ISO 27002:2022, Controle 5.17 – Authenticatie-informatie

ISO 27002:2022 herziene controles

Boek een demo

opstarten, programmeren, team., website, ontwerper, werken, digitaal, tablet, dock, toetsenbord

Authenticatie-informatie zoals wachtwoorden, coderingssleutels en kaartchips vormen de toegangspoort tot informatiesystemen die gevoelige informatie bevatten.

Slecht beheer of onjuiste toewijzing van authenticatie-informatie kan resulteren in ongeoorloofde toegang tot informatiesystemen en in verlies van vertrouwelijkheid, beschikbaarheid en integriteit van gevoelige informatiemiddelen.

Bijvoorbeeld GoodFirms onderzoek uit 2021 laat zien dat 30% van alle datalekken het gevolg zijn van zwakke wachtwoorden of slecht wachtwoordbeheer.

Daarom moeten organisaties beschikken over een robuust proces voor het beheer van authenticatie-informatie om authenticatie-informatie toe te wijzen, te beheren en te beschermen.

Doel van de controle 5.17

Controle 5.17 stelt organisaties in staat om authenticatie-informatie op de juiste manier toe te wijzen en te beheren, de risico's van mislukking in het authenticatieproces te elimineren en veiligheidsrisico's te voorkomen die kunnen ontstaan ​​als gevolg van het compromitteren van authenticatie-informatie.

Attributentabel

Controle 5.17 is een preventieve vorm van controle die van organisaties vereist dat zij een passend authenticatie-informatiebeheerproces opzetten en implementeren.

controle Type Eigenschappen voor informatiebeveiligingCyberbeveiligingsconcepten Operationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid
#Integriteit
#Beschikbaarheid		#Beschermen #Identiteits- en toegangsbeheer#Bescherming
Ga naar onderwerp
Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Eigendom van zeggenschap 5.17

Gezien het feit dat Controle 5.17 het vaststellen en implementeren van regels, procedures en maatregelen voor de hele organisatie voor de toewijzing en het beheer van authenticatie-informatie inhoudt, moeten informatiebeveiligingsfunctionarissen verantwoordelijk zijn voor de naleving van Controle 5.17.

Richtlijnen voor de toewijzing van authenticatie-informatie

Organisaties moeten voldoen aan de volgende zes vereisten voor de toewijzing en het beheer van authenticatie-informatie:

  • Wanneer persoonlijke wachtwoorden of persoonlijke identificatienummers automatisch worden gegenereerd voor de inschrijving van nieuwe gebruikers, mogen deze niet te raden zijn. Bovendien moeten wachtwoorden uniek zijn voor elke gebruiker en moet het verplicht zijn om wachtwoorden na het eerste gebruik te wijzigen.

  • Organisaties moeten robuuste procedures opzetten om de identiteit van een gebruiker te authenticeren voordat hij/zij nieuwe of vervangende authenticatie-informatie krijgt of hij/zij tijdelijke informatie krijgt.

  • Organisaties moeten zorgen voor de veilige overdracht van authenticatie-informatie naar individuen via beveiligde kanalen en zij mogen deze informatie niet via onveilige elektronische berichten (bijvoorbeeld leesbare tekst) verzenden.

  • Gebruikers moeten de ontvangst van de authenticatie-informatie bevestigen.

  • Nadat nieuwe IT-systemen en softwareprogramma's zijn geïnstalleerd, moeten organisaties de standaardauthenticatie-informatie onmiddellijk wijzigen.

  • Organisaties moeten registraties bijhouden en bijhouden van alle belangrijke gebeurtenissen die verband houden met het beheer en de toewijzing van authenticatie-informatie. Bovendien moeten deze gegevens vertrouwelijk worden behandeld en moeten methoden voor het bijhouden van gegevens worden toegestaan, bijvoorbeeld door het gebruik van een goedgekeurde wachtwoordtool.

Richtlijnen voor de verantwoordelijkheden van gebruikers

Gebruikers die toegang hebben tot authenticatie-informatie en deze kunnen gebruiken, moeten worden geïnstrueerd om aan het volgende te voldoen:

  1. Gebruikers moeten de vertrouwelijkheid van geheime authenticatie-informatie, zoals wachtwoorden, bewaren en mogen dergelijke geheime informatie met niemand anders delen. Wanneer meerdere gebruikers betrokken zijn bij het gebruik van authenticatie-informatie of de informatie is gekoppeld aan niet-persoonlijke entiteiten, mag de authenticatie-informatie niet worden bekendgemaakt aan onbevoegde personen.

  2. Gebruikers moeten hun wachtwoord onmiddellijk wijzigen als de vertrouwelijkheid van hun wachtwoorden in gevaar komt.

  3. Gebruikers moeten moeilijk te raden sterke wachtwoorden selecteren door de best practices uit de branche te volgen. Bijvoorbeeld:

    • Wachtwoorden mogen niet worden geselecteerd op basis van persoonlijke informatie die gemakkelijk te verkrijgen is, zoals namen of geboortedata.

    • Wachtwoorden mogen niet worden gemaakt op basis van iets dat gemakkelijk te raden is.

    • Wachtwoorden mogen geen woordenboekwoorden of combinaties van deze woorden bevatten.

    • In het wachtwoord moeten alfanumerieke en speciale tekens worden gebruikt.

    • Er moet een minimale lengte zijn voor wachtwoorden.

  4. Gebruikers mogen niet hetzelfde wachtwoord gebruiken voor verschillende diensten.

  5. Organisaties moeten de vereisten voor het aanmaken en gebruiken van wachtwoorden opnemen in hun arbeidsovereenkomsten met hun werknemers.

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Richtlijnen voor wachtwoordbeheersystemen

Organisaties moeten aan het volgende voldoen bij het opzetten van een wachtwoordbeheersysteem:

  • Gebruikers moeten de mogelijkheid krijgen om hun wachtwoorden aan te maken en te wijzigen, en er moet een bevestigingsprocedure bestaan ​​om ervoor te zorgen dat invoerfouten worden geïdentificeerd en opgelost.

  • Organisaties moeten een sterk wachtwoordselectieproces implementeren, waarbij rekening wordt gehouden met de beste praktijken in de sector voor wachtwoordselectie.

  • Gebruikers moeten worden gedwongen hun standaardwachtwoorden te wijzigen nadat ze voor het eerst toegang hebben gekregen tot een systeem.

  • Wachtwoordwijzigingen moeten worden doorgevoerd wanneer dit nodig is. Wachtwoordwijziging zal bijvoorbeeld nodig zijn na een beveiligingsincident of na de beëindiging van een dienstverband met een gebruiker als die gebruiker toegang heeft tot wachtwoorden.

  • Eerdere wachtwoorden mogen niet opnieuw worden gebruikt.

  • Het gebruik van veelgebruikte wachtwoorden of gecompromitteerde wachtwoorden of gebruikersnamen die worden gebruikt voor toegang tot gehackte systemen moet worden verboden.

  • Wanneer wachtwoorden worden ingevoerd, moeten deze in platte tekst op het scherm zichtbaar zijn.

  • Wachtwoorden moeten worden opgeslagen en overgedragen via beveiligde kanalen en in een veilig formaat.

Bovendien moeten organisaties hashing- en encryptietechnieken toepassen in overeenstemming met de geautoriseerde cryptografiemethoden voor wachtwoorden zoals uiteengezet in Controle 8.24.

Aanvullend richtsnoer voor controle 5.17

Naast wachtwoorden zijn er nog andere soorten authenticatie-informatie, zoals cryptografische sleutels, smartcards en biometrische gegevens zoals vingerafdrukken.

Organisaties wordt geadviseerd de ISO/IEC 24760-serie te raadplegen voor meer gedetailleerde richtlijnen over authenticatie-informatie.

Gezien het feit dat het regelmatig wijzigen van wachtwoorden omslachtig en vervelend kan zijn voor gebruikers, kunnen organisaties overwegen alternatieve methoden te implementeren, zoals eenmalige aanmelding of wachtwoordkluizen. Er moet echter worden opgemerkt dat deze alternatieve methoden authenticatie-informatie kunnen blootstellen aan een groter risico op ongeoorloofde openbaarmaking.

Ben je klaar voor
de nieuwe ISO 27002

Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/5.17 vervangt 27002:2013/(9.2.4, 9.3.1 9.4.3)

De 2022-versie bevat een nieuwe vereiste voor de toewijzing en het beheer van authenticatie-informatie

Hoewel de versie van 2013 en de versie van 2022 sterk op elkaar lijken wat betreft de vereisten voor toewijzing en beheer van authenticatie-informatie, introduceert Controle 5.17 in de versie van 2022 de volgende vereiste, die niet was opgenomen in de versie van 2013:

  • Organisaties moeten registraties bijhouden en bijhouden van alle belangrijke gebeurtenissen die verband houden met het beheer en de toewijzing van authenticatie-informatie. Bovendien moeten deze gegevens vertrouwelijk worden behandeld en moeten methoden voor het bijhouden van gegevens worden toegestaan, bijvoorbeeld door het gebruik van een goedgekeurde wachtwoordtool.

Controle 5.17 in de 2022-versie bevat een aanvullende vereiste voor het gebruik van authenticatie-informatie

Controle 5.17 introduceert de volgende vereiste voor gebruikersverantwoordelijkheden waarnaar niet werd verwezen in Controle 9.3.1 in de versie van 2013.

  • Organisaties moeten de vereisten voor het aanmaken en gebruiken van wachtwoorden opnemen in hun arbeidsovereenkomsten met hun werknemers en personeel.

De versie van 2013 bevatte aanvullende vereisten voor gebruikersverantwoordelijkheden die niet waren opgenomen in de versie van 2022

In tegenstelling tot de 2022-versie bevatte Control 9.3.1 de volgende vereiste voor het gebruik van authenticatie-informatie:

  • Gebruikers mogen niet dezelfde authenticatie-informatie, zoals een wachtwoord, gebruiken voor zowel zakelijke als niet-zakelijke doeleinden.

De versie van 2013 bevatte een aanvullende vereiste voor wachtwoordbeheersystemen die niet was opgenomen in de versie van 2022

Controle 9.4.3 in de versie van 2013 bevatte de volgende vereiste voor wachtwoordbeheersystemen.

  • Bestanden met wachtwoorden moeten worden gehost in een systeem dat gescheiden is van de applicatiesysteemgegevens.

Controle 5.17 in de versie van 2022 bevatte deze vereiste daarentegen niet.

Hoe ISMS.online helpt

ISMS.Online helpt organisaties en bedrijven te voldoen aan de vereisten van ISO 27002 door hen een platform te bieden waarmee ze eenvoudig hun vertrouwelijkheids- of geheimhoudingsbeleid en -procedures kunnen beheren, indien nodig kunnen bijwerken, testen en de effectiviteit ervan kunnen controleren.

Wij bieden een cloudgebaseerd platform voor het beheer van vertrouwelijkheids- en informatiebeveiligingsbeheersystemen, inclusief geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, op één centrale locatie. Het platform is eenvoudig te gebruiken en heeft een intuïtieve interface waardoor u eenvoudig kunt leren hoe u het moet gebruiken.

Neem vandaag nog contact met ons op een demo plannen.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests
Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie