Beskerm PII met robuuste stelsel- en toepassingtoegangskontroles
Die plasing van toegangsbeperkings op besigheidskritiese take, bates en prosedures is 'n fundamentele aspek van beide die beskerming van PII, en om te verseker dat privaatheidverwante toepassings en stelsels vry is van korrupsie, misbruik of uitvee.
ISO 27701 6.6.4 skets 'n verskeidenheid maatreëls – van verifikasiekontroles tot bronkodebestuur en die gebruik van bevoorregte nutsprogramme – wat organisasies in staat stel om fyn beheer uit te oefen oor wie en wat toegelaat word om toegang tot hul netwerk te verkry, en deur watter middele.
Wat word gedek in ISO 27701 Klousule 6.6.4
ISO 27701 6.6.4 bevat vyf subklousules wat oor bogenoemde onderwerpe handel. Elke subklousule bevat riglyne van a verskeidenheid subklousules binne ISO 27002, maar afgelewer binne die konteks van PII-sekuriteit en privaatheidbeskerming:
- ISO 27701 6.6.4.1 – Beperkings vir inligtingtoegang (Verwysings ISO 27002 beheer 8.3).
- ISO 27701 6.6.4.2 – Veilige aanmeldprosedures (Verwysings ISO 27002 beheer 8.5).
- ISO 27701 6.6.4.3 – Wagwoordbestuurstelsel (Verwysings ISO 27002 beheer 5.17).
- ISO 27701 6.6.4.4 – Gebruik van bevoorregte nutsprogramme (Verwysings ISO 27002 beheer 8.18).
- ISO 27701 6.6.4.5 – Toegangsbeheer tot programbronkode (Verwysings ISO 27002 beheer 8.4).
Subklousule 6.6.4.2 bevat verdere leiding oor toepaslike artikels binne VK GDPR-wetgewing (Artikel 5 [1][f]).
Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
ISO 27701 Klousule 6.6.4.1 – Verwydering of aanpassing van toegangsregte
Verwysings ISO 27002 Beheer 8.3
Om PII en privaatheidverwante inligting te beheer, en ter ondersteuning van toegangsbeperkingsmaatreëls, moet organisasies:
- Voorkom anonieme toegang tot PII, insluitend publieke toegang.
- Onderhou privaatheidstelsels, en enige verwante besigheidstoepassings of -prosesse.
- Administreer toegang tot PII op 'n gebruiker-vir-gebruiker basis.
- Bestuur PII-toegangsregte op 'n korrelvlak (lees, skryf, vee uit en voer uit).
- Skei kritieke privaatheidsprosesse en toepassings deur 'n kombinasie van fisiese en logiese toegangskontroles te gebruik.
Dinamiese toegangsbestuur
ISO pleit vir 'n dinamiese benadering tot inligtingtoegang, wat strek tot PII en privaatheidstelsels.
Dinamiese toegangsbestuur stel organisasies in staat om interne data met eksterne gebruikers te deel of te gebruik, om vinniger voorvalresolusietye te beïnvloed ('n sleutelvereiste van PII-verwante voorvalle).
Organisasies moet dit oorweeg om dinamiese toegangsbestuur te implementeer wanneer:
- Uit te oefen granulêre beheer oor watter data menslike en nie-menslike gebruikers toegang het.
- Deel inligting met verskaffers, wetstoepassingsorganisasies of regulerende liggame.
- Die aanvaarding van 'n "intydse" benadering tot PII-bestuur (monitering en bestuur van PII-gebruik soos dit plaasvind).
- Beskerm PII teen ongemagtigde wysigings, deling of uitvoer (druk, ens.).
- Monitering/ouditering van die toegang tot en verandering van privaatheidverwante inligting.
- Die ontwikkeling van 'n proses wat die werking en monitering van data, insluitend 'n verslagdoeningsproses.
Dinamiese toegangsbestuur behoort data te beskerm deur:
- Toegang word verkry deur 'n robuuste verifikasieproses.
- Aktiveer beperkte toegang.
- Enkripsie.
- Veilige druktoestemmings.
- Meld aan wie toegang tot PII verkry, en hoe PII-data gebruik word.
- Implementering van 'n waarskuwingsprosedure wat onvanpaste PII-gebruik aandui.
ISO 27701 Klousule 6.6.4.2 – Veilige aanmeldprosedures
Verwysings ISO 27002 Beheer 8.5
PII en privaatheidverwante bates moet op 'n netwerk gestoor word wat 'n reeks verifikasiekontroles bevat, insluitend:
- Multi-faktor-verifikasie (MFA).
- Digitale sertifikate.
- Slimkaarte/fobs.
- Biometriese verifikasie.
- Veilige tekens.
Om die risiko van ongemagtigde toegang tot PII te voorkom en te verminder, moet organisasies:
- Voorkom die vertoon van PII op 'n monitor of eindpunttoestel totdat 'n gebruiker suksesvol geverifieer het.
- Gee voornemende gebruikers 'n duidelike waarskuwing - voordat enige aanmelding gepoog word - wat die sensitiewe aard van die data wat hulle op die punt sal kry, uiteensit.
- Wees versigtig om te veel bystand deur die stawingsproses te verskaf (dws verduidelik watter deel van 'n mislukte aanmeldpoging ongeldig is).
- Ontplooi beste praktyk sekuriteitsmaatreëls, insluitend:
- CAPTCHA tegnologie.
- Om wagwoordterugstellings te forseer en/of tydelike aanmelding te voorkom na verskeie mislukte pogings.
- Meld mislukte aanmeldpogings aan vir verdere ontleding en/of verspreiding na wetstoepassingsagentskappe.
- Begin 'n sekuriteitsvoorval wanneer 'n groot aanmelding-teenstrydigheid bespeur word, of die organisasie 'n stawing-afwyking ontdek wat die potensiaal het om PII te beïnvloed.
- Stuur stawinglogboeke – wat laaste aanmeldpoging en mislukte aanmeldinligting bevat – na 'n aparte databron oor.
- Voer slegs wagwoorddata as abstrakte simbole uit), tensy die gebruiker toeganklikheid-/visieprobleme het.
- Voorkom die deel van enige en alle verifikasiedata.
- Maak sluimerende aanmeldsessies dood, veral waar PII in afgeleë werksomgewings of op BYOD-bates gebruik word.
- Plaas 'n tydsbeperking op geverifieerde sessies, veral dié wat aktief toegang tot PII het.
Toepaslike GDPR-artikels
- Artikel 5 – (1)(f)
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISO 27701 Klousule 6.6.4.3 – Wagwoordbestuurstelsel
Verwysings ISO 27002 Beheer 5.17
Stawingbesonderhede moet versprei en bestuur word sodat:
- Outomaties-gegenereerde stawinginligting (wagwoorde ens.) word geheim gehou vir enigiemand wat nie gemagtig is om dit te gebruik nie, is nie raaibaar nie en word bestuur op 'n manier wat 'n gebruiker dwing om dit te verander na aanvanklike aanmelding.
- Voordat verifikasiebesonderhede uitgereik of vervang word, word prosedures ingestel om die identiteit van die individu wat dit benodig, te verifieer.
- Die korrekte veilige kanale word gebruik om verifikasiebesonderhede oor te dra (dus nie per e-pos nie).
- Nadat die besonderhede suksesvol gekommunikeer is aan wie dit ook al nodig het, erken die gebruiker(s) betyds ontvangs.
- Enige verskaffer verskaf stawing inligting (soos die verstek gebruikersnaam en wagwoord routers en firewalls) word verander by ontvangs.
- Rekords word gehou van relevante stawinggebeure – veral met betrekking tot die aanvanklike toekenning en daaropvolgende administrasie van stawingbesonderhede.
Enige personeel wat organisatoriese verifikasie-inligting gebruik, moet verseker dat:
- Almal stawing besonderhede word streng vertroulik gehou.
- As stawingbesonderhede óf gekompromitteer, bekyk of gedeel word deur enigiemand anders as die oorspronklike eienaar, word sulke besonderhede verander Onmiddellik.
- Enige wagwoorde word geskep en/of gegenereer in ooreenstemming met die organisasie se wagwoordbeleid, en wagwoorde is uniek oor verskeie verskillende platforms (dws domeinwagwoorde is nie dieselfde as wolkdienswagwoorde nie).
- Dienskontrakte bevat 'n uitdruklike vereiste om maatskappywagwoordbeleid te volg (sien ISO 27002 6.2).
Wagwoordbestuurstelsels
Organisasies moet 'n wagwoordbestuurstelsel implementeer wat:
- Maak voorsiening vir gebruikers wat enige wagwoord wat hulle gebruik moet verander.
- Is geprogrammeer om wagwoorde te verwerp wat buite die beste praktykriglyne val.
- Dwing gebruikers om hul stelselgegenereerde wagwoord te verander nadat hulle dit vir die eerste keer gebruik het.
- Laat nie die voortgesette gebruik van ou wagwoorde, of soortgelyke frases en alfanumeriese kombinasies toe nie.
- Versteek wagwoorde terwyl hulle ingevoer word.
- Stoor en stuur wagwoordinligting op 'n veilige manier.
- Maak voorsiening vir wagwoordenkripsie en soortgelyke enkripsietegnieke (sien ISO 27002 8.24).
Om PII te beskerm en organisatoriese privaatheidbeskermingspogings te verbeter, moet wagwoorde vier riglyne volg:
- Wagwoorde moet nie rondom raaibare of biografiese inligting saamgestel word nie.
- Wagwoorde moet geen herkenbare woorde bevat nie, in plaas van ewekansige alfanumeriese karakters.
- Spesiale karakters moet gebruik word om wagwoordkompleksiteit te verhoog.
- Alle wagwoorde moet 'n minimum lengte hê (verkieslik 12 karakters).
Organisasies moet ook die gebruik van stawingsprotokolle soos Single Sign-On (SSO) oorweeg om wagwoordsekuriteit te verbeter, maar sulke maatreëls moet slegs oorweeg word saam met die organisasie se unieke tegniese en operasionele vereistes.
Relevante ISO 27002-kontroles
- ISO 27002 6.2
- ISO 27002 8.24
ISO 27701 Klousule 6.6.4.4 – Gebruik van bevoorregte nutsprogramme
Verwysings ISO 27002 Beheer 8.18
Om PII en privaatheidverwante bates te beskerm - en terselfdertyd netwerkintegriteit te verbeter - moet organisasies:
- Beperk die gebruik van nutsprogramme tot instandhoudingspersoneel en/of kontrakteurs wat die taak het om die organisasie se netwerk te administreer.
- Verseker dat die gebruik van enige enkele nutsprogram deur bestuur gemagtig is, insluitend die byhou van 'n lys van personeel wat nutsprogramme moet gebruik as deel van hul toegewysde verantwoordelikhede.
- Voorkom die gebruik van nutsprogramme op areas van die netwerk wat geskeide pligte bevat.
- Hersien gereeld die gebruik van nutsprogramme, verwyder of voeg enige by soos die organisasie goeddink.
- Deel nutsprogramme af in teenstelling met standaardtoepassings.
- Teken die gebruik van nutsprogramme aan, insluitend behoue inligting oor tydstempels en gemagtigde gebruikers.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 6.6.4.5 – Toegangsbeheer tot programbronkode
Verwysings ISO 27002 Beheer 8.4
Toegang tot bronkode en ontwikkelingsinstrument moet streng beheer word, sodat privaatheidsverwante toepassings nie in die gedrang kom nie, en PII nie blootgestel word aan publieke besigtiging, of enige vorm van ongemagtigde toegang nie.
Bronkode en 'verwante items' sluit in:
- Ontwerpe.
- Spesifikasies.
- Verifikasie planne.
- Bekragtigingsplanne.
Ontwikkelingsinstrumente sluit in:
- Samestellers.
- Bouers.
- Integrasie gereedskap.
- Toets platforms.
- Omgewings.
ISO beveel aan dat organisasies bronkode stoor en bestuur via 'n toegewyde 'bronkodebestuurstelsel' wat IP-, kode- en ontwikkelingsinstrumente beskerm en toegang tot beperkte materiaal bestuur. Bronkode moet met verskillende grade van lees- en skryftoegang bestuur word, gebaseer op 'n individu se werksrol.
Om korrupsie te voorkom en die PIMS, PII en privaatheidverwante inligting en bates te beskerm, moet organisasies:
- Bestuur toegang tot bronkode en enige verwante biblioteke noukeurig.
- Beperk die verskaffing van toegang tot bronkode op 'n 'need to know' en 'need to use'-basis.
- Neem organisasiewye veranderingsbestuurprosedures waar, wanneer u bronkode bywerk/verander, of enige wysigings toegangsregte maak (sien ISO 27002 8.32).
- Verbied die direkte toegang van bronkode deur ontwikkelaars, en voorsien eerder toegang deur gespesialiseerde ontwikkelaarnutsgoed.
- Stoor programlyste veilig, met relevante vlakke van lees- en skryftoegang.
Relevante ISO 27002-kontroles
- Sien ISO 27002 8.32
Ondersteunende kontroles vanaf ISO 27002 en GDPR
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27002-vereiste | Geassosieerde GDPR-artikels |
|---|---|---|---|
| 6.6.4.1 | 8.3 |
8.3 – Inligtingtoegangbeperking vir ISO 27002 |
Geen |
| 6.6.4.2 | 8.5 |
8.5 – Veilige verifikasie vir ISO 27002 |
Artikel (5) |
| 6.6.4.3 | 5.17 |
5.17 – Verifikasieinligting vir ISO 27002 |
Geen |
| 6.6.4.4 | 8.18 |
8.18 – Gebruik van bevoorregte nutsprogramme vir ISO 27002 |
Geen |
| 6.6.4.5 | 8.4 |
8.4 – Toegang tot bronkode vir ISO 27002 |
Geen |
Hoe ISMS.online help
ISO 27701 wys jou hoe om 'n Privaatheidsinligtingbestuurstelsel te bou wat aan die meeste privaatheidsregulasies voldoen, insluitend die EU se GDPR, BS 10012 en Suid-Afrika se POPIA.
Ons vereenvoudigde, veilige, volhoubare sagteware help jou om maklik die benadering te volg wat deur die internasionaal erkende standaard uiteengesit word.
Ons alles-in-een-platform verseker dat jou privaatheidswerk ooreenstem met en aan die behoeftes van elke afdeling van die ISO 27701-standaard voldoen. En omdat dit regulering agnosties is, kan jy dit karteer op enige regulasie wat jy nodig het.
Vind meer uit deur bespreek 'n praktiese demo.
