ISO 27001 – Bijlage A.9: Toegangscontrole

Wat is bijlage A.9?

Bijlage A.9 gaat helemaal over toegangscontroleprocedures. Het doel van bijlage A.9 is om de toegang tot informatie te waarborgen en ervoor te zorgen dat medewerkers alleen informatie kunnen inzien die relevant is voor hun werk. In deze gids vindt u alles wat u moet weten over bijlage A.9.

Bijlage A.9 is verdeeld in vier secties en u zult ze allemaal moeten doornemen. Dit zijn toegangscontroles, gebruikerstoegangsbeheer, gebruikersverantwoordelijkheden en applicatietoegangscontroles.

Wat is het doel van bijlage A.9.1?

Bijlage A.9.1 gaat over zakelijke vereisten op het gebied van toegangscontrole. Het doel van deze bijlage A-controle is het beperken van de toegang tot informatie en informatieverwerkingsfaciliteiten.

Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen. Laten we deze vereisten en wat ze betekenen wat dieper begrijpen.

A.9.1.1 Toegangscontrolebeleid

Er moet een toegangscontrolebeleid worden opgesteld, gedocumenteerd en regelmatig herzien, waarbij rekening wordt gehouden met de vereisten van het bedrijf voor de activa in kwestie.

Regels, rechten en beperkingen voor toegangscontrole moeten, samen met de diepgang van de gebruikte controles, de informatiebeveiligingsrisico's rond de informatie weerspiegelen en de bereidheid van de organisatie om deze te beheren. Simpel gezegd gaat toegangscontrole over wie het moet weten, wie er gebruik van moet maken en tot hoeveel toegang ze toegang krijgen.

Toegangscontroles kunnen digitaal en fysiek van aard zijn, bijvoorbeeld toestemmingsbeperkingen voor gebruikersaccounts en beperkingen voor wie toegang heeft tot bepaalde fysieke locaties (in lijn met bijlage A.11 Fysieke en omgevingsbeveiliging). Het beleid moet rekening houden met:

• Beveiligingseisen van bedrijfsapplicaties en aansluiten bij het gebruikte informatieclassificatieschema volgens A.8 Asset Management;
• Maak duidelijk wie toegang moet hebben, weet wie de informatie moet gebruiken – ondersteund door gedocumenteerde procedures en verantwoordelijkheden;
• Beheer van de toegangsrechten en geprivilegieerde toegangsrechten (meer macht – zie hieronder) inclusief het toevoegen van levensveranderingen (bijvoorbeeld controles door supergebruikers/beheerders) en periodieke beoordelingen (bijvoorbeeld door regelmatige interne audits in overeenstemming met vereiste 9.2.
• Regels voor toegangscontrole moeten worden ondersteund door formele procedures en gedefinieerde verantwoordelijkheden;

De toegangscontrole moet worden herzien op basis van verandering in rollen en in het bijzonder tijdens het verlaten, om in overeenstemming te komen met bijlage A.7 Human Resource Security.

A.9.1.2 Toegang tot netwerken en netwerkdiensten

Het beginsel van de minste toegang is de algemene benadering die voor de bescherming de voorkeur verdient, in plaats van onbeperkte toegang en superuser-rechten zonder zorgvuldige overweging.

Als zodanig mogen gebruikers alleen toegang krijgen tot het netwerk en de netwerkdiensten die zij voor hun werk nodig hebben of kennen. Het beleid moet daarom aandacht besteden aan; De netwerken en netwerkdiensten die toegang bieden; Autorisatieprocedures om aan te geven wie (rolgebaseerd) toegang heeft tot wat en wanneer; en Beheercontroles en -procedures om toegang te voorkomen en deze in het leven te monitoren.

Hiermee moet ook rekening worden gehouden tijdens onboarding en offboarding, en hangt nauw samen met het toegangscontrolebeleid zelf.

Wat is het doel van bijlage A.9.2?

Bijlage A.9.2 gaat over gebruikerstoegangsbeheer. Het doel van deze bijlage A-controle is ervoor te zorgen dat gebruikers geautoriseerd zijn om toegang te krijgen tot systemen en diensten en om ongeautoriseerde toegang te voorkomen.

A.9.2.1 Registratie en afmelding van gebruikers

Er moet een formeel gebruikersregistratie- en uitschrijvingsproces worden geïmplementeerd. Een goed proces voor het beheer van gebruikers-ID's omvat het kunnen koppelen van individuele ID's aan echte mensen, en het beperken van gedeelde toegangs-ID's, die moeten worden goedgekeurd en vastgelegd waar dat gebeurt.

Een goed in- en uitstapproces sluit aan bij A7 Human Resource Security om snelle en duidelijke registratie/uitschrijving te laten zien en om te voorkomen dat oude identiteitsbewijzen opnieuw worden uitgegeven. Een regelmatige controle van de ID's zal een goede controle illustreren en het lopende management versterken.

Dat kan worden gekoppeld aan de hierboven genoemde interne audits voor audits van toegangscontrole, en periodieke beoordelingen door de eigenaren van informatiemiddelen of verwerkingsapplicaties.

A.9.2.2 Inrichting van gebruikerstoegang

Er moet een proces (hoe eenvoudig en gedocumenteerd ook) worden geïmplementeerd om toegangsrechten voor alle gebruikerstypen tot alle systemen en diensten toe te wijzen of in te trekken. Als het goed wordt gedaan, sluit het aan bij de bovenstaande punten en bij het bredere HR-beveiligingswerk.

Het leverings- en intrekkingsproces moet het volgende omvatten: Toestemming van de eigenaar van het informatiesysteem of de dienst voor het gebruik van het informatiesysteem of de dienst; Controleren of de verleende toegang relevant is voor de rol die wordt vervuld; en bescherming tegen de inrichting die wordt uitgevoerd voordat de autorisatie is voltooid.

Gebruikerstoegang moet altijd door het bedrijf worden geleid en moet gebaseerd zijn op de vereisten van het bedrijf. Dit klinkt misschien bureaucratisch, maar dat hoeft niet zo te zijn. Effectieve, eenvoudige procedures met op rollen gebaseerde toegang door systemen en diensten kunnen dit probleem oplossen.

A.9.2.3 Beheer van bevoorrechte toegangsrechten

A.9.2.3 gaat over het beheren van doorgaans krachtigere en hogere 'bevoorrechte' toegangsniveaus, bijvoorbeeld machtigingen voor systeembeheer versus normale gebruikersrechten.

De toewijzing en het gebruik van geprivilegieerde toegangsrechten moet streng worden gecontroleerd, gezien de extra rechten die gewoonlijk worden verleend aan informatiemiddelen en de systemen die deze controleren. Bijvoorbeeld de mogelijkheid om werk te verwijderen of de integriteit van de informatie fundamenteel aan te tasten. Het moet aansluiten bij de formele autorisatieprocessen naast het toegangscontrolebeleid.

Dat zou kunnen omvatten; systeem voor systeem duidelijkheid over geprivilegieerde toegangsrechten (die binnen de applicatie kunnen worden beheerd); toewijzing op een ‘need-to-use’-basis, niet op basis van een algemene benadering; Er moet een proces en registratie worden bijgehouden van alle toegewezen rechten (naast de inventaris van informatiemiddelen of als onderdeel van het A.9-bewijsmateriaal); en de competentie van gebruikers aan wie de rechten zijn toegekend, moet regelmatig worden beoordeeld om deze in overeenstemming te brengen met hun taken.

Dit is een ander goed onderdeel om in de interne audit op te nemen om controle aan te tonen.

Een van de grootste factoren die bijdragen aan het falen of inbreken van systemen is het ongepaste en algemene gebruik van systeembeheerrechten, waarbij menselijke fouten tot meer schade of verlies leiden dan wanneer er voor de 'minste toegang'-benadering zou worden gekozen.

Andere goede praktijken op dit gebied zijn onder meer het scheiden van de rol van systeembeheerder en de dagelijkse gebruikersrol en het hebben van een gebruiker met twee accounts als deze verschillende taken op hetzelfde platform uitvoeren.

A.9.2.4 Beheer van geheime authenticatie-informatie van gebruikers

Geheime authenticatie-informatie is een toegangspoort tot waardevolle bezittingen. Het bevat doorgaans wachtwoorden, encryptiesleutels etc. en moet dus worden beheerd via een formeel beheerproces en moet vertrouwelijk worden gehouden voor de gebruiker.

Dit is doorgaans gekoppeld aan arbeidsovereenkomsten en disciplinaire processen (A.7) en leveranciersverplichtingen (A13.2.4 en A.15) als deze worden gedeeld met externe partijen.

Er moeten procedures worden vastgesteld om de identiteit van een gebruiker te verifiëren voordat nieuwe, vervangende of tijdelijke geheime authenticatie-informatie wordt verstrekt. Alle standaard geheime authenticatie-informatie die wordt verstrekt als onderdeel van een nieuw systeemgebruik moet zo snel mogelijk worden gewijzigd.

A.9.2.5 Beoordeling van gebruikerstoegangsrechten

Eigenaars van bedrijfsmiddelen moeten de toegangsrechten van gebruikers met regelmatige tussenpozen beoordelen, zowel wat betreft individuele wijzigingen (on-boarding, verandering van rol en exit) als bredere audits van de systeemtoegang.

Autorisaties voor geprivilegieerde toegangsrechten moeten met frequentere tussenpozen worden herzien, gezien het hogere risico dat zij met zich meebrengen. Dit sluit aan bij 9.2 voor interne audits en zou minimaal jaarlijks moeten plaatsvinden of wanneer er grote veranderingen plaatsvinden.

A.9.2.6 Verwijdering of aanpassing van toegangsrechten

Zoals hierboven uiteengezet moeten de toegangsrechten van alle werknemers en externe gebruikers tot informatie en informatieverwerkingsfaciliteiten worden verwijderd bij beëindiging van hun dienstverband, contract of overeenkomst (of indien nodig aangepast bij verandering van rol).

Een goed exitbeleid en goede procedures, aansluitend op A.7, zullen er ook voor zorgen dat dit wordt bereikt en aangetoond voor auditdoeleinden wanneer mensen vertrekken.

Wat is het doel van bijlage A.9.3?

Bijlage A.9.3 gaat over de verantwoordelijkheden van gebruikers. Het doel van deze bijlage A-controle is om gebruikers verantwoordelijk te maken voor het beschermen van hun authenticatie-informatie.

A.9.3.1 Gebruik van geheime authenticatie-informatie

Het gaat er eenvoudigweg om ervoor te zorgen dat gebruikers het beleid volgen en daarom aansluiten bij A7 Human Resource Security voor contracten, gebruikerseducatie voor bewustzijn en naleving, evenals gezond verstand.

Deze omvatten: Houd alle geheime authenticatie-informatie vertrouwelijk; Vermijd het bijhouden van een register dat toegankelijk is voor onbevoegde partijen; Verander het wanneer er enige suggestie is van een mogelijk compromis; selecteer kwaliteitswachtwoorden met voldoende minimale lengte en sterkte om de bredere wachtwoordbeleidscontroles in bijlage A.9.4 te volgen.

Wat is het doel van bijlage A.9.4?

Bijlage A.9.4 gaat over systeem- en applicatietoegangscontrole. Het doel van deze Annex A-controle is het voorkomen van ongeautoriseerde toegang tot systemen en applicaties.

A.9.4.1 Beperking van toegang tot informatie

Toegang tot informatie en applicatiesysteemfuncties moeten worden gekoppeld aan het toegangscontrolebeleid. Belangrijke overwegingen moeten zijn:

Deze omvatten:

• Rolgebaseerde toegangscontrole (RBAC);
• Toegangsniveaus;
• Ontwerp van “menu”-systemen binnen applicaties;
• Machtigingen lezen, schrijven, verwijderen en uitvoeren;
• Het beperken van de output van informatie; En
• Fysieke en/of logische toegangscontroles tot gevoelige applicaties, data en systemen.

De auditor zal controleren of er overwegingen zijn gemaakt voor het beperken van de toegang binnen systemen en applicaties die het toegangscontrolebeleid, de bedrijfsvereisten, de risiconiveaus en de scheiding van taken ondersteunen.

A.9.4.2 Veilige aanmeldingsprocedures

De toegang tot systemen en applicaties moet worden gecontroleerd via een veilige inlogprocedure om de identiteit van de gebruiker te bewijzen.

Dit kan verder gaan dan de typische wachtwoordbenadering en kan ook meervoudige authenticatie, biometrie, smartcards en andere encryptiemiddelen omvatten, afhankelijk van het risico dat in overweging wordt genomen.

Veilig inloggen moet zo worden ontworpen dat het niet gemakkelijk kan worden omzeild en dat alle authenticatie-informatie gecodeerd wordt verzonden en opgeslagen om onderschepping en misbruik te voorkomen.

ISO 27002-richtlijnen zijn belangrijk rond dit onderwerp, net als gespecialiseerde instanties zoals het Nationaal Cyber ​​Security Centrum (NCSC). Aanvullende tips zijn onder meer:

• Inlogprocedures moeten zo worden ontworpen dat ze niet gemakkelijk kunnen worden omzeild en dat alle authenticatie-informatie gecodeerd wordt verzonden en opgeslagen om onderschepping en misbruik te voorkomen.
• Aanmeldingsprocedures moeten ook een display bevatten waarop staat dat toegang alleen voor geautoriseerde gebruikers is. Dit is bedoeld ter ondersteuning van cyberbeveiligingswetgeving zoals de
• Computermisbruikwet 1990 (VK).
• Zowel een succesvolle als een mislukte aan- en afmelding moeten op een veilige manier worden geregistreerd om forensisch bewijsmateriaal te bieden, en er moet rekening worden gehouden met waarschuwingen voor mislukte pogingen en mogelijke uitsluitingen.
• Afhankelijk van de aard van het systeem moet de toegang worden beperkt tot bepaalde tijdstippen of tijdsperioden en mogelijk zelfs worden beperkt op basis van de locatie.

In de praktijk zouden de bedrijfsbehoeften en informatie die gevaar loopt de aan- en afmeldprocedures moeten aansturen. Het is niet de moeite waard om in 25 stappen in te loggen en vervolgens snelle time-outs te hebben enz. als het personeel dan niet in staat is zijn werk goed te doen en onevenredig veel tijd in deze lus doorbrengt.

A.9.4.3 Wachtwoordbeheersysteem

Het doel van een wachtwoordbeheersysteem is ervoor te zorgen dat kwaliteitswachtwoorden aan het vereiste niveau voldoen en consistent worden toegepast.

Systemen voor het genereren en beheren van wachtwoorden bieden een goede manier om de toegangsverlening te centraliseren en verminderen het risico dat mensen voor alles dezelfde login gebruiken, zoals geïllustreerd in dit kleine verhaal over wat er gebeurt als een klant contact opneemt met ons team over een vergeten wachtwoord !

Zoals bij elk controlemechanisme moeten systemen voor het genereren en beheren van wachtwoorden zorgvuldig worden geïmplementeerd om adequate en evenredige beschermingsniveaus te garanderen.

Waar mogelijk moeten gebruikers hun eigen wachtwoorden kunnen kiezen, omdat dit ze gemakkelijker te onthouden maakt dan door machines gegenereerde wachtwoorden. Het wachtwoord moet echter wel een bepaald niveau van sterkte hebben.

Er zijn veel tegenstrijdige opvattingen over wachtwoordbeheersystemen en wachtwoordbeleid. Daarom moedigen we organisaties aan om naar de vaak veranderende best practices te kijken en benaderingen te hanteren die zijn gebaseerd op de risicobereidheid en -cultuur van de organisatie.

Zoals hierboven vermeld, is NCSC een goede plek om de nieuwste praktijken te bekijken of ons eenvoudigweg te vragen u voor hulp voor te stellen aan een van onze partners.

A.9.4.4 Gebruik van bevoorrechte hulpprogramma's

Computerprogramma's die mogelijk systeem- en applicatiecontroles kunnen omzeilen, moeten zorgvuldig worden beheerd.

Krachtige systeem- en netwerkhulpprogramma's kunnen een aantrekkelijk doelwit vormen voor kwaadwillende aanvallers en de toegang daartoe moet worden beperkt tot een zo klein mogelijk aantal mensen. Omdat dergelijke hulpprogramma's gemakkelijk van internet kunnen worden gevonden en gedownload, is het ook belangrijk dat gebruikers zoveel mogelijk worden beperkt in hun mogelijkheden om software te installeren, rekening houdend met de zakelijke vereisten en risicobeoordeling. Het gebruik van hulpprogramma's moet periodiek worden geregistreerd en gecontroleerd/beoordeeld om aan verzoeken van auditors te voldoen.

A.9.4.5 Toegangscontrole tot programmabroncode

De toegang tot de broncode van het programma moet worden beperkt. Toegang tot de broncode van programma's en bijbehorende items (zoals ontwerpen, specificaties, verificatieplannen en validatieplannen) moet strikt worden gecontroleerd.

De broncode van programma's kan kwetsbaar zijn voor aanvallen als deze niet voldoende wordt beschermd, en kan een aanvaller een goed middel bieden om systemen op een vaak geheime manier in gevaar te brengen. Als de broncode cruciaal is voor het zakelijke succes, kan het verlies ervan ook de bedrijfswaarde snel vernietigen.

Bij de controles moet aandacht worden besteed aan:

• Zo min mogelijk mensen hebben toegang
• Broncode buiten operationele systemen houden (alleen gecompileerde code)
• Toegang tot de broncode wordt zo beperkt mogelijk (deny-by-default)
• Toegang tot de broncode die wordt vastgelegd en de logboeken worden periodiek beoordeeld
• Sterke en strikte change control-procedures
• Frequente audits en beoordelingen

Waarom is bijlage A.9 belangrijk?

Bijlage A.9 is waarschijnlijk de meest besproken clausule in heel bijlage A, en sommigen beweren dat dit de belangrijkste is.

Dit komt omdat uw hele Information Security Management System (ISMS) erop gericht is ervoor te zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Dat goed doen is een van de sleutels tot succes, maar als het fout gaat, kan dit een enorme impact hebben op uw bedrijf.

Stel je voor dat je per ongeluk toegang hebt gegeven tot vertrouwelijke werknemersinformatie aan de verkeerde mensen, bijvoorbeeld door te onthullen wat iedereen in het bedrijf betaald krijgt.

De gevolgen als dit onderdeel verkeerd wordt uitgevoerd, kunnen aanzienlijk zijn, dus het is de moeite waard om er voldoende tijd aan te besteden om er goed over na te denken.