ISO 27002:2022, Beheer 8.5 – Veilige verifikasie

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

mense,werk,in,moderne,kantoor.,groep,jong,programmeerders,sit

Doel van beheer 8.5

Veilige stawing is die primêre metode waarmee menslike en nie-menslike gebruikers betrokke raak wanneer hulle probeer om 'n organisasie se IKT-bates te benut.

Oor die afgelope dekade het verifikasietegnologie 'n fundamentele verskuiwing ondergaan van tradisionele gebruikersnaam/wagwoord-gebaseerde validasies na 'n verskeidenheid komplementerende tegnieke wat biometriese inligting, logiese en fisiese toegangskontroles, eksterne toestelverifikasies, SMS-kodes en eenmalige wagwoorde (OTP) behels.

27002:2022-8.5 plaas dit alles in konteks en adviseer organisasies oor presies hoe hulle moet wees toegang tot hul IKT-stelsels en bates te beheer via 'n veilige aanmeldpoort.

Beheer 8.5 is a voorkomende beheer Wat risiko handhaaf deur tegnologie te implementeer en onderwerpspesifieke veilige verifikasieprosedures daar te stel wat verseker dat menslike en nie-menslike gebruikers en identiteite 'n robuuste en veilige verifikasieprosedure ondergaan wanneer hulle probeer om toegang tot IKT-hulpbronne te verkry.

Eienskappe tabel

beheer Tipe Eienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoëns Sekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm # Identiteit en toegangsbestuur#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.5

Beheer 8.5 handel oor 'n organisasie se vermoë om toegang tot sy netwerk (en die inligting en data daarin vervat) te beheer by kritieke aansluitings, soos 'n aanmeldpoort.

Terwyl die beheer oor inligting- en datasekuriteit as 'n breër konsep handel, is die operasionele leiding hoofsaaklik van 'n tegniese aard.

As sodanig moet eienaarskap berus by die IT-hoof (of organisatoriese ekwivalent), wat besit verantwoordelikheid vir die organisasie se daaglikse IT-administrasiefunksies.

Algemene riglyne oor beheer 8.5

Beheer 8.5 vra organisasies om verifikasiekontroles te oorweeg wat relevant is vir die tipe en sensitiwiteit van die data en netwerk waartoe toegang verkry word, insluitend:

  • Multi-faktor verifikasie (MFA)

  • Digitale sertifikate

  • Slim toegangskontroles (slimkaarte)

  • Biometriese aanmeldings

  • Veilige tekens

Die oorheersende doelwit van 'n organisasie se veilige verifikasiekontroles moet wees om voorkom en/of verminder die risiko van ongemagtigde toegang aan sy beskermde stelsels.

Om dit te bereik, skets Beheer 8.5 12 hoofriglyne. Organisasies moet:

  1. Beperk die vertoon van inligting tot na 'n suksesvolle stawingpoging.

  2. Vertoon 'n waarskuwing vooraf-aanmelding wat duidelik aandui dat inligting slegs deur gemagtigde gebruikers verkry moet word.

  3. Minimaliseer die bystand wat dit bied aan ongeverifieerde gebruikers wat probeer om toegang tot die stelsel te kry, bv. organisasies moet nie verklap watter spesifieke deel van 'n aanmeldpoging verkeerd is nie, soos 'n biometriese aspek van 'n MFA-aanmelding, en eerder bloot meld dat die aanmeldpoging misluk het .

  4. Valideer die aanmeldpoging slegs wanneer alle vereiste inligting aan die aanmelddiens verskaf is, om sekuriteit te handhaaf.

  5. Implementeer industriestandaard sekuriteitsmaatreëls wat beskerm teen komberse toegang en/of brute force-aanvalle op aanmeldportale. Hierdie maatreëls kan insluit:

    • CAPTCHA kontroles

    • Dwing 'n wagwoordterugstelling af na 'n vasgestelde aantal mislukte aanmeldpogings

    • Voorkoming van verdere aanmeldpogings na 'n voorafbepaalde aantal mislukte pogings

  6. Teken alle mislukte aanmeldpogings op vir ouditerings- en sekuriteitsdoeleindes, insluitend die gebruik daarvan in kriminele en/of regulatoriese verrigtinge.

  7. Inisieer a veiligheidsvoorval wanneer 'n groot aanmelding-teenstrydigheid bespeur word, soos 'n waargenome inbraak. In hierdie gevalle moet alle relevante interne personeel in kennis gestel word, veral diegene met toegang tot stelseladministrateur of enige vermoë om kwaadwillige aanmeldpogings te bekamp.

  8. By die validering van 'n aanmelding, stuur sekere stukke inligting oor na 'n aparte databron wat lys:

    • Die datum en tyd van die vorige suksesvolle aanmelding

    • 'n Lys van alle aanmeldpogings sedert die laaste bekragtigde aanmelding

  9. Vertoon wagwoorde as sterretjies (of soortgelyke abstrakte simbole), waar dit nie nodig is om dit nie te doen nie (bv. gebruikerstoeganklikheid).

  10. Verbied die deel van of vertoon van wagwoorde as duidelike, leesbare teks streng.

  11. Handhaaf 'n beleid om dormante aanmeldsessies na 'n spesifieke tydperk te beëindig. Dit is veral relevant vir sessies wat aktief is in hoërisiko-liggings (afgeleë werksomgewings) of op bates wat deur die gebruiker verskaf word, soos persoonlike skootrekenaars of selfone.

  12. Beperk die hoeveelheid tyd wat 'n geverifieerde sessie oop kan bly – selfs wanneer dit aktief is – relatief tot die inligting waartoe toegang verkry word (dws besigheidskritiese inligting of finansieel sensitiewe toepassings).

Kyk hoe ons jou kan help

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Leiding – Biometriese aanmeldings

ISO beveel aan dat as gevolg van 'n aantal faktore wat verband hou met die doeltreffendheid en integriteit van biometriese aanmeldprosesse oor tradisionele maatreëls (wagwoorde, MFA, tekens, ens.), biometriese verifikasiemetodes moet nie in isolasie gebruik word nie, en vergesel van ten minste een ander aanmeldtegniek.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022-8.5 vervang 27002:2014-9.4.2 (Veilige aanmeldprosedures).

27002:2022-8.5 bevat die dieselfde 12 riglyne as sy 2013 eweknie, met geringe aanpassings aan die bewoording, en volg dieselfde stel onderliggende sekuriteitsbeginsels.

In lyn met die opkoms van MFA en biometriese aanmeldtegnologieë oor die afgelope dekade, bevat 27002:2022-8.5 eksplisiete leiding oor die gebruik van beide tegnieke wat organisasies moet oorweeg wanneer hulle hul eie stel aanmeldkontroles formuleer.

Hoe ISMS.online help

Ons wolkgebaseerde platform bied jou 'n robuuste raamwerk van inligtingsekuriteitkontroles sodat jy kan kontrolelys jou ISMS-proses soos jy gaan om te verseker dat dit aan die vereistes vir ISO 27000k voldoen. Reg gebruik, ISMS. aanlyn kan jou help om sertifisering te behaal met die minimum tyd en hulpbronne.

Kontak vandag nog om bespreek 'n demo.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind