Toegangscontrole regelt de manieren waarop menselijke en niet-menselijke entiteiten op een bepaald netwerk toegang krijgen tot gegevens, IT-bronnen en applicaties.
Volgens de aanvullende richtlijnen vermeldt Controle 5.15 (maar beperkt zich niet tot) vier verschillende soorten toegangscontrole, die grofweg als volgt kunnen worden geclassificeerd:
5.15 is een preventieve controle die houdt het risico in stand door het onderliggende vermogen van een organisatie te verbeteren om de toegang tot gegevens en activa te controleren.
5.15 stelt expliciet dat toegang tot hulpbronnen moet worden verleend en gewijzigd op basis van een concrete reeks commerciële en informatiebeveiligingsvereisten.
Organisaties moeten 5.15 implementeren om veilige toegang tot gegevens te vergemakkelijken en het risico van ongeautoriseerde toegang tot hun netwerk – of dit nu fysiek of virtueel is – te minimaliseren.
| Besturingstype | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- en toegangsbeheer | #Bescherming |
Hoewel 5.15 erop vertrouwt dat leidinggevenden uit verschillende delen van een organisatie een grondig inzicht behouden in wie toegang nodig heeft tot welke bronnen (dwz HR informeert over de functie van een werknemer, die op zijn beurt hun RBAC-parameters dicteert), zijn toegangsrechten uiteindelijk een onderhoudsfunctie die worden beheerd door personeel met beheerdersrechten over een bepaald netwerk.
Als zodanig moet het eigendom van 5.15 berusten bij een lid van het senior management met overkoepelende technische autoriteit over de domeinen, subdomeinen, applicaties, bronnen en activa van een organisatie, zoals een hoofd IT.
Naleving van Controle 5.15 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot toegangscontrole (beter bekend als een 'probleemspecifieke' aanpak).
Themaspecifieke benaderingen moedigen organisaties aan om Access te creëren Controlebeleid die zijn afgestemd op individuele bedrijfsfuncties, in plaats van zich te houden aan een algemeen toegangscontrolebeleid dat van toepassing is op de toegang tot gegevens en bronnen over de hele linie.
Control 5.15 vereist dat het toegangscontrolebeleid voor alle onderwerpspecifieke gebieden rekening houdt met de volgende 11 richtlijnen. Sommige van de onderstaande begeleidingspunten kruisen verschillende andere bedieningselementen, die ter referentie worden vermeld.
Organisaties moeten deze begeleidende controles geval per geval raadplegen voor meer informatie.
Conformiteit – Dit kunt u eenvoudig bereiken door nauwkeurig de functies en vereisten voor gegevenstoegang bij te houden, die in lijn zijn met uw organisatiestructuur.
Conformiteit - Een formele risico-evaluatie kunnen worden uitgevoerd om de beveiligingskenmerken van individuele toepassingen te onderzoeken.
Conformiteit – Uw organisatie moet kunnen aantonen dat u over een robuust geheel van toegangscontroles voor gebouwen en ruimtes beschikt, inclusief beheerde toegangssystemen, beveiligingsperimeters en bezoekersprocedures, indien van toepassing.
Conformiteit – Bedrijven moeten zich houden aan een strikt best-practicebeleid dat geen algemene toegang biedt tot gegevens in het hele organisatieschema.
Conformiteit – Gegevenstoegangsrechten die verder gaan dan die van een standaardgebruiker moeten nauwlettend in de gaten worden gehouden gecontroleerd en gecontroleerd.
Conformiteit – Organisaties stemmen hun eigen toegangscontrolebeleid af op de externe verplichtingen die zij hebben met betrekking tot de toegang tot gegevens, activa en bronnen.
Conformiteit – Beleid moet controles omvatten die de mogelijkheid van een individu elimineren om een bredere toegangscontrolefunctie in gevaar te brengen, gebaseerd op zijn eigen toegangsniveau (dat wil zeggen een werknemer die de mogelijkheid heeft om wijzigingen aan een netwerk aan te vragen, te autoriseren en te implementeren).
Conformiteit – In het toegangscontrolebeleid moet worden erkend dat hoewel toegangscontrole een op zichzelf staande functie is, deze bestaat uit een aantal afzonderlijke stappen die per onderwerp hun eigen eisen met zich meebrengen.
Conformiteit – Organisaties moeten een autorisatieproces implementeren dat formele, gedocumenteerde goedkeuring van een geschikt personeelslid vereist.
Conformiteit – Gegevensintegriteit en veiligheidsgrenzen moeten worden gehandhaafd door middel van een voortdurende cyclus van periodieke audits, HR-toezicht (verlaters enz.) en functiespecifieke veranderingen (bijvoorbeeld afdelingswisselingen en rolwijzigingen).
Conformiteit – De organisatie moet gegevens over toegangsgebeurtenissen (bijv. bestandsactiviteit) verzamelen en opslaan, naast bescherming tegen ongeoorloofde toegang tot logboeken van beveiligingsgebeurtenissen, en werken met een uitgebreide set van probleembehandeling procedures.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Zoals we hebben besproken, worden toegangsbeheerregels toegekend aan verschillende entiteiten (menselijk en niet-menselijk) die op een bepaald netwerk bestaan, die op hun beurt 'rollen' krijgen die hun algemene vereisten dicteren.
Terwijl uw organisatie haar eigen set toegangscontrolebeleid definieert en implementeert, wordt u in 5.15 gevraagd de volgende vier punten in overweging te nemen:
Controle 5.15 is expliciet in de eis dat organisaties zich moeten bezighouden met documentatie en een gestructureerde lijst van verantwoordelijkheden. ISO 27002 bevat talloze vergelijkbare eisen over de hele lijst met controles – hier zijn de individuele controles die het meest relevant zijn voor 5.15:
Control 5.15 geeft organisaties een aanzienlijke hoeveelheid speelruimte als het gaat om het kiezen van het granulariteitsniveau in hun toegangscontroleregels.
ISO adviseert bedrijven om hun eigen oordeel te vellen over hoe gedetailleerd een bepaalde set regels per werknemer moet zijn, en hoeveel toegangsvariabelen op welk stukje data dan ook worden toegepast.
5.15 erkent expliciet dat hoe gedetailleerder het toegangscontrolebeleid van een bedrijf is, hoe hoger de kosten en hoe moeilijker het hele concept van toegangscontrole wordt voor meerdere locaties, netwerktypen en applicatievariabelen.
Toegangscontrole als concept kan, tenzij het nauwlettend wordt beheerd, snel uit de hand lopen. Het is bijna altijd een goed idee om de regels voor toegangscontrole te vereenvoudigen, zodat ze eenvoudiger en kosteneffectiever te beheren zijn.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
27002:2013/5.15 is een samensmelting van twee vergelijkbare controles in 27002:2013 – 9.1.1 (Toegangscontrolebeleid) en 9.1.2 (Toegang tot netwerken en netwerkdiensten).
Over het algemeen behandelen zowel 9.1.1 als 9.1.2 dezelfde onderliggende thema's als 5.15 en volgen ze in grote lijnen dezelfde reeks bestuursrichtlijnen, met enkele subtiele operationele verschillen.
Zowel de controles van 2022 als die van 2013 hebben betrekking op het beheer van de toegang tot informatie, activa en middelen en werken volgens een ‘need to know’-principe dat bedrijfsgegevens behandelt als handelswaar die zorgvuldig moet worden beheerd en beschermd.
Alle elf richtlijnen van 27002:2013/9.1.1 volgen dezelfde algemene lijnen als die in 11:27002/2013, waarbij de laatste een iets grotere nadruk legt op fysieke veiligheid en perimeterbeveiliging.
De ondersteunende richtlijnen voor de implementatie van toegangscontrole zijn in grote lijnen hetzelfde, maar de 2022-controle biedt veel beter beknopte, praktische begeleiding voor de vier implementatierichtlijnen.
5.15 erkent de verschillende soorten toegangscontrolemethoden die de afgelopen negen jaar zijn ontstaan (MAC, DAC, ABAC), terwijl 9:27002/2013 zijn richtlijnen beperkt tot RBAC – de meest gebruikelijke methode voor commerciële toegangscontrole op dat moment .
In combinatie met technologische veranderingen die organisaties meer controle over hun gegevens bieden, bevat geen van de controles van 2013 enige betekenisvolle aanwijzingen over hoe een organisatie gedetailleerde toegangscontroles moet aanpakken, terwijl 27002:2013/5.15 organisaties een aanzienlijke hoeveelheid speelruimte geeft.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
