Identiteiten worden door computernetwerken gebruikt om het onderliggende vermogen van een entiteit (een gebruiker, groep gebruikers, apparaat of IT-middel) om toegang te krijgen tot een vooraf bepaalde reeks hardware- en softwarebronnen te identificeren.
Controle 5.16 gaat over de goedkeuring, registratie en administratie – gedefinieerd als de 'volledige levenscyclus' – van menselijke en niet-menselijke identiteiten op een bepaald netwerk.
5.16 gaat over het vermogen van een organisatie om te identificeren wie (gebruikers, groepen gebruikers) of wat (applicaties, systemen en apparaten) op een bepaald moment toegang heeft tot gegevens of IT-middelen, en hoe aan deze identiteiten toegangsrechten worden verleend binnen het netwerk.
5.16 is een preventieve controle die houdt het risico in stand door op te treden als de belangrijkste perimeter voor alle betrokkenen informatiebeveiliging en cybersecurity operationele activiteiten, evenals het beheer van de primaire modus dat het identiteits- en toegangsbeheerframework van een organisatie dicteert.
| Besturingstype | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- en toegangsbeheer | #Bescherming |
Aangezien 5.16 in de eerste plaats een onderhoudsfunctie vervult, moet het eigendom worden overgedragen aan IT-personeel aan wie Global Administrator-rechten zijn toegewezen (of gelijkwaardig voor niet-Windows-gebaseerde infrastructuur).
Hoewel er andere ingebouwde rollen zijn waarmee gebruikers identiteiten kunnen beheren (bijvoorbeeld domeinbeheerder), moet het eigendom van 5.16 berusten bij de persoon die de uiteindelijke zeggenschap heeft. verantwoordelijkheid voor het gehele netwerk van een organisatie, inclusief alle subdomeinen en Active Directory-tenants.
Naleving van controle 5.16 wordt bereikt door een combinatie van het waarborgen dat op identiteit gebaseerde procedures duidelijk worden verwoord in beleidsdocumenten, en het monitoren van de dagelijkse naleving door het personeel.
5.16 somt zes hoofdprocedures op die een organisatie moet volgen om te voldoen aan de vereiste normen op het gebied van infosec en cyberbeveiligingsbeheer:
Conformiteit – Het IT-beleid moet duidelijk bepalen dat gebruikers geen inloggegevens mogen delen, en dat andere gebruikers niet op het netwerk mogen rondzwerven met een andere identiteit dan de identiteit die aan hen is toegewezen.
Conformiteit – Organisaties moeten de registratie van gedeelde identiteiten behandelen als een aparte procedure voor individuele gebruikersidentiteiten, met een speciale goedkeuringsworkflow.
Conformiteit – Net als bij gedeelde identiteiten moeten niet-menselijke identiteiten op hun beurt hun eigen goedkeurings- en registratieproces hebben dat het onderliggende verschil erkent tussen het toekennen van een identiteit aan een persoon en het toekennen van een identiteit aan een asset, applicatie of apparaat.
Conformiteit – IT-personeel zou dat moeten doen regelmatig audits uitvoeren die identiteiten opsommen in volgorde van gebruik, en identificeren welke entiteiten (menselijk of niet-menselijk) kunnen worden opgeschort of verwijderd. HR-personeel moet identiteitsbeheer opnemen in hun offboarding-procedures en het IT-personeel tijdig informeren over vertrekkers.
Conformiteit – IT-personeel moet waakzaam blijven bij het toewijzen van rollen binnen een netwerk en ervoor zorgen dat entiteiten geen toegangsrechten krijgen op basis van meerdere identiteiten.
Conformiteit – De term 'belangrijke gebeurtenis' kan op verschillende manieren worden geïnterpreteerd, maar op een basaal niveau organisaties nodig hebben om ervoor te zorgen dat hun governance-procedures identiteitsregistratiedocumentatie, robuuste wijzigingsverzoekprotocollen met een passende goedkeuringsprocedure en de mogelijkheid omvatten om op elk gewenst moment een uitgebreide lijst van toegewezen identiteiten op te stellen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Naast de zes belangrijkste operationele overwegingen worden in 5.16 ook vier stappen genoemd die organisaties moeten volgen bij het creëren van een identiteit en het verlenen ervan. toegang tot netwerkbronnen (het wijzigen of verwijderen van toegangsrechten wordt behandeld in controle 5.18):
Conformiteit – Het is belangrijk om te erkennen dat identiteitsbeheer exponentieel moeilijker wordt met elke nieuwe identiteit die wordt gecreëerd. Organisaties mogen alleen nieuwe identiteiten creëren als daar een duidelijke noodzaak voor is.
Conformiteit – Zodra een business case is goedgekeurd, moeten de procedures voor identiteits- en toegangsbeheer stappen bevatten om ervoor te zorgen dat de persoon of het asset die een nieuwe identiteit ontvangt, over de vereiste bevoegdheid beschikt om dit te doen, voordat er een identiteit wordt gecreëerd.
Zodra de entiteit is geverifieerd, moet het IT-personeel een identiteit creëren die in lijn is met de vereisten van de business case, en die beperkt is tot wat is vastgelegd in de documentatie van eventuele wijzigingsverzoeken.
27002:2022 / 5.16 vervangt 27002:2013/9.2.1 (Gebruikersregistratie en -uitschrijving) – dat zelf deel uitmaakte van de User Access Management-controleset van 27002:2013. Hoewel er enkele overeenkomsten zijn tussen de twee controles – vooral in onderhoudsprotocollen en het deactiveren van redundante ID's – bevat 5.16 een veel uitgebreidere reeks richtlijnen die proberen identiteits- en toegangsbeheer als een end-to-end-concept aan te pakken.
Het belangrijkste verschil tussen de controle uit 2022 en de voorganger uit 2013 is de erkenning dat, hoewel er verschillen zijn in het registratieproces, menselijke en niet-menselijke identiteiten voor algemene netwerkbeheerdoeleinden niet langer als verschillend van elkaar worden behandeld.
Met de opkomst van modern identiteits- en toegangsbeheer en op Windows gebaseerde RBAC-protocollen spreken IT-governance en best practice-richtlijnen min of meer door elkaar over menselijke en niet-menselijke identiteiten. 27002:2013/9.2.1 bevat geen richtlijnen voor het beheren van niet-menselijke identiteiten, en houdt zich uitsluitend bezig met het beheer van wat het 'Gebruikers-ID's' noemt (dwz inloggegevens die worden gebruikt om toegang te krijgen tot een netwerk, samen met een wachtwoord).
Zoals we hebben gezien bevat 27002:2013/5.16 niet alleen expliciete richtlijnen over de algemene veiligheidsimplicaties van identiteitsbeheer, maar ook over de manier waarop organisaties informatie moeten vastleggen en verwerken voordat een identiteit wordt toegewezen, en gedurende de hele levenscyclus ervan. Ter vergelijking: 27002:2013/9.2.1 vermeldt slechts kort de begeleidende rol die IT-governance speelt, en beperkt zich tot de fysieke praktijk van identiteitsbeheer, zoals uitgevoerd door IT-personeel.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
ISMS.online bespaart u tijd en geld
Vraag uw offerte aan
