ISO 27002, Beheer 8.2 - Bevoorregte toegangsregte

Doel van beheer 8.2

Kwaadwillige of verkeerde gebruik van verhoogde stelseladministrateurvoorregte is een van die hoofoorsake van IKT-ontwrigting oor kommersiële netwerke regoor die wêreld.

Bevoorregte toegangsregte stel organisasies in staat om toegang tot hul infrastruktuur, toepassings, bates te beheer en die integriteit van alle gestoorde data en stelsels te handhaaf.

Beheer 8.2 is a voorkomende beheer Wat risiko handhaaf deur 'n magtiging daar te stel proses wat alle versoeke vir toegang hanteer oor 'n organisasie se IKT-netwerk en gepaardgaande bates heen.

Eienskappe Tabel van beheer 8.2

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	# Identiteit en toegangsbestuur	#Beskerming
	#Integriteit
	#Beskikbaarheid

Eienaarskap van beheer 8.2

Kontrole 8.6 handel oor 'n organisasie se vermoë om toegang te beheer na data via gebruikersrekeninge wat verbeterde toegangsregte geniet.

As sodanig moet eienaarskap berus by die IT-hoof (of organisatoriese ekwivalent), wat besit verantwoordelikheid vir die organisasie se vermoë om bevoorregte domein- of toepassinggebruikerrekeninge te administreer en te monitor.

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Algemene riglyne oor beheer 8.2

Beheer 8.2 skets 12 hoofriglyne wat organisasies nodig het te volg, in ooreenstemming met 'n "onderwerpspesifieke" beleid oor toegangsbeheer (sien Beheer 5.15) wat individuele besigheidsfunksies teiken.

Organisasies moet:

Identifiseer 'n lys gebruikers wat enige mate van bevoorregte toegang benodig - hetsy vir 'n individuele stelsel - soos 'n databasis - toepassing, of onderliggende bedryfstelsel.
Handhaaf 'n beleid wat bevoorregte toegangsregte aan gebruikers toeken op wat bekend staan as 'n "gebeurtenis-vir-gebeurtenis-basis" - gebruikers moet toegangsvlakke kry gebaseer op die minimum wat nodig is vir hulle om hul rol uit te voer.
Om 'n duidelike magtigingsproses uiteen te sit wat handel oor alle versoeke vir bevoorregte toegang, insluitend die hou van rekord van alle toegangsregte wat geïmplementeer is.
Maak seker dat toegangsregte onderhewig is aan relevante vervaldatums.
Neem stappe om te verseker dat gebruikers is uitdruklik bewus van enige tydperk waar hulle met bevoorregte toegang tot 'n stelsel werk.
Waar relevant, word gebruikers gevra om weer te verifieer voordat hulle bevoorregte toegangsregte gebruik, om groter inligting/datasekuriteit te beïnvloed.
Voer periodieke oudits van bevoorregte toegangsregte uit, veral na 'n tydperk van organisatoriese verandering. Gebruikers se toegangsregte moet hersien word op grond van hul “pligte, rolle, verantwoordelikhede en bevoegdheid” (sien Beheer 5.18).
Oorweeg om te werk met wat bekend staan as 'n “breekglas”-prosedure – maw om te verseker dat bevoorregte toegangsregte toegestaan word binne streng beheerde tydvensters wat voldoen aan die minimum vereistes vir 'n operasie om uitgevoer te word (kritieke veranderinge, stelseladministrasie, ens.).
Maak seker dat alle bevoorregte toegang aktiwiteite dienooreenkomstig aangeteken word.
Voorkom die gebruik van generiese stelselaanmeldinligting (veral gestandaardiseerde gebruikersname en wagwoorde) (sien Beheer 5.17).
Hou by 'n beleid om gebruikers met 'n aparte identiteit toe te ken, wat voorsiening maak vir strenger beheer van bevoorregte toegangsregte. Sulke identiteite kan dan saam gegroepeer word, met verskillende vlakke van toegangsregte aan die geassosieerde groep.
Verseker dat bevoorregte toegangsregte slegs vir kritieke take gereserveer word, wat verband hou met die voortgesette bedryf van 'n funksionerende IKT-netwerk – soos stelseladministrasie en netwerkinstandhouding.

Ondersteunende kontroles

5.15

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

Beheer 27002:2022-8.2 vervang 27002:2013-9.2.3 (Bestuur van bevoorregte toegangsregte).

27002:2022-8.2 bevat 5 belangrike riglyne wat nie eksplisiet in sy 2013-eweknie is nie:

27002:2022-8.2 vereis nie uitdruklik 'n ander gebruiker-ID vir bevoorregte toegangsregte nie.
27002:2022-8.2 beklemtoon die behoefte om weer te verifieer voordat bevoorregte toegangsregte ontvang word.
27002:2022-8.2 bepleit 'n breekglasbenadering wanneer kritieke instandhoudingspligte uitgevoer word, gebaseer op streng beheerde tydvensters.
27002:2022-8.2 vra organisasies om deeglike bevoorregte toegang logs te hou, vir ouditdoeleindes.
27002:2022-8.2 vra organisasies om die gebruik van bevoorregte toegangsregte tot administratiewe take te beperk.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISO 27002, Beheer 6.6, dek die behoefte vir organisasies om die lekkasie van vertroulike inligting te voorkom deur vas te stel vertroulikheidsooreenkomste met belanghebbende partye en personeel.

Ons wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.

Hierdie instrumente sluit in:

'n Biblioteek van sjablone vir algemene korporatiewe dokumente.
'n Stel voorafbepaalde beleide en prosedures.
'n Ouditinstrument om interne oudits te ondersteun.
'n Konfigurasie-koppelvlak om aan te pas ISMS-beleide en prosedures.
'n Goedkeuringswerkvloei vir alle veranderinge aan beleide en prosedures.
'n Kontrolelys om seker te maak dat jou beleide en inligtingsekuriteitsprosesse die goedgekeurde internasionale standaarde volg.

ISMS.Online laat gebruikers ook toe om:

Bestuur alle aspekte van die ISMS lewensiklus met gemak.
Kry intydse insigte in hul sekuriteitsposisie en voldoeningsgapings.
Integreer met ander stelsels soos HR, finansies en projekbestuur.
Demonstreer nakoming van hul ISMS met ISO 27001 standaarde.

Die ISMS.Online-nutsding verskaf ook leiding oor hoe om jou ISMS die beste te implementeer deur wenke te verskaf oor hoe om beleide en prosedures te skep wat verband hou met aspekte soos risikobestuur, opleiding vir personeelsekuriteitsbewustheid en insidentreaksiebeplanning.

Ons is 'n leier in ons veld