolwysigings).
Compliance – Organisasie moet data oor toegangsgebeure (bv. lêeraktiwiteit) insamel en stoor, tesame met beveiliging teen ongemagtigde toegang tot sekuriteitsgebeurtenislogboeke, en werk met 'n omvattende stel voorvalbestuur prosedures.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
Soos ons bespreek het, word toegangsbeheerreëls toegeken aan verskeie entiteite (menslik en nie-menslik) wat op 'n gegewe netwerk bestaan, wat op hul beurt 'rolle' kry wat hul algehele vereistes dikteer.
Terwyl jou organisasie sy eie stel Toegangsbeheerbeleide definieer en instel, vra 5.15 jou om die volgende 4 punte in ag te neem:
Beheer 5.15 is eksplisiet deur van organisasies te vereis om hulself met dokumentasie en 'n gestruktureerde lys van verantwoordelikhede besig te hou. ISO 27002 bevat talle soortgelyke vereistes oor sy hele lys kontroles – hier is die individuele kontroles wat die meeste relevant is vir 5.15:
Beheer 5.15 gee organisasies 'n aansienlike mate van speelruimte wanneer dit kom by die keuse van die vlak van granulariteit vervat in hul toegangsbeheerreëls.
ISO raai maatskappye aan om hul eie oordeel uit te oefen oor hoe gedetailleerd 'n gegewe stel reëls op 'n werknemer-vir-werknemer-basis moet wees, en hoeveel toegangsveranderlikes op enige stukkie data toegepas word.
5.15 erken uitdruklik dat hoe meer gedetailleerd 'n maatskappy se Toegangsbeheerbeleide is, hoe groter is die koste en hoe moeiliker word die hele konsep van Toegangsbeheer oor verskeie liggings, netwerktipes en toepassingsveranderlikes.
Toegangsbeheer as 'n konsep, tensy dit noukeurig bestuur word, kan binnekort handuit ruk. Dit is byna altyd 'n goeie idee om toegangsbeheerreëls te vereenvoudig om dit makliker en meer koste-effektief te maak om te bestuur.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
27002:2013/5.15 is 'n samevoeging van twee soortgelyke kontroles in 27002:2013 – 9.1.1 (Toegangsbeheerbeleid) en 9.1.2 (Toegang tot netwerke en netwerkdienste).
Oor die algemeen spreek beide 9.1.1 en 9.1.2 dieselfde onderliggende temas as 5.15 aan en volg breedweg dieselfde stel bestuursriglyne, met 'n paar subtiele operasionele verskille.
Beide die 2022- en 2013-kontroles handel oor die administrasie van toegang tot inligting, bates en hulpbronne en werk volgens 'n "need to know"-beginsel wat korporatiewe data as 'n kommoditeit hanteer wat noukeurig bestuur en beskerm moet word.
Al 27002:2013/9.1.1 se 11 beheerriglyne loop volgens dieselfde algemene lyne as wat in 27002:2013/5.15 gesien word, met laasgenoemde wat 'n effens groter klem op fisiese sekuriteit en omtreksekuriteit het.
Ondersteunende leiding oor die implementering van toegangsbeheer is in die algemeen dieselfde, maar die 2022-beheer doen 'n baie beter werk om bondige, praktiese leiding oor sy 4 implementeringsriglyne te bied.
5.15 erken die verskillende soorte toegangsbeheermetodes wat oor die afgelope 9 jaar na vore gekom het (MAC, DAC, ABAC), terwyl 27002:2013/9.1.1 sy leiding beperk tot RBAC – die mees algemene metode van kommersiële toegangsbeheer op daardie tydstip .
In samehang met tegnologiese veranderinge wat organisasies groter beheer oor hul data bied, bevat nie een van die 2013-kontroles enige betekenisvolle rigting oor hoe 'n organisasie granulêre toegangsbeheer moet benader nie, terwyl 27002:2013/5.15 organisasies 'n aansienlike mate van speelruimte gee.
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Ons is so bly dat ons hierdie oplossing gevind het, dit het alles makliker inmekaar laat pas.
