זהויות משמשות רשתות מחשבים כדי לזהות את היכולת הבסיסית של ישות (משתמש, קבוצת משתמשים, מכשיר או נכס IT) לגשת לקבוצה קבועה מראש של משאבי חומרה ותוכנה.
בקרה 5.16 עוסקת באישור, רישום וניהול – המוגדרים כ'מחזור החיים המלא' – של זהויות אנושיות ולא אנושיות בכל רשת נתונה.
5.16 עוסק ביכולת של ארגון לזהות מי (משתמשים, קבוצות משתמשים) או מה (יישומים, מערכות והתקנים) ניגש לנתונים או לנכסי IT בכל זמן נתון, וכיצד לאותן זהויות מוענקות זכויות גישה ברחבי הרשת.
5.16 הוא בקרה מונעת ש שומר על סיכון על ידי התפקדות כמסגרת הראשית של כל הקשורים אבטחת מידע ואבטחת סייבר פעולות, כמו גם ממשל המצב העיקרי שמכתיב את מסגרת ניהול הזהות והגישה של הארגון.
סוג בקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול זהות וגישה | #הֲגָנָה |
בהתחשב בעובדה ש-5.16 משרת את מה שהיא בעיקרה פונקציית תחזוקה, הבעלות צריכה להיות מופנית כלפי צוות IT אשר הוקצו להם זכויות מנהל עולמיות (או שווה ערך עבור תשתית שאינה מבוססת Windows).
אמנם ישנם תפקידים מובנים אחרים המאפשרים למשתמשים לנהל זהויות (למשל מנהל דומיין), הבעלות על 5.16 צריכה להיות בידי האדם שיש לו את האולטימטיבי אחריות על כל הרשת של הארגון, כולל כל תת-הדומיינים ודיירי Active Directory.
עמידה בבקרה 5.16 מושגת באמצעות שילוב של הבטחת נהלים מבוססי זהות מנוסחים בבירור במסמכי מדיניות, ומעקב אחר ציות יום-יומי בקרב הצוות.
5.16 מפרט שישה נהלים עיקריים שארגון צריך לבצע, על מנת לעמוד בסטנדרטים הנדרשים של ממשל infosec ואבטחת סייבר:
מענה לארועים - מדיניות ה-IT צריכה לקבוע בבירור שמשתמשים לא ישתפו פרטי התחברות, או לאפשר למשתמשים אחרים לשוטט ברשת באמצעות כל זהות אחרת מזו שהוקצתה להם.
מענה לארועים – ארגונים צריכים להתייחס לרישום זהויות משותפות כהליך נפרד לזהויות של משתמש יחיד, עם זרימת עבודה ייעודית לאישור.
מענה לארועים – בדומה לזהויות משותפות, זהויות לא אנושיות צריכות בתורן להיות עם תהליך אישור ורישום משלהן שמכיר בהבדל הבסיסי בין הקצאת זהות לאדם, לבין הענקת זהות לנכס, אפליקציה או מכשיר.
מענה לארועים - צוות IT צריך לבצע ביקורות שוטפות זה מפרט זהויות לפי סדר השימוש, ומזהה אילו ישויות (אנושיות או לא אנושיות) יכולות להיות מושעות או מחיקות. צוות משאבי אנוש צריך לכלול ניהול זהויות בהליכי היציאה שלהם, וליידע את צוות ה-IT על עוזבים בזמן.
מענה לארועים – צוות ה-IT צריך להישאר ערני בעת הקצאת תפקידים ברשת, ולוודא כי ישויות לא יקבלו זכויות גישה המבוססות על מספר זהויות.
מענה לארועים – ניתן לפרש את המונח 