ISO 27001:2022 Bijlage A 5.15 – Toegangscontrole

Toegangscontrolebeleid

Om de toegang tot activa binnen de reikwijdte van een organisatie te beheren, moet een toegangscontrolebeleid worden ontwikkeld, gedocumenteerd en periodiek herzien.

Toegangscontrole regelt hoe menselijke en niet-menselijke entiteiten op een netwerk toegang krijgen tot gegevens, IT-bronnen en applicaties.

Informatiebeveiligingsrisico's die verband houden met de informatie en de bereidheid van de organisatie om deze te beheren moeten worden weerspiegeld in de regels, rechten en beperkingen en de diepte van de gebruikte controles. Het is eenvoudigweg een kwestie van beslissen wie toegang heeft tot wat, hoeveel, en wie niet.

Het is mogelijk om digitale en fysieke toegangscontroles in te stellen, zoals het beperken van gebruikersaccountrechten of het beperken van de toegang tot specifieke fysieke locaties (in lijn met bijlage A.7 Fysieke en omgevingsbeveiliging). Het beleid moet rekening houden met de volgende overwegingen:

• Het is essentieel om de beveiligingsvereisten van bedrijfsapplicaties in lijn te brengen met het informatieclassificatieschema dat wordt gebruikt volgens bijlage A 5.9, 5.10, 5.11, 5.12, 5.13 en 7.10 met betrekking tot Asset Management.
• Identificeer wie toegang tot, kennis van en gebruik van informatie nodig heeft – vergezeld van duidelijk gedefinieerde procedures en verantwoordelijkheden.
• Zorg ervoor dat toegangsrechten en privileges toegangsrechten (meer macht – zie hieronder) worden effectief beheerd, inclusief de toevoeging van veranderingen in het leven (bijv. controles voor supergebruikers/beheerders) en periodieke beoordelingen (bijv. periodieke interne audits per vereiste bijlage A 5.15, 5.16, 5.17, 5.18 & 8.2).
• Een formele procedure en gedefinieerde verantwoordelijkheden moeten de regels voor toegangscontrole ondersteunen.

Het is van cruciaal belang om de toegangscontrole te herzien als de rollen veranderen, vooral tijdens het verlaten, om te voldoen aan bijlage A.7 Human Resource Security.

Netwerken en netwerkdiensten zijn beschikbaar voor gebruikers

Een algemene benadering van bescherming is die van de minste toegang in plaats van onbeperkte toegang en superuser-rechten zonder zorgvuldige overweging.

Bijgevolg mogen gebruikers alleen toegang krijgen tot netwerken en netwerkdiensten die nodig zijn om hun verantwoordelijkheden te vervullen. Het beleid moet gericht zijn op; De netwerken en netwerkdiensten die toegang bieden; Autorisatieprocedures om aan te geven wie (rolgebaseerd) toegang krijgt tot wat en wanneer; en Beheercontroles en -procedures om toegang te voorkomen en te monitoren in geval van een incident.

Bij on-boarding en off-boarding moet ook rekening worden gehouden met deze kwestie, die nauw verband houdt met het toegangscontrolebeleid.

Doel van ISO 27001:2022 Bijlage A 5.15

Als preventieve controle verbetert bijlage A 5.15 het onderliggende vermogen van een organisatie om de toegang tot gegevens en middelen te controleren.

Een betonnen set commerciële en informatiebeveiliging Aan de behoeften moet worden voldaan voordat toegang tot hulpbronnen kan worden verleend en gewijzigd onder Bijlage A Controle 5.15.

ISO 27001 Annex A 5.15 biedt richtlijnen voor het faciliteren van veilige toegang tot gegevens en het minimaliseren van het risico van ongeautoriseerde toegang tot fysieke en virtuele netwerken.

Eigendom van bijlage A 5.15

Zoals blijkt uit bijlage A 5.15 is het managementpersoneel in verschillende delen van een De organisatie moet een grondig inzicht behouden tot welke bronnen toegang moet worden verkregen (bijvoorbeeld naast het feit dat HR werknemers informeert over hun functierollen, die hun RBAC-parameters dicteren, zijn toegangsrechten uiteindelijk een onderhoudsfunctie die wordt beheerd door netwerkbeheerders.

