Wat is het doel van controle 5.15
Volgens de aanvullende richtlijnen vermeldt Controle 5.15 (maar beperkt zich niet tot) vier verschillende soorten toegangscontrole, die grofweg als volgt kunnen worden geclassificeerd:
- Verplichte toegangscontrole (MAC) – De toegang wordt centraal beheerd door één beveiligingsautoriteit.
- Discretionaire toegangscontrole (DAC) – De tegenovergestelde methode van MAC, waarbij objecteigenaren rechten kunnen doorgeven aan andere gebruikers.
- Op rollen gebaseerde toegangscontrole (RBAC) – Het meest voorkomende type commerciële toegangscontrole, gebaseerd op vooraf gedefinieerde taakfuncties en privileges.
- Op attributen gebaseerde toegangscontrole (ABAC) – Toegangsrechten worden aan gebruikers verleend door het gebruik van beleid dat kenmerken combineert.
5.15 is een preventieve controle die houdt het risico in stand door het onderliggende vermogen van een organisatie te verbeteren om de toegang tot gegevens en activa te controleren.
5.15 stelt expliciet dat toegang tot hulpbronnen moet worden verleend en gewijzigd op basis van een concrete reeks commerciële en informatiebeveiligingsvereisten.
Organisaties moeten 5.15 implementeren om veilige toegang tot gegevens te vergemakkelijken en het risico van ongeautoriseerde toegang tot hun netwerk – of dit nu fysiek of virtueel is – te minimaliseren.
Kenmerken van controle 5.15
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Identiteits- en toegangsbeheer | #Bescherming |
| #Integriteit | ||||
| #Beschikbaarheid |
Eigendom
Hoewel 5.15 erop vertrouwt dat leidinggevenden uit verschillende delen van een organisatie een grondig inzicht behouden in wie toegang nodig heeft tot welke bronnen (dwz HR informeert over de functie van een werknemer, die op zijn beurt hun RBAC-parameters dicteert), zijn toegangsrechten uiteindelijk een onderhoudsfunctie die worden beheerd door personeel met beheerdersrechten over een bepaald netwerk.
Als zodanig moet het eigendom van 5.15 berusten bij een lid van het senior management met overkoepelende technische autoriteit over de domeinen, subdomeinen, applicaties, bronnen en activa van een organisatie, zoals een hoofd IT.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijnen
Naleving van Controle 5.15 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot toegangscontrole (beter bekend als een 'probleemspecifieke' aanpak).
Themaspecifieke benaderingen moedigen organisaties aan om Access te creëren Controlebeleid die zijn afgestemd op individuele bedrijfsfuncties, in plaats van zich te houden aan een algemeen toegangscontrolebeleid dat van toepassing is op de toegang tot gegevens en bronnen over de hele linie.
Control 5.15 vereist dat het toegangscontrolebeleid voor alle onderwerpspecifieke gebieden rekening houdt met de volgende 11 richtlijnen. Sommige van de onderstaande begeleidingspunten kruisen verschillende andere bedieningselementen, die ter referentie worden vermeld.
Organisaties moeten deze begeleidende controles geval per geval raadplegen voor meer informatie.
- Bepaal welke entiteiten toegang nodig hebben tot bepaalde delen van informatie en/of activa.
Compliant – Dit kunt u eenvoudig bereiken door nauwkeurig de functies en vereisten voor gegevenstoegang bij te houden, die in lijn zijn met uw organisatiestructuur.
- De integriteit en veiligheid van alle relevante applicaties (gekoppeld aan Controle 8.2)
Compliant - Een formele risico-evaluatie kunnen worden uitgevoerd om de beveiligingskenmerken van individuele toepassingen te onderzoeken.
- Fysieke (locatie)toegangscontroles (gekoppeld aan Controles 7.2, 7.3 en 7.4)
Compliant – Uw organisatie moet kunnen aantonen dat u over een robuust geheel van toegangscontroles voor gebouwen en ruimtes beschikt, inclusief beheerde toegangssystemen, beveiligingsperimeters en bezoekersprocedures, indien van toepassing.
