ISO 27001 – נספח A.9: בקרת גישה

מהו נספח A.9?

נספח A.9 עוסק כולו בהליכי בקרת גישה. מטרת נספח A.9 היא להגן על גישה למידע ולהבטיח שעובדים יוכלו לצפות רק במידע הרלוונטי לעבודתם. מדריך זה יעביר אותך דרך כל מה שאתה צריך לדעת על נספח A.9.

נספח A.9 מחולק לארבעה חלקים ותצטרך לעבור על כל אחד מהם. הם בקרות גישה, ניהול גישת משתמשים, אחריות משתמש ובקרות גישה לאפליקציות.

מהי המטרה של נספח A.9.1?

נספח A.9.1 עוסק בדרישות עסקיות של בקרת גישה. המטרה בפיקוח נספח א' זה היא להגביל את הגישה למידע ולמתקני עיבוד מידע.

זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001. בואו נבין את הדרישות הללו ואת המשמעות שלהן קצת יותר לעומק.

A.9.1.1 מדיניות בקרת גישה

יש לקבוע מדיניות בקרת גישה, לתעד ולבחון באופן שוטף תוך התחשבות בדרישות העסק לנכסים בהיקף.

כללי בקרת גישה, זכויות והגבלות יחד עם עומק הבקרות בהן נעשה שימוש צריכים לשקף את סיכוני אבטחת המידע סביב המידע ואת התיאבון של הארגון לניהולם. במילים פשוטות בקרת גישה עוסקת במי צריך לדעת, למי צריך להשתמש ועד כמה הם מקבלים גישה.

בקרות הגישה יכולות להיות דיגיטליות ופיזיות במהותן, למשל הגבלות הרשאה על חשבונות משתמש וכן הגבלות על מי שיכול לגשת למיקומים פיזיים מסוימים (בהתאמה לנספח A.11 אבטחה פיזית וסביבתית). המדיניות צריכה לקחת בחשבון:

• דרישות אבטחה של יישומים עסקיים והתאמה לתכנית סיווג המידע בשימוש לפי A.8 ניהול נכסים;
• להבהיר מי צריך לגשת, לדעת, מי צריך להשתמש במידע - נתמך על ידי נהלים ואחריות מתועדים;
• ניהול זכויות הגישה וזכויות הגישה הפריבילגיות (יותר כוח - ראה להלן) כולל הוספה, שינויים בחיים (למשל בקרות משתמשי-על/מנהלי מערכת) וביקורות תקופתיות (למשל על ידי ביקורות פנימיות רגילות בהתאם לדרישה 9.2.
• כללי בקרת גישה צריכים להיות נתמכים בנהלים פורמליים ובאחריות מוגדרת;

יש לבחון את בקרת הגישה בהתבסס על שינוי בתפקידים ובמיוחד במהלך היציאה, כדי ליישר קו עם נספח A.7 אבטחת משאבי אנוש.

A.9.1.2 גישה לרשתות ושירותי רשת

עקרון הגישה הפחותה הוא הגישה הכללית המועדפת להגנה, ולא גישה בלתי מוגבלת וזכויות משתמש-על ללא שיקול זהיר.

כיוון שמשתמשים כאלה צריכים לקבל גישה רק לרשת ולשירותי הרשת שהם צריכים להשתמש או לדעת עליהם לצורך עבודתם. המדיניות צריכה אפוא לתת מענה; הרשתות ושירותי הרשת בהיקף הגישה; נהלי הרשאה להראות למי (מבוסס תפקידים) מותר לגשת למה ומתי; וניהול בקרות ונהלים כדי למנוע גישה ולפקח עליה בחיים.

זה צריך להילקח בחשבון גם במהלך העלייה והיציאה, והוא קשור קשר הדוק למדיניות בקרת הגישה עצמה.

מהי המטרה של נספח A.9.2?

נספח A.9.2 עוסק בניהול גישת משתמשים. המטרה בפיקוח נספח א' זה היא להבטיח שהמשתמשים מורשים לגשת למערכות ולשירותים וכן למנוע גישה לא מורשית.

A.9.2.1 רישום וביטול רישום משתמשים

יש ליישם תהליך רישום וביטול רישום משתמש רשמי. תהליך טוב לניהול מזהי משתמש כולל את היכולת לשייך מזהים בודדים לאנשים אמיתיים, ולהגביל מזהי גישה משותפת, שאותם יש לאשר ולתעד היכן שנעשה.

תהליך עלייה ויציאה טוב מתקשר עם A7 משאבי אנוש אבטחה כדי להציג רישום/ביטול רישום מהיר וברור יחד עם הימנעות מהנפקה מחדש של תעודות זהות ישנות. סקירה קבועה של תעודות זהות תמחיש בקרה טובה ותחזק את הניהול השוטף.