Het eigendom van een organisatie moet berusten bij een lid van het senior management dat de overkoepelende technische autoriteit heeft over de domeinen, subdomeinen, applicaties, bronnen en activa van het bedrijf. Dit zou het hoofd IT kunnen zijn.

Algemene richtlijn voor ISO 27001:2022 bijlage 5.15

Voor naleving van ISO 27001:2022 Annex A Controle 5.15 is een onderwerpspecifieke aanpak van toegangscontrole vereist (beter bekend als een probleemspecifieke aanpak).

In plaats van zich te houden aan een algemeen toegangscontrolebeleid dat van toepassing is op de toegang tot bronnen en gegevens in de hele organisatie, moedigen onderwerpspecifieke benaderingen organisaties aan om toegangscontrolebeleid te creëren dat gericht is op individuele bedrijfsfuncties.

Voor alle onderwerpspecifieke gebieden vereist Bijlage A Controle 5.15 dat beleid met betrekking tot toegangscontrole rekening houdt met de 11 onderstaande punten. Sommige van deze richtlijnen overlappen met ander beleid.

Als richtlijn dienen organisaties de begeleidende controles te raadplegen voor meer informatie per geval:

• Identificeer welke entiteiten toegang nodig hebben tot bepaalde activa en informatie.
• Het bijhouden van de functierollen en vereisten voor gegevenstoegang in overeenstemming met de organisatiestructuur van uw organisatie is de gemakkelijkste manier om naleving te garanderen.
• Beveiliging en integriteit van alle relevante applicaties (gekoppeld aan Controle 8.2).
• Er zou een formele risicobeoordeling kunnen worden uitgevoerd om de beveiligingskenmerken van individuele applicaties te beoordelen.
• De controle van fysieke toegang tot een site (links met controles 7.2, 7.3 en 7.4).
• Als onderdeel van uw nalevingsprogramma moet uw organisatie beschikken over een robuuste reeks toegangscontroles voor gebouwen en ruimtes, inclusief beheerde toegangssystemen, beveiligingsperimeters en bezoekersprocedures, indien van toepassing.
• Als het gaat om de distributie, beveiliging en categorisering van informatie, moet het ‘need to know’-principe in de hele organisatie worden toegepast (gekoppeld aan 5.10, 5.12 en 5.13).
• Bedrijven moeten zich houden aan een strikt best-practicebeleid dat geen algemene toegang biedt tot gegevens binnen de hiërarchie van een organisatie.
• Zorg ervoor dat bevoorrechte toegangsrechten beperkt zijn (gerelateerd aan 8.2).
• De toegangsrechten van gebruikers die toegang krijgen tot gegevens die verder gaan dan die van een standaardgebruiker, moeten worden gecontroleerd en gecontroleerd.
• Zorg ervoor dat de geldende wetgeving, sectorspecifieke regelgevingsrichtlijnen of contractuele verplichtingen met betrekking tot gegevenstoegang worden nageleefd (zie 5.31, 5.32, 5.33, 5.34 en 8.3).
• Het toegangscontrolebeleid van een organisatie wordt aangepast aan externe verplichtingen met betrekking tot gegevenstoegang, activa en bronnen.
• Houd potentiële belangenconflicten in de gaten.
• Het beleid moet controles omvatten om te voorkomen dat een individu een bredere toegangscontrolefunctie in gevaar brengt op basis van zijn toegangsniveaus (dwz een werknemer die wijzigingen aan een netwerk kan aanvragen, autoriseren en implementeren).
• Een toegangscontrolebeleid moet de drie belangrijkste functies – verzoeken, autorisaties en beheer – onafhankelijk aanpakken.
• Een beleid voor toegangscontrole moet erkennen dat het, ondanks zijn op zichzelf staande karakter, uit verschillende afzonderlijke stappen bestaat, die elk hun eigen vereisten bevatten.
• Om naleving van de vereisten van 5.16 en 5.18 te garanderen, moeten verzoeken om toegang op een gestructureerde, formele manier worden uitgevoerd.
• Organisaties moeten formele autorisatieprocessen implementeren die formele, gedocumenteerde goedkeuring van het juiste personeel vereisen.
• Toegangsrechten voortdurend beheren (gekoppeld aan 5.18).
• Om de data-integriteit en veiligheidsperimeters te behouden, zijn periodieke audits, HR-toezicht (verlaters, enz.) en functiespecifieke veranderingen (bijvoorbeeld afdelingsverhuizingen en veranderingen in rollen) vereist.
• Het bijhouden van adequate logbestanden en het controleren van de toegang daartoe. Naleving – Organisaties moeten gegevens verzamelen en opslaan over toegangsgebeurtenissen (bijv. bestandsactiviteit), bescherming bieden tegen ongeoorloofde toegang tot logboeken van beveiligingsgebeurtenissen, en een uitgebreid incidentbeheer strategie.

Aanvullend richtsnoer bij bijlage 5.15

Volgens de aanvullende richtlijnen noemt ISO 27001:2022 Annex A Controle 5.15 (zonder zich te beperken tot) vier verschillende soorten toegangscontrole, die grofweg als volgt kunnen worden geclassificeerd:

• Verplichte toegangscontrole (MAC) – De toegang wordt centraal beheerd door één enkele beveiligingsautoriteit.
• Een alternatief voor MAC is discretionaire toegangscontrole (DAC), waarbij de eigenaar van het object anderen rechten binnen het object kan verlenen.
• Een toegangscontrolesysteem gebaseerd op vooraf gedefinieerde taakfuncties en privileges wordt Role-based Access Control (RBAC) genoemd.
• Met behulp van Attribute-Based Access Control (ABAC) worden gebruikerstoegangsrechten verleend op basis van beleid dat kenmerken combineert.

Richtlijnen voor het implementeren van regels voor toegangscontrole

We hebben de regels voor toegangscontrole besproken als zijnde toegekend aan verschillende entiteiten (menselijke en niet-menselijke) die binnen een netwerk opereren, aan wie rollen zijn toegewezen die hun algemene functie definiëren.

Bij het definiëren en uitvoeren van het toegangscontrolebeleid van uw organisatie wordt u in bijlage A 5.15 gevraagd de volgende vier factoren in overweging te nemen:

1. Er moet consistentie worden gehandhaafd tussen de gegevens waarop het toegangsrecht betrekking heeft en het soort toegangsrecht.
2. Het is essentieel om consistentie te garanderen tussen de toegangsrechten van uw organisatie en de fysieke beveiligingsvereisten (perimeters, enz.).
3. Bij toegangsrechten in een gedistribueerde computeromgeving (zoals een cloudgebaseerde omgeving) wordt rekening gehouden met de implicaties van gegevens die zich in een breed spectrum van netwerken bevinden.
4. Denk eens na over de implicaties van dynamische toegangscontroles (een gedetailleerde methode voor toegang tot een gedetailleerde reeks variabelen, geïmplementeerd door een systeembeheerder).

Verantwoordelijkheden definiëren en het proces documenteren

Volgens ISO 27001:2022 Annex A Control 5.15 moeten organisaties een gestructureerde lijst met verantwoordelijkheden en documentatie ontwikkelen en bijhouden. Er zijn talloze overeenkomsten tussen de volledige lijst van beheersmaatregelen van ISO 27001:2022, waarbij bijlage A 5.15 de meest relevante eisen bevat:

Documentatie

• ISO 27001:2022 Bijlage A 5.16
• ISO 27001:2022 Bijlage A 5.17
• ISO 27001:2022 Bijlage A 5.18
• ISO 27001:2022 Bijlage A 8.2
• ISO 27001:2022 Bijlage A 8.3
• ISO 27001:2022 Bijlage A 8.4
• ISO 27001:2022 Bijlage A 8.5
• ISO 27001:2022 Bijlage A 8.18

Verantwoordelijkheden

• ISO 27001:2022 Bijlage A 5.2
• ISO 27001:2022 Bijlage A 5.17

granularity

Controle 5.15 van bijlage A biedt organisaties aanzienlijke vrijheid bij het specificeren van de granulariteit van hun toegangscontrolebeleid.

Over het algemeen adviseert ISO bedrijven om hun oordeel te gebruiken over hoe gedetailleerd een bepaalde reeks regels per werknemer moet zijn en hoeveel variabelen op een bepaald stuk informatie moeten worden toegepast.

Concreet erkent bijlage A 5.15 dat hoe gedetailleerder het toegangscontrolebeleid van een bedrijf is, hoe hoger de kosten en hoe uitdagender het concept van toegangscontrole wordt voor meerdere locaties, netwerktypen en applicatievariabelen.

Toegangscontrole kan, tenzij zorgvuldig beheerd, zeer snel uit de hand lopen. Het is verstandig om de regels voor toegangscontrole te vereenvoudigen, zodat ze eenvoudiger te beheren en kosteneffectiever zijn.

Case studies

MIRACL verandert vertrouwen in een concurrentievoordeel met ISO 27001-certificering

Lees case study

Case studies

Xergy's tool Proteus genereert groei door naleving van ISO 27001 met behulp van ISMS.online

Lees case study

← →

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

Bijlage A 5.15 in 27001:2022 is een samenvoeging van twee vergelijkbare controles in 27001:2013 – Bijlage A 9.1.1 (Toegangscontrolebeleid) en bijlage A 9.1.2 (Toegang tot netwerken en netwerkdiensten).

De onderliggende thema's van A.9.1.1 en A.9.1.2 zijn vergelijkbaar met die in bijlage A 5.15, afgezien van enkele subtiele operationele verschillen.

Net als in 2022 hebben beide controles betrekking op het beheer van de toegang tot informatie, activa en middelen en werken ze volgens het principe van ‘need to know’, waarbij bedrijfsgegevens worden behandeld als handelswaar die zorgvuldig beheer en bescherming vereisen.

Er zijn 11 richtlijnen in 27001:2013 Bijlage A 9.1.1, die allemaal dezelfde algemene principes volgen als 27001:2022 Bijlage A Controle 5.15, met een iets grotere nadruk op perimeterbeveiliging en fysieke beveiliging.

Er zijn over het algemeen dezelfde implementatierichtlijnen voor toegangscontrole, maar de 2022-controle biedt veel beknoptere en praktischere richtlijnen voor de vier implementatierichtlijnen.

Soorten toegangscontroles gebruikt in ISO 27001:2013 bijlage A 9.1.1 zijn veranderd

Zoals vermeld in ISO 27001 Annex A 5.15 zijn er de afgelopen negen jaar verschillende vormen van toegangscontrole ontstaan ​​(MAC, DAC, ABAC), terwijl in 27001:2013 Annex A Control 9.1.1 de belangrijkste methode van commerciële toegangscontrole destijds tijd was RBAC.

Niveau van granulariteit

De controles van 2013 moeten zinvolle richtlijnen bevatten voor hoe een organisatie gedetailleerde toegangscontroles moet aanpakken in het licht van technologische veranderingen die organisaties meer controle over hun gegevens bieden.

Daarentegen biedt Annex A 5.15 van 27001:2022 organisaties aanzienlijke flexibiliteit.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Hoe kan ISMS.online helpen?

Bijlage A 5.15 van ISO 27001:2022 is waarschijnlijk de meest besproken clausule in bijlage A, en sommigen beweren dat dit de belangrijkste is.

Uw Information Security Management System (ISMS) heeft tot doel ervoor te zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Een van de sleutels tot succes is dat u dit goed doet, maar als u het verkeerd doet, kan dit negatieve gevolgen hebben voor uw bedrijf.

Denk eens aan het scenario waarin u per ongeluk vertrouwelijke werknemersinformatie aan de verkeerde mensen openbaart, zoals wat iedereen in de organisatie krijgt betaald.

Als u niet oppast, kunnen de gevolgen van het verkeerd uitvoeren van dit onderdeel ernstig zijn. Daarom is het absoluut noodzakelijk om de tijd te nemen om alle aspecten zorgvuldig te overwegen voordat u verdergaat.

In dit verband, ons platform kan een echte aanwinst zijn. Dit komt omdat het de volledige structuur van ISO 27001 volgt en u in staat stelt de inhoud die wij u aanbieden over te nemen, aan te passen en te verrijken, waardoor u een aanzienlijke voorsprong krijgt.

Verkrijg een vandaag nog gratis demo van ISMS.online.