- Een bedrijfsbreed ‘need to know’-principe als het gaat om informatiedistributie, beveiliging en categorisering (gekoppeld aan 5.10, 5.12 en 5.13)
Compliant – Bedrijven moeten zich houden aan een strikt best-practicebeleid dat geen algemene toegang biedt tot gegevens in het hele organisatieschema.
- Zorg voor beperkingen op bevoorrechte toegangsrechten (gekoppeld aan 8.2)
Compliant – Gegevenstoegangsrechten die verder gaan dan die van een standaardgebruiker moeten nauwlettend in de gaten worden gehouden gecontroleerd en gecontroleerd.
- Naleving van geldende wetgeving, sectorspecifieke regelgevingsrichtlijnen of contractuele verplichtingen met betrekking tot gegevenstoegang (gekoppeld aan 5.31, 5.32, 5.33, 5.34 en 8.3)
Compliant – Organisaties stemmen hun eigen toegangscontrolebeleid af op de externe verplichtingen die zij hebben met betrekking tot de toegang tot gegevens, activa en bronnen.
- Toezicht op mogelijke plichtsconflicten
Compliant – Beleid moet controles omvatten die de mogelijkheid van een individu elimineren om een bredere toegangscontrolefunctie in gevaar te brengen, gebaseerd op zijn eigen toegangsniveau (dat wil zeggen een werknemer die de mogelijkheid heeft om wijzigingen aan een netwerk aan te vragen, te autoriseren en te implementeren).
- De drie belangrijkste functies van een toegangscontrolebeleid – verzoeken, autorisaties en beheer – moeten afzonderlijk worden aangepakt
Compliant – In het toegangscontrolebeleid moet worden erkend dat hoewel toegangscontrole een op zichzelf staande functie is, deze bestaat uit een aantal afzonderlijke stappen die per onderwerp hun eigen eisen met zich meebrengen.
- Toegangsverzoeken moeten op een gestructureerde, formele manier worden afgehandeld (gekoppeld aan 5.16 en 5.18)
Compliant – Organisaties moeten een autorisatieproces implementeren dat formele, gedocumenteerde goedkeuring van een geschikt personeelslid vereist.
- Doorlopend beheer van toegangsrechten (gekoppeld aan 5.18)
Compliant – Gegevensintegriteit en veiligheidsgrenzen moeten worden gehandhaafd door middel van een voortdurende cyclus van periodieke audits, HR-toezicht (verlaters enz.) en functiespecifieke veranderingen (bijvoorbeeld afdelingswisselingen en rolwijzigingen).
- Het bijhouden van adequate logboeken en het controleren van de toegang daartoe
Compliant – De organisatie moet gegevens over toegangsgebeurtenissen (bijv. bestandsactiviteit) verzamelen en opslaan, naast bescherming tegen ongeoorloofde toegang tot logboeken van beveiligingsgebeurtenissen, en werken met een uitgebreide set van probleembehandeling procedures.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Richtlijnen voor het implementeren van regels voor toegangscontrole
Zoals we hebben besproken, worden toegangsbeheerregels toegekend aan verschillende entiteiten (menselijk en niet-menselijk) die op een bepaald netwerk bestaan, die op hun beurt 'rollen' krijgen die hun algemene vereisten dicteren.
Terwijl uw organisatie haar eigen set toegangscontrolebeleid definieert en implementeert, wordt u in 5.15 gevraagd de volgende vier punten in overweging te nemen:
- Zorg voor consistentie tussen het toegangsrecht en het soort gegevens waarop het van toepassing is.
- Zorg voor consistentie tussen het toegangsrecht en de fysieke veiligheidseisen van uw organisatie (perimeters enz.).
