ISO 27001:2022 Bijlage A 5.16 – Identiteitsbeheer

Wat doet ISO 27001:2022 bijlage A 5.16?

Het doel van bijlage A 5.16 is te beschrijven hoe een organisatie kan identificeren wie (gebruikers, groepen gebruikers) of wat (toepassingen, systemen en apparaten) op een bepaald moment toegang heeft tot gegevens of IT-middelen, en hoe deze identiteiten toegangsrechten krijgen.

Als preventieve maatregel heeft bijlage A 5.16 tot doel risico behouden door het vaststellen van de hoofdperimeter voor alle daarmee samenhangende informatiebeveiliging en cyberbeveiligingsoperaties, evenals de primaire wijze van bestuur die het identiteits- en toegangsbeheerproces van een organisatie bepaalt.

Eigendom van bijlage A 5.16

Aangezien ISO 27001:2022 bijlage A 5.16 in de eerste plaats dient als onderhoudsfunctie, moet het eigendom worden overgedragen aan IT-personeel met Global Administrator-rechten (of gelijkwaardig voor niet-Windows-infrastructuur).

Naast andere ingebouwde rollen waarmee gebruikers identiteiten kunnen beheren (zoals Domeinbeheerder), moet Bijlage A 5.16 eigendom zijn van de persoon die verantwoordelijk is voor het gehele netwerk van de organisatie, inclusief alle subdomeinen en Active Directory-tenants.

Algemene richtlijn voor ISO 27001:2022 bijlage A 5.16

Naleving van bijlage A 5.16 wordt bereikt door op identiteit gebaseerde procedures helder uit te drukken in beleidsdocumenten en door dagelijks toezicht te houden op de naleving door het personeel.

In bijlage A 5.16 zijn zes procedures opgesomd om ervoor te zorgen dat een organisatie voldoet aan de vereiste normen op het gebied van infosec en cybersecurity-governance:

1. Wanneer een identiteit aan een persoon wordt toegewezen, is die persoon de enige die zich kan authenticeren met die identiteit en/of deze kan gebruiken bij toegang tot netwerkbronnen.

Het bereiken van compliance betekent dat het IT-beleid duidelijk moet bepalen dat gebruikers geen inloggegevens mogen delen, of andere gebruikers mogen toestaan ​​op het netwerk te zwerven met een andere identiteit dan de identiteit die zij hebben gekregen.

2. In sommige gevallen kan het nodig zijn om aan meerdere personen één identiteit toe te kennen, ook wel een ‘gedeelde identiteit’ genoemd. Gebruik deze aanpak alleen als er een expliciete reeks operationele vereisten nodig is.

Om naleving te bereiken moet de registratie van gedeelde identiteiten afzonderlijk worden afgehandeld van de registratie van één gebruiker, met een speciaal goedkeuringsproces.

3. 'Niet-menselijke' entiteiten (elke identiteit die niet aan een echte persoon is gekoppeld) moeten bij registratie anders worden behandeld dan op gebruikers gebaseerde identiteiten.

Een niet-menselijke identiteit moet ook een eigen goedkeurings- en registratieproces hebben, waarbij het fundamentele verschil wordt erkend tussen het toekennen van een identiteit aan een persoon en het toekennen van een identiteit aan een asset, applicatie of apparaat.

4. Bij vertrek, overtollige assets of andere niet-vereiste identiteiten dient een netwerkbeheerder deze uit te schakelen of volledig te verwijderen.

De IT-afdeling moet regelmatig audits uitvoeren om te bepalen welke identiteiten worden gebruikt en welke entiteiten kunnen worden opgeschort of verwijderd. Het is belangrijk voor HR-personeel om identiteitsbeheer op te nemen in offboarding-procedures, en om IT-personeel onmiddellijk te informeren wanneer een vertrekkende medewerker vertrekt.

5. Het is absoluut noodzakelijk om dubbele identiteiten koste wat het kost te vermijden. De regel 'één entiteit, één identiteit' moet door alle organisaties worden gevolgd.

Om hieraan te voldoen moet IT-personeel ervoor zorgen dat entiteiten geen toegangsrechten krijgen op basis van meer dan één identiteit bij het toewijzen van rollen binnen een netwerk.

6. Identiteitsbeheer en authenticatie informatie moeten voor alle ‘significante gebeurtenissen’ adequaat worden gedocumenteerd.

Het is mogelijk om de term ‘significante gebeurtenis’ anders te interpreteren, maar op een fundamenteel niveau moeten organisaties ervoor zorgen dat hun governance-procedures op elk moment een uitgebreide lijst van toegewezen identiteiten omvatten, robuuste protocollen voor wijzigingsverzoeken met de juiste goedkeuringsprocedures, en een goedgekeurd wijzigingsverzoekprotocol.

Aanvullend aanvullend richtsnoer voor bijlage A 5.16

Bij het creëren van een identiteit en het verlenen van toegang tot netwerkbronnen vermeldt bijlage A 5.16 ook vier stappen die bedrijven moeten volgen (het wijzigen of verwijderen van toegangsrechten wordt weergegeven in ISO 27001:2022 Bijlage A 5.18):

1. Voordat u een identiteit creëert, moet u een business case opstellen.

Elke keer dat er een identiteit wordt gecreëerd, wordt identiteitsbeheer exponentieel uitdagender. Het is raadzaam dat organisaties alleen nieuwe identiteiten creëren als dit duidelijk noodzakelijk is.

2. Zorg ervoor dat de entiteit (menselijk of niet-menselijk) waaraan een identiteit is toegewezen, onafhankelijk is geverifieerd.

Procedures voor identiteits- en toegangsbeheer moeten ervoor zorgen dat, zodra de business case is goedgekeurd, een individu of asset die een nieuwe identiteit ontvangt, de vereiste autoriteit heeft voordat een identiteit wordt gecreëerd.

3. Een identiteit creëren

Uw IT-personeel zou dat moeten doen een identiteit opbouwen die aansluit bij de business case en moet beperkt blijven tot wat wordt beschreven in de documentatie van eventuele wijzigingsverzoeken.

4. De laatste configuratiestappen voor een identiteit

Als laatste stap in het proces wordt een identiteit toegewezen aan elk van de op toegang gebaseerde machtigingen en rollen (RBAC) en aan eventuele vereiste authenticatieservices.

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

ISO 27001:2022 Bijlage A 5.16 vervangt ISO 27001:2013 A.9.2.1 (voorheen bekend als 'Gebruikersregistratie en uitschrijving').

Hoewel de twee controles enkele opvallende overeenkomsten vertonen – voornamelijk wat betreft onderhoudsprotocollen en het deactiveren van overtollige ID’s – bevat bijlage A 5.16 een uitgebreide reeks richtlijnen die betrekking hebben op identiteits- en toegangsbeheer als geheel.

Bijlage A 5.16 Menselijke versus niet-menselijke identiteiten uitgelegd

Er zijn enkele verschillen tussen de bijlage van 2022 en zijn voorganger, in die zin dat ondanks verschillen in registratieprocessen mensen en niet-mensen niet langer afzonderlijk worden behandeld als het gaat om algemeen netwerkbeheer.

Sinds de komst van modern identiteits- en toegangsbeheer en op Windows gebaseerde RBAC-protocollen is het in IT-governance en best practice-richtlijnen gebruikelijker geworden om door elkaar te praten over menselijke en niet-menselijke identiteiten.

In bijlage A 9.2.1 van ISO 27001:2013 staan ​​geen richtlijnen voor het beheren van niet-menselijke identiteiten, en de tekst heeft alleen betrekking op het beheren van wat zij 'Gebruikers-ID's' noemt (dwz inloggegevens samen met een wachtwoord dat wordt gebruikt om toegang te krijgen tot een netwerk).

ISO 27001:2022 Bijlage A 5.16 Documentatie

Bijlage A 5.16 biedt expliciete richtlijnen over zowel de algemene veiligheidsimplicaties van identiteitsbeheer, als over de manier waarop organisaties informatie moeten vastleggen en verwerken voorafgaand aan het toekennen van identiteiten, en gedurende de hele levenscyclus van de identiteit.

Ter vergelijking: ISO 27001:2013 A.9.2.1 vermeldt slechts kort de rol van IT-governance die het beheer van identiteiten omringt, en beperkt zich tot de fysieke praktijk van identiteitsbeheer.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Hoe ISMS.online u helpt om naleving van bijlage A 5.16 te bereiken

Zolang u de processen van uw beveiligingsbeheersysteem bijwerkt om de verbeterde controles weer te geven, voldoet u aan ISO 27001:2022. Indien u zelf niet over de benodigde middelen beschikt, kan dit door ISMS.online worden afgehandeld.

We vereenvoudigen de implementatie van ISO 27001:2022 via onze intuïtieve workflow en tools, inclusief raamwerken, beleid, controles, bruikbare documentatie en begeleiding. Met onze cloudgebaseerde software kunt u al uw ISMS-oplossingen in een plaats.

Met ons platform kunt u de reikwijdte van uw ISMS, identificeer risico's en implementeer eenvoudig controles.

Wilt u meer weten over hoe ISMS.online u kan helpen bij het behalen van uw ISO 27001-doelstellingen? Neem vandaag nog contact op om een ​​demo te boeken.