ISO 27002, בקרה 5.16, ניהול זהויות

ISO 27002:2022- בקרה 5.16 – ניהול זהויות

זהויות משמשות רשתות מחשבים כדי לזהות את היכולת הבסיסית של ישות (משתמש, קבוצת משתמשים, מכשיר או נכס IT) לגשת לקבוצה קבועה מראש של משאבי חומרה ותוכנה. בקרה 5.16 עוסקת באישור, רישום וניהול – המוגדרים כ'מחזור החיים המלא' – של זהויות אנושיות ולא אנושיות בכל רשת נתונה.

מהי מטרת בקרה 5.16?

5.16 עוסק ביכולת של ארגון לזהות מי (משתמשים, קבוצות משתמשים) או מה (יישומים, מערכות והתקנים) ניגש לנתונים או לנכסי IT בכל זמן נתון, וכיצד לאותן זהויות מוענקות זכויות גישה ברחבי הרשת.

5.16 הוא בקרה מונעת ש שומר על סיכון על ידי התפקדות כמסגרת הראשית של כל הקשורים אבטחת מידע ואבטחת סייבר פעולות, כמו גם ממשל המצב העיקרי שמכתיב את מסגרת ניהול הזהות והגישה של הארגון.

תכונות שליטה 5.16

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול זהות וגישה	#הֲגָנָה
	#יושרה
	#זמינות

בעלות

בהתחשב בעובדה ש-5.16 משרת את מה שהיא בעיקרה פונקציית תחזוקה, הבעלות צריכה להיות מופנית כלפי צוות IT אשר הוקצו להם זכויות מנהל עולמיות (או שווה ערך עבור תשתית שאינה מבוססת Windows).

אמנם ישנם תפקידים מובנים אחרים המאפשרים למשתמשים לנהל זהויות (למשל מנהל דומיין), הבעלות על 5.16 צריכה להיות בידי האדם שיש לו את האולטימטיבי אחריות על כל הרשת של הארגון, כולל כל תת-הדומיינים ודיירי Active Directory.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

ליווי כללי

עמידה בבקרה 5.16 מושגת באמצעות שילוב של הבטחת נהלים מבוססי זהות מנוסחים בבירור במסמכי מדיניות, ומעקב אחר ציות יום-יומי בקרב הצוות.

5.16 מפרט שישה נהלים עיקריים שארגון צריך לבצע, על מנת לעמוד בסטנדרטים הנדרשים של ממשל infosec ואבטחת סייבר:

כאשר זהויות מוקצות לאדם, רק אותו אדם ספציפי רשאי לבצע אימות ו/או להשתמש בזהות זו בעת גישה למשאבי רשת.

מענה לארועים - מדיניות ה-IT צריכה לקבוע בבירור שמשתמשים לא ישתפו פרטי התחברות, או לאפשר למשתמשים אחרים לשוטט ברשת באמצעות כל זהות אחרת מזו שהוקצתה להם.

לפעמים ייתכן שיהיה צורך להקצות זהות למספר אנשים - הידוע גם בשם 'זהות משותפת'. יש להשתמש בגישה זו במשורה, ורק כדי לעמוד בסט מפורש של דרישות תפעוליות.

מענה לארועים – ארגונים צריכים להתייחס לרישום זהויות משותפות כהליך נפרד לזהויות של משתמש יחיד, עם זרימת עבודה ייעודית לאישור.

מה שנקרא "ישויות לא אנושיות" (כפי שהשם מרמז, כל זהות שאינה מחוברת למשתמש בפועל) צריכות להיחשב באופן שונה מזהויות מבוססות משתמש בנקודת ההרשמה.

מענה לארועים – בדומה לזהויות משותפות, זהויות לא אנושיות צריכות בתורן להיות עם תהליך אישור ורישום משלהן שמכיר בהבדל הבסיסי בין הקצאת זהות לאדם, לבין הענקת זהות לנכס, אפליקציה או מכשיר.

זהויות שאינן נדרשות עוד (עוזבים, נכסים מיותרים וכו') צריכות להיות מושבתות על ידי מנהל רשת, או להסיר לחלוטין, לפי הצורך.

מענה לארועים - צוות IT צריך לבצע ביקורות שוטפות זה מפרט זהויות לפי סדר השימוש, ומזהה אילו ישויות (אנושיות או לא אנושיות) יכולות להיות מושעות או מחיקות. צוות משאבי אנוש צריך לכלול ניהול זהויות בהליכי היציאה שלהם, וליידע את צוות ה-IT על עוזבים בזמן.

יש להימנע בכל מחיר מכפילות זהויות. על חברות לדבוק בכלל של 'ישות אחת, זהות אחת'.

מענה לארועים – צוות ה-IT צריך להישאר ערני בעת הקצאת תפקידים ברשת, ולוודא כי ישויות לא יקבלו זכויות גישה המבוססות על מספר זהויות.

יש לשמור תיעוד הולם של כל 'אירועים משמעותיים' לגבי ניהול זהויות ומידע אימות.

מענה לארועים – ניתן לפרש את המונח 'אירוע משמעותי' באופנים שונים, אך ברמה הבסיסית ארגונים צריכים להבטיח שנוהלי הממשל שלהם כוללים תיעוד של רישום זהות, פרוטוקולים חזקים של בקשת שינוי עם הליך אישורים מתאים, ויכולת לייצר רשימה מקיפה של זהויות שהוקצו בכל זמן נתון.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הדרכה משלימה

בנוסף לששת השיקולים התפעוליים העיקריים, 5.16 מפרט גם ארבעה שלבים שארגונים צריכים לבצע בעת יצירת זהות והענקתה גישה למשאבי רשת (תיקון או הסרה של זכויות גישה מטופל בבקרה 5.18):

הקמת מקרה עסקי לפני יצירת זהות

מענה לארועים – חשוב להכיר בכך שניהול זהויות הופך לקשה יותר באופן אקספוננציאלי עם כל זהות חדשה שנוצרת. ארגונים צריכים ליצור זהויות חדשות רק כאשר יש צורך ברור לעשות זאת.

ודא שהישות שקיבלה את הזהות (אנושית או לא אנושית) אומתה באופן עצמאי.

מענה לארועים - לאחר אישור מקרה עסקי, נהלי ניהול זהות וגישה צריכים להכיל צעדים כדי להבטיח שלאדם או לנכס המקבלים זהות חדשה יש את הסמכות הנדרשת לעשות זאת, לפני יצירת זהות.

ביסוס זהות

לאחר שהישות אומתה, צוות ה-IT צריך ליצור זהות התואמת את דרישות המקרה העסקי, ומוגבלת למה שנקבע בכל מסמכי בקשת שינוי.

תצורה והפעלה סופית

הגמר שלב בתהליך כולל הקצאת זהות להרשאות והתפקידים השונים המבוססים על גישה (RBAC), ולכל שירותי אימות משויכים הנדרשים.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים מ-ISO 27002:2013

כללי

27002:2022 / 5.16 מחליף את 27002:2013/9.2.1 (רישום וביטול רישום משתמש) – שבעצמו היווה חלק ממערך בקרת ניהול גישת המשתמשים של 27002:2013. בעוד שיש כמה קווי דמיון בין שני הפקדים - בעיקר בפרוטוקולי תחזוקה, ובביטול מזהים מיותרים - 5.16 מכיל קבוצה מקיפה הרבה יותר של הנחיות המבקשות להתייחס לניהול זהות וגישה כקונספט מקצה לקצה.

זהויות אנושיות מול לא אנושיות

ההבדל העיקרי בין הבקרה של 2022 לקודמתה משנת 2013 היא ההכרה שבעוד שיש הבדלים בתהליך הרישום, זהויות אנושיות ולא-אנושיות אינן מטופלות עוד בנפרדות זו מזו, למטרות ניהול רשת כלליות.

עם תחילתם של פרוטוקולי RBAC מודרניים של זהות וגישה ופרוטוקולי RBAC מבוססי Windows, הנחיות ניהול IT והנחיות שיטות עבודה מומלצות מדברות על זהויות אנושיות ולא אנושיות פחות או יותר זו בזו. 27002:2013/9.2.1 אינו מכיל הנחיות כיצד לנהל זהויות שאינן אנושיות, והוא עוסק אך ורק בניהול של מה שהוא מכנה 'מזהי משתמש' (כלומר פרטי התחברות המשמשים לגישה לרשת, יחד עם סיסמה).

תיעוד

כפי שראינו, 27002:2013/5.16 מכיל הדרכה מפורשת לא רק על השלכות האבטחה הכלליות של ממשל זהות, אלא גם כיצד ארגונים צריכים לתעד ולעבד מידע לפני הקצאת זהות, ולאורך מחזור החיים שלה. לשם השוואה, 27002:2013/9.2.1 מזכיר רק בקצרה את התפקיד הנלווה שממלא ממשל ה-IT, ומגביל את עצמו לתרגול הפיזי של ניהול זהויות, כפי שמתבצע על ידי צוות ה-IT.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

אנחנו מובילים בתחומנו