- Wanneer uw organisatie opereert in een gedistribueerde computeromgeving die meerdere afzonderlijke netwerken of groepen bronnen omvat (zoals een cloudgebaseerde omgeving), houden toegangsrechten rekening met de implicaties van gegevens die zich in een breed scala aan netwerkdiensten bevinden.
- Houd rekening met de implicaties van dynamische toegangscontroles (een granulaire toegangsmethode die door systeembeheerders wordt geïmplementeerd tot een gedetailleerde reeks variabelen).
Documentatie en gedefinieerde verantwoordelijkheden
Controle 5.15 is expliciet in de eis dat organisaties zich moeten bezighouden met documentatie en een gestructureerde lijst van verantwoordelijkheden. ISO 27002 bevat talloze vergelijkbare eisen over de hele lijst met controles – hier zijn de individuele controles die het meest relevant zijn voor 5.15:
Documentatie
- 5.16
- 5.17
- 5.18
- 8.2
- 8.3
- 8.4
- 8.5
- 8.18
Verantwoordelijkheden
- 5.2
- 5.17
granularity
Control 5.15 geeft organisaties een aanzienlijke hoeveelheid speelruimte als het gaat om het kiezen van het granulariteitsniveau in hun toegangscontroleregels.
ISO adviseert bedrijven om hun eigen oordeel te vellen over hoe gedetailleerd een bepaalde set regels per werknemer moet zijn, en hoeveel toegangsvariabelen op welk stukje data dan ook worden toegepast.
5.15 erkent expliciet dat hoe gedetailleerder het toegangscontrolebeleid van een bedrijf is, hoe hoger de kosten en hoe moeilijker het hele concept van toegangscontrole wordt voor meerdere locaties, netwerktypen en applicatievariabelen.
Toegangscontrole als concept kan, tenzij het nauwlettend wordt beheerd, snel uit de hand lopen. Het is bijna altijd een goed idee om de regels voor toegangscontrole te vereenvoudigen, zodat ze eenvoudiger en kosteneffectiever te beheren zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen ten opzichte van ISO 27002:2013
27002:2013/5.15 is een samensmelting van twee vergelijkbare controles in 27002:2013 – 9.1.1 (Toegangscontrolebeleid) en 9.1.2 (Toegang tot netwerken en netwerkdiensten).
Over het algemeen behandelen zowel 9.1.1 als 9.1.2 dezelfde onderliggende thema's als 5.15 en volgen ze in grote lijnen dezelfde reeks bestuursrichtlijnen, met enkele subtiele operationele verschillen.
Zowel de controles van 2022 als die van 2013 hebben betrekking op het beheer van de toegang tot informatie, activa en middelen en werken volgens een ‘need to know’-principe dat bedrijfsgegevens behandelt als handelswaar die zorgvuldig moet worden beheerd en beschermd.
Alle elf richtlijnen van 27002:2013/9.1.1 volgen dezelfde algemene lijnen als die in 11:27002/2013, waarbij de laatste een iets grotere nadruk legt op fysieke veiligheid en perimeterbeveiliging.
De ondersteunende richtlijnen voor de implementatie van toegangscontrole zijn in grote lijnen hetzelfde, maar de 2022-controle biedt veel beter beknopte, praktische begeleiding voor de vier implementatierichtlijnen.
Wijzigingen in soorten toegangscontroles vanaf 9.1.1
5.15 erkent de verschillende soorten toegangscontrolemethoden die de afgelopen negen jaar zijn ontstaan (MAC, DAC, ABAC), terwijl 9:27002/2013 zijn richtlijnen beperkt tot RBAC – de meest gebruikelijke methode voor commerciële toegangscontrole op dat moment .
granularity
In combinatie met technologische veranderingen die organisaties meer controle over hun gegevens bieden, bevat geen van de controles van 2013 enige betekenisvolle aanwijzingen over hoe een organisatie gedetailleerde toegangscontroles moet aanpakken, terwijl 27002:2013/5.15 organisaties een aanzienlijke hoeveelheid speelruimte geeft.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