זה יכול להיות קשור לביקורות הפנימיות שצוינו לעיל עבור ביקורת בקרת גישה, וביקורות תקופתיות על ידי נכסי המידע או בעלי יישומי העיבוד.

A.9.2.2 הקצאת גישת משתמש

יש ליישם תהליך (פשוט ומתועד ככל שיהיה) להקצאה או ביטול של זכויות גישה לכל סוגי המשתמשים לכל המערכות והשירותים. נעשה היטב, זה מתקשר עם הנקודות לעיל, כמו גם עם עבודת אבטחת משאבי אנוש הרחבה יותר.

תהליך ההקצאה והביטול צריך לכלול; אישור מבעל מערכת המידע או השירות לשימוש במערכת המידע או השירות; וידוא שהגישה שניתנה רלוונטית לתפקיד המתבצע; והגנה מפני ביצוע הקצאה לפני השלמת ההרשאה.

גישת המשתמש צריכה להיות תמיד עסקית והגישה מבוססת על הדרישות של העסק. זה אולי נשמע בירוקרטי אבל זה לא צריך להיות ונהלים פשוטים יעילים עם גישה מבוססת תפקידים על ידי מערכות ושירותים יכולים לטפל בזה.

A.9.2.3 ניהול זכויות גישה מיוחסות

A.9.2.3 עוסק בדרך כלל בניהול רמות גישה חזקות יותר וגבוהות יותר, למשל הרשאות ניהול מערכות לעומת זכויות משתמש רגילות.

ההקצאה והשימוש בזכויות גישה מיוחסות חייבות להיות בשליטה הדוק בהתחשב בזכויות הנוספות המועברות בדרך כלל על נכסי מידע והמערכות השולטות בהם. למשל היכולת למחוק עבודה או להשפיע באופן מהותי על שלמות המידע. זה צריך ליישר קו עם תהליכי ההרשאה הפורמליים לצד מדיניות בקרת הגישה.

זה יכול לכלול; בהירות מערכת לפי מערכת על זכויות גישה מורשות (שניתן לנהל בתוך האפליקציה); הקצאה על בסיס צורך לשימוש ולא גישה גורפת; יש לשמור תהליך ורישום של כל ההרשאות שהוקצו (לצד מלאי נכסי המידע או כחלק מהראיות A.9; ויש לבחון את כשירות המשתמשים שקיבלו את הזכויות באופן קבוע כדי להתאים לחובותיהם.

זה עוד תחום טוב שכדאי לכלול בביקורת הפנימית כדי להפגין שליטה.

אחד הגורמים התורמים הגדולים ביותר לכשלים או הפרות של מערכות הוא שימוש בלתי הולם וגורף בהרשאות ניהול מערכת עם טעויות אנוש המובילות לנזק או אובדן רב יותר מאשר אם ננקטה גישת 'גישה פחותה'.

פרקטיקה טובה נוספת הקשורה לתחום זה כוללת את הפרדת תפקיד מנהל המערכת מתפקיד המשתמש היומיומי וקיום משתמש עם שני חשבונות אם הוא מבצע עבודות שונות באותה פלטפורמה.

A.9.2.4 ניהול מידע אימות סודי של משתמשים

מידע אימות סודי הוא שער לגישה לנכסים יקרי ערך. הוא כולל בדרך כלל סיסמאות, מפתחות הצפנה וכו' ולכן יש לשלוט בו באמצעות תהליך ניהול רשמי ויש לשמור עליו בסודיות למשתמש.

זה בדרך כלל קשור בחוזי העסקה ובתהליכים משמעתיים (A.7) וחובות ספקים (A13.2.4 ו-A.15) אם הם משתפים עם גורמים חיצוניים.

יש לקבוע נהלים לאימות זהות המשתמש לפני מתן מידע אימות סודי חדש, חלופי או זמני. כל מידע אימות סודי ברירת מחדל המסופק כחלק משימוש חדש במערכת צריך להשתנות בהקדם האפשרי.

A.9.2.5 סקירה של זכויות גישה למשתמש

בעלי נכסים חייבים לסקור את זכויות הגישה של המשתמשים במרווחי זמן קבועים, הן סביב שינוי אינדיבידואלי (עלייה למטוס, שינוי תפקיד ויציאה) כמו גם ביקורות רחבות יותר של הגישה למערכות.

יש לבדוק הרשאות לזכויות גישה מיוחסות במרווחי זמן תכופים יותר בהתחשב באופי הסיכון הגבוה שלהן. זה מתקשר עם 9.2 עבור ביקורות פנימיות ויש לבצע לפחות אחת לשנה או כאשר מתרחשים שינויים גדולים.

A.9.2.6 הסרה או התאמה של זכויות גישה

כפי שפורט לעיל יש להסיר את זכויות הגישה של כל העובדים ומשתמשי הצד החיצוני למתקני מידע ועיבוד מידע עם סיום העסקתם, החוזה או ההסכם שלהם, (או להתאים אותם עם שינוי תפקיד במידת הצורך).

מדיניות יציאה ונהלים טובים המשתלבים עם A.7 גם יבטיחו שהדבר יושג ויוצג למטרות ביקורת כאשר אנשים עוזבים.

מהי המטרה של נספח A.9.3?

נספח A.9.3 עוסק באחריות המשתמש. המטרה בפיקוח נספח A זה היא לגרום למשתמשים להיות אחראים לשמירה על מידע האימות שלהם.

A.9.3.1 שימוש במידע אימות סודי

מדובר בסך הכל על לוודא שהמשתמשים פועלים לפי המדיניות ולכן יתחברו ל-A7 משאבי אנוש אבטחה עבור חוזים, חינוך משתמשים למודעות ותאימות, כמו גם נוהלי השכל הישר.

אלה כוללים: שמור כל מידע אימות סודי בסודיות; הימנע מלשמור עליו רישום שגורמים לא מורשים יכולים לגשת אליו; שנה אותו בכל פעם שיש הצעה לפשרה אפשרית; בחר סיסמאות איכותיות בעלות אורך וחוזק מינימליים מספיקים כדי לעקוב אחר בקרות מדיניות סיסמאות רחבות יותר בנספח A.9.4.

מהי המטרה של נספח A.9.4?

נספח A.9.4 עוסק בקרת גישה למערכת ויישומים. המטרה בפיקוח נספח א' זה היא למנוע גישה בלתי מורשית למערכות ויישומים.

A.9.4.1 הגבלת גישה למידע

גישה למידע ופונקציות מערכת אפליקציות חייבות להיות קשורות למדיניות בקרת הגישה. שיקולי מפתח צריכים לכלול:

אלה כוללים:

• בקרת גישה מבוססת תפקידים (RBAC);
• רמות גישה;
• עיצוב מערכות "תפריט" בתוך יישומים;
• קריאה, כתיבה, מחיקה וביצוע הרשאות;
• הגבלת תפוקת מידע; ו
• בקרות גישה פיזיות ו/או לוגיות ליישומים, נתונים ומערכות רגישים.

המבקר יבדוק שנעשו שיקולים להגבלת הגישה בתוך מערכות ויישומים התומכים במדיניות בקרת גישה, דרישות עסקיות, רמות סיכון והפרדת תפקידים.

A.9.4.2 הליכי כניסה מאובטחת

הגישה למערכות ויישומים חייבת להיות מבוקרת על ידי הליך כניסה מאובטח כדי להוכיח את זהות המשתמש.

זה יכול לחרוג מגישת הסיסמה האופיינית לאימות מרובה גורמים, ביומטריה, כרטיסים חכמים ואמצעי הצפנה אחרים בהתבסס על הסיכון הנחשב.

כניסה מאובטחת צריכה להיות מתוכננת כך שלא ניתן לעקוף אותה בקלות ושכל מידע אימות ישודר ומאוחסן מוצפן כדי למנוע יירוט ושימוש לרעה.

הנחיות ISO 27002 חשובות לנושא זה, כמו גם גופים מומחים כמו המרכז הלאומי לאבטחת סייבר (NCSC). טיפים נוספים כוללים:

• יש לתכנן את נהלי הכניסה כך שלא ניתן לעקוף אותם בקלות ושכל מידע אימות ישודר ויישמר מוצפן כדי למנוע יירוט ושימוש לרעה.
• נהלי הכניסה צריכים לכלול גם תצוגה המציינת שהגישה מיועדת למשתמשים מורשים בלבד. זה נועד לתמוך בחקיקת אבטחת סייבר כגון
• חוק שימוש לרעה במחשב 1990 (בריטניה).
• גם כניסה וגם התנתקות מוצלחת וגם לא מוצלחת צריכה להירשם בצורה מאובטחת כדי לספק יכולת הוכחה משפטית ויש לשקול התראות על ניסיונות לא מוצלחים ונעילה אפשרית.
• בהתאם לאופי המערכת יש להגביל את הגישה לשעות מסוימות ביום או לפרקי זמן, ואולי אף להיות מוגבלת בהתאם למיקום.

בפועל, הצרכים העסקיים והמידע שנמצאים בסיכון צריכים להניע את נהלי ההתחברות וההתנתקות. לא כדאי שיהיו לך 25 ​​שלבים להיכנס לחשבון, לאחר מכן יש פסק זמן מהיר וכו' אם הצוות אינו מסוגל לבצע את עבודתו היטב ומבלה זמן לא פרופורציונלי בלולאה זו.

A.9.4.3 מערכת ניהול סיסמאות

מטרת מערכת ניהול סיסמאות היא להבטיח שסיסמאות איכותיות עומדות ברמה הנדרשת ומיושמות באופן עקבי.

מערכות יצירת וניהול סיסמאות מספקות דרך טובה לרכז את אספקת הגישה והן מפחיתות את הסיכון שאנשים ישתמשו באותה כניסה לכל דבר, כפי שמודגם בסיפור הקטן הזה של מה שקורה כאשר לקוח יוצר קשר עם הצוות שלנו בנוגע לסיסמה שנשכחה !

כמו בכל מנגנון בקרה, מערכות יצירת וניהול סיסמאות צריכות להיות מיושמות בקפידה כדי להבטיח רמות הגנה נאותות ומידתיות.

בכל מקום אפשרי, משתמשים צריכים להיות מסוגלים לבחור את הסיסמאות שלהם, מכיוון שהדבר מקל על זכירתם מאשר אלה שנוצרו על ידי מכונה, עם זאת, זה צריך להיות עד לרמת חוזק מסוימת.

יש הרבה דעות סותרות לגבי מערכות ניהול סיסמאות ומדיניות סיסמאות ולכן אנו מעודדים ארגונים להסתכל על שיטות העבודה המומלצות המשתנות תכופות ולאמץ גישות המבוססות על תיאבון הסיכון והתרבות של הארגון.

כפי שהוזכר לעיל, NCSC הוא מקום טוב לסקור את השיטות העדכניות ביותר או פשוט לבקש מאיתנו להציג בפניך את אחד השותפים שלנו לעזרה.

A.9.4.4 שימוש בתוכניות שירות מועדפות

תוכניות מחשב של כלי שירות שעשויות להיות מסוגלות לעקוף את בקרות המערכת והיישומים צריכות להיות מנוהלות בקפידה.

תוכניות שירות עוצמתיות של מערכת ורשת יכולות ליצור יעד אטרקטיבי עבור תוקפים זדוניים והגישה אליהם חייבת להיות מוגבלת למספר הקטן ביותר של אנשים. מכיוון שניתן לאתר ולהוריד בקלות תוכנות שירות מסוג זה מהאינטרנט, חשוב גם שהמשתמשים יהיו מוגבלים ביכולתם להתקין כל תוכנה ככל האפשר תוך משקל מול דרישות עסקיות והערכת סיכונים. יש לרשום את השימוש בתוכניות שירות ולעקוב אחר/לבדוק מעת לעת כדי לספק את בקשות המבקר.

A.9.4.5 בקרת גישה לקוד המקור של התוכנית

יש להגביל את הגישה לקוד המקור של התוכנית. הגישה לקוד המקור של התוכנית ולפריטים הקשורים (כגון עיצובים, מפרטים, תוכניות אימות ותוכניות אימות) צריכה להיות בשליטה קפדנית.

קוד המקור של התוכנית יכול להיות פגיע להתקפה אם אינו מוגן כראוי ויכול לספק לתוקף אמצעים טובים להתפשר על מערכות באופן סמוי לעתים קרובות. אם קוד המקור הוא מרכזי להצלחת העסק, ההפסד שלו יכול גם להרוס את הערך העסקי במהירות.

בקרות צריכות לכלול התחשבות ב:

• לכמה שפחות אנשים יש גישה
• שמירה על קוד מקור מחוץ למערכות תפעוליות (רק קוד הידור)
• הגישה לקוד המקור מוגבלת ככל האפשר (דחה כברירת מחדל)
• גישה לקוד המקור תירשם והיומנים נבדקים מעת לעת
• נהלי בקרת שינויים חזקים וקפדניים
• ביקורות וסקירות תכופות

מדוע חשוב נספח A.9?

נספח A.9 הוא כנראה הסעיף המדובר ביותר בכל נספח A, ויש שיטענו שהוא החשוב ביותר.

הסיבה לכך היא שכל מערכת ניהול אבטחת המידע שלך (ISMS) מבוססת על לוודא שלאנשים הנכונים תהיה גישה למידע הנכון בזמן הנכון. ביצוע נכון הוא אחד המפתחות להצלחה, אך ביצוע שגוי יכול להיות בעל השפעה עצומה על העסק שלך.

תארו לעצמכם אם נתתם בטעות גישה למידע סודי של העובדים לאנשים הלא נכונים, כמו לחשוף מה כל אחד בעסק מקבל, למשל.

ההשלכות של טעות בחלק זה יכולות להיות משמעותיות, אז כדאי להקדיש מספיק זמן לחשוב על הכל.