Zorgen voor sterke authenticatie: verantwoordelijkheden van gebruikers onder ISO 27701
Goede en veilige authenticatieprocedures vormen de ruggengraat van het meeste algemene en onderwerpspecifieke toegangsbeleid, of het nu gaat om PII of informatie, activa en gegevens in het algemeen.
Gemakkelijk te raden en slecht geconstrueerde wachtwoorden zijn laaghangend fruit voor potentiële cybercriminelen die toegang willen krijgen tot de PII van een organisatie, die meestal wordt teruggevorderd, gebruikt als reputatievoer of op het dark web wordt verkocht aan de hoogste bieder.
Gebruikers moeten zich houden aan een strikt gehandhaafd wachtwoordbeleid dat het genereren, distribueren en samenstellen van wachtwoorden omvat en gebruik maakt van beschikbare authenticatietechnologie (SSO, wachtwoordkluizen).
Wat wordt er behandeld in ISO 27701, clausule 6.6.3
ISO 27702 6.6.3 bevat slechts één subclausule, die samengevoegde richtlijnen uit ISO 27002 bevat die schetst hoe organisaties authenticatiebeveiliging moeten benaderen:
- ISO 27701 6.6.3.1 – Gebruik van geheime authenticatie-informatie (referenties ISO 27002 Control 5.17)
Er zijn geen Britse GDPR-citaten waarmee u rekening moet houden, en ISO biedt ook geen PIMS- of PII-specifieke richtlijnen waaraan u zich moet houden.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.6.3.1 – Gebruik van geheime authenticatie-informatie
Referenties ISO 27002 Controle 5.17
Verificatie-informatie verstrekken en beheren
Authenticatiegegevens moeten zo worden gedistribueerd en beheerd dat:
- Automatisch gegenereerde authenticatie-informatie (wachtwoorden enz.) wordt geheim gehouden voor iedereen die niet bevoegd is om deze te gebruiken, is niet te raden en wordt zo beheerd dat een gebruiker wordt gedwongen deze na de eerste aanmelding te wijzigen.
- Voordat authenticatiegegevens worden uitgegeven of vervangen, worden er procedures ingevoerd om de identiteit te verifiëren van de persoon die ze nodig heeft.
- Voor het verzenden van authenticatiegegevens worden de juiste beveiligde kanalen gebruikt (dus niet via e-mail).
- Nadat de gegevens succesvol zijn doorgegeven aan degene die ze nodig heeft, bevestigen de gebruiker(s) tijdig de ontvangst.
- Alle door de leverancier verstrekte authenticatie-informatie (zoals de standaard gebruikersnaam en wachtwoord, routers en firewalls) wordt bij ontvangst gewijzigd.
- Er worden gegevens bijgehouden van relevante authenticatiegebeurtenissen – vooral met betrekking tot de initiële toewijzing en daaropvolgende administratie van authenticatiegegevens.
Al het personeel dat authenticatie-informatie van de organisatie gebruikt, moet ervoor zorgen dat:
- Alles authenticatiegegevens worden strikt vertrouwelijk behandeld.
- Als authenticatiegegevens worden gecompromitteerd, bekeken of gedeeld door iemand anders dan de oorspronkelijke eigenaar, worden dergelijke gegevens gewijzigd per direct.
- Eventuele wachtwoorden worden gemaakt en/of gegenereerd in overeenstemming met het wachtwoordbeleid van de organisatie, en wachtwoorden zijn uniek op verschillende platforms (dwz domeinwachtwoorden zijn niet hetzelfde als wachtwoorden voor cloudservices).
- Arbeidsovereenkomsten bevatten een expliciete vereiste om het wachtwoordbeleid van het bedrijf te volgen (zie ISO 27002 controle 6.2).
Wachtwoordbeheersystemen
Organisaties moeten overwegen een wachtwoordbeheersysteem (gespecialiseerde toepassingen voor wachtwoordcontrole) te implementeren dat:
- Geschikt voor gebruikers die elk wachtwoord dat ze gebruiken moeten wijzigen.
- Is geprogrammeerd om wachtwoorden te weigeren die buiten de richtlijnen voor best practices vallen.
- Dwingt gebruikers om hun door het systeem gegenereerde wachtwoord te wijzigen nadat ze het voor de eerste keer hebben gebruikt.
- Staat het voortdurende gebruik van oude wachtwoorden of soortgelijke zinnen en alfanumerieke combinaties niet toe.
- Verbergt wachtwoorden terwijl ze worden ingevoerd.
- Bewaart en verzendt wachtwoordinformatie op een veilige manier.
- Geschikt voor wachtwoordversleuteling en soortgelijke versleutelingstechnieken (zie ISO 27002 controle 8.24).
Wachtwoordgegevens
Om PII te beschermen en de inspanningen op het gebied van privacybescherming van organisaties te verbeteren, moeten wachtwoorden vier leidende principes volgen:
- Wachtwoorden mogen niet zijn opgebouwd rond raadbare of biografische informatie.
- Wachtwoorden mogen geen herkenbare woorden bevatten, in plaats van willekeurige alfanumerieke tekens.
- Er moeten speciale tekens worden gebruikt om de wachtwoordcomplexiteit te vergroten.
- Alle wachtwoorden moeten een minimale lengte hebben (idealiter 12 tekens).
Organisaties moeten ook het gebruik van authenticatieprotocollen zoals Single Sign-On (SSO) overwegen om de wachtwoordbeveiliging te verbeteren, maar dergelijke maatregelen mogen alleen worden overwogen naast de unieke technische en operationele vereisten van de organisatie.
Relevante ISO 27002-controles
- ISO 27002 6.2
- ISO 27002 8.24
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.6.3.1 | Gebruik van geheime authenticatie-informatie | 5.17 – Authenticatie-informatie voor ISO 27002 | Geen |
Hoe ISMS.online helpt
Hoe helpen we?
Door een PIMS toe te voegen aan uw ISMS op het ISMS.online-platform blijft uw beveiligingspositie op één plek en vermijdt u duplicatie waar de standaarden elkaar overlappen.
Omdat uw PIMS direct toegankelijk is voor geïnteresseerde partijen, is het nog nooit zo eenvoudig geweest om met één klik op de knop te monitoren, rapporteren en auditen op basis van zowel ISO 27002 als ISO 27701.
Alle functies die u nodig heeft:
- ROPA gemakkelijk gemaakt
- Ingebouwde risicobank
- Veilige ruimte voor DRR
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27002- en 27701-certificering met behulp van ISMS.online door een demo boeken.
