ISO 27002:2022, בקרה 5.16 – ניהול זהויות

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

מקרוב,למעלה,על,ידיים,של,איש,שחור,אפריקאי,אמריקאי

זהויות משמשות רשתות מחשבים כדי לזהות את היכולת הבסיסית של ישות (משתמש, קבוצת משתמשים, מכשיר או נכס IT) לגשת לקבוצה קבועה מראש של משאבי חומרה ותוכנה.

בקרה 5.16 עוסקת באישור, רישום וניהול – המוגדרים כ'מחזור החיים המלא' – של זהויות אנושיות ולא אנושיות בכל רשת נתונה.

מטרה

5.16 עוסק ביכולת של ארגון לזהות מי (משתמשים, קבוצות משתמשים) או מה (יישומים, מערכות והתקנים) ניגש לנתונים או לנכסי IT בכל זמן נתון, וכיצד לאותן זהויות מוענקות זכויות גישה ברחבי הרשת.

5.16 הוא בקרה מונעת ש שומר על סיכון על ידי התפקדות כמסגרת הראשית של כל הקשורים אבטחת מידע ואבטחת סייבר פעולות, כמו גם ממשל המצב העיקרי שמכתיב את מסגרת ניהול הזהות והגישה של הארגון.

טבלת תכונות

סוג בקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות #יושרה #זמינות#לְהַגֵן#ניהול זהות וגישה#הֲגָנָה

בעלות

בהתחשב בעובדה ש-5.16 משרת את מה שהיא בעיקרה פונקציית תחזוקה, הבעלות צריכה להיות מופנית כלפי צוות IT אשר הוקצו להם זכויות מנהל עולמיות (או שווה ערך עבור תשתית שאינה מבוססת Windows).

אמנם ישנם תפקידים מובנים אחרים המאפשרים למשתמשים לנהל זהויות (למשל מנהל דומיין), הבעלות על 5.16 צריכה להיות בידי האדם שיש לו את האולטימטיבי אחריות על כל הרשת של הארגון, כולל כל תת-הדומיינים ודיירי Active Directory.

קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

ליווי כללי

עמידה בבקרה 5.16 מושגת באמצעות שילוב של הבטחת נהלים מבוססי זהות מנוסחים בבירור במסמכי מדיניות, ומעקב אחר ציות יום-יומי בקרב הצוות.

5.16 מפרט שישה נהלים עיקריים שארגון צריך לבצע, על מנת לעמוד בסטנדרטים הנדרשים של ממשל infosec ואבטחת סייבר:

  • כאשר זהויות מוקצות לאדם, רק אותו אדם ספציפי רשאי לבצע אימות ו/או להשתמש בזהות זו בעת גישה למשאבי רשת.

    מענה לארועים - מדיניות ה-IT צריכה לקבוע בבירור שמשתמשים לא ישתפו פרטי התחברות, או לאפשר למשתמשים אחרים לשוטט ברשת באמצעות כל זהות אחרת מזו שהוקצתה להם.

  • לפעמים ייתכן שיהיה צורך להקצות זהות למספר אנשים - הידוע גם בשם 'זהות משותפת'. יש להשתמש בגישה זו במשורה, ורק כדי לעמוד בסט מפורש של דרישות תפעוליות.

    מענה לארועים – ארגונים צריכים להתייחס לרישום זהויות משותפות כהליך נפרד לזהויות של משתמש יחיד, עם זרימת עבודה ייעודית לאישור.

  • מה שנקרא "ישויות לא אנושיות" (כפי שהשם מרמז, כל זהות שאינה מחוברת למשתמש בפועל) צריכות להיחשב באופן שונה מזהויות מבוססות משתמש בנקודת ההרשמה.

    מענה לארועים – בדומה לזהויות משותפות, זהויות לא אנושיות צריכות בתורן להיות עם תהליך אישור ורישום משלהן שמכיר בהבדל הבסיסי בין הקצאת זהות לאדם, לבין הענקת זהות לנכס, אפליקציה או מכשיר.

  • זהויות שאינן נדרשות עוד (עוזבים, נכסים מיותרים וכו') צריכות להיות מושבתות על ידי מנהל רשת, או להסיר לחלוטין, לפי הצורך.

    מענה לארועים - צוות IT צריך לבצע ביקורות שוטפות זה מפרט זהויות לפי סדר השימוש, ומזהה אילו ישויות (אנושיות או לא אנושיות) יכולות להיות מושעות או מחיקות. צוות משאבי אנוש צריך לכלול ניהול זהויות בהליכי היציאה שלהם, וליידע את צוות ה-IT על עוזבים בזמן.

  • יש להימנע בכל מחיר מכפילות זהויות. על חברות לדבוק בכלל של 'ישות אחת, זהות אחת'.

    מענה לארועים – צוות ה-IT צריך להישאר ערני בעת הקצאת תפקידים ברשת, ולוודא כי ישויות לא יקבלו זכויות גישה המבוססות על מספר זהויות.

  • יש לשמור תיעוד הולם של כל 'אירועים משמעותיים' לגבי ניהול זהויות ומידע אימות.

    מענה לארועים – ניתן לפרש את המונח 'אירוע משמעותי' באופנים שונים, אך ברמה הבסיסית ארגונים צריכים להבטיח שנוהלי הממשל שלהם כוללים תיעוד של רישום זהות, פרוטוקולים חזקים של בקשת שינוי עם הליך אישורים מתאים, ויכולת לייצר רשימה מקיפה של זהויות שהוקצו בכל זמן נתון.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הדרכה משלימה

בנוסף לששת השיקולים התפעוליים העיקריים, 5.16 מפרט גם ארבעה שלבים שארגונים צריכים לבצע בעת יצירת זהות והענקתה גישה למשאבי רשת (תיקון או הסרה של זכויות גישה מטופל בבקרה 5.18):

  • הקמת מקרה עסקי לפני יצירת זהות

    מענה לארועים – חשוב להכיר בכך שניהול זהויות הופך לקשה יותר באופן אקספוננציאלי עם כל זהות חדשה שנוצרת. ארגונים צריכים ליצור זהויות חדשות רק כאשר יש צורך ברור לעשות זאת.

  • ודא שהישות שקיבלה את הזהות (אנושית או לא אנושית) אומתה באופן עצמאי.

    מענה לארועים - לאחר אישור מקרה עסקי, נהלי ניהול זהות וגישה צריכים להכיל צעדים כדי להבטיח שלאדם או לנכס המקבלים זהות חדשה יש את הסמכות הנדרשת לעשות זאת, לפני יצירת זהות.

  • ביסוס זהות

    לאחר שהישות אומתה, צוות ה-IT צריך ליצור זהות התואמת את דרישות המקרה העסקי, ומוגבלת למה שנקבע בכל מסמכי בקשת שינוי.

  • תצורה והפעלה סופית

    הגמר שלב בתהליך כולל הקצאת זהות להרשאות והתפקידים השונים המבוססים על גישה (RBAC), ולכל שירותי אימות משויכים הנדרשים.

שינויים מ-ISO 27002:2013

כללי

27002:2022 / 5.16 מחליף את 27002:2013/9.2.1 (רישום וביטול רישום משתמש) – שבעצמו היווה חלק ממערך בקרת ניהול גישת המשתמשים של 27002:2013. בעוד שיש כמה קווי דמיון בין שני הפקדים - בעיקר בפרוטוקולי תחזוקה, ובביטול מזהים מיותרים - 5.16 מכיל קבוצה מקיפה הרבה יותר של הנחיות המבקשות להתייחס לניהול זהות וגישה כקונספט מקצה לקצה.

זהויות אנושיות מול לא אנושיות

ההבדל העיקרי בין הבקרה של 2022 לקודמתה משנת 2013 היא ההכרה שבעוד שיש הבדלים בתהליך הרישום, זהויות אנושיות ולא-אנושיות אינן מטופלות עוד בנפרדות זו מזו, למטרות ניהול רשת כלליות.

עם תחילתם של פרוטוקולי RBAC מודרניים של זהות וגישה ופרוטוקולי RBAC מבוססי Windows, הנחיות ניהול IT והנחיות שיטות עבודה מומלצות מדברות על זהויות אנושיות ולא אנושיות פחות או יותר זו בזו. 27002:2013/9.2.1 אינו מכיל הנחיות כיצד לנהל זהויות שאינן אנושיות, והוא עוסק אך ורק בניהול של מה שהוא מכנה 'מזהי משתמש' (כלומר פרטי התחברות המשמשים לגישה לרשת, יחד עם סיסמה).

תיעוד

כפי שראינו, 27002:2013/5.16 מכיל הדרכה מפורשת לא רק על השלכות האבטחה הכלליות של ממשל זהות, אלא גם כיצד ארגונים צריכים לתעד ולעבד מידע לפני הקצאת זהות, ולאורך מחזור החיים שלה. לשם השוואה, 27002:2013/9.2.1 מזכיר רק בקצרה את התפקיד הנלווה שממלא ממשל ה-IT, ומגביל את עצמו לתרגול הפיזי של ניהול זהויות, כפי שמתבצע על ידי צוות ה-IT.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת

ISMS.online יחסוך לך זמן וכסף

קבל את הצעת המחיר שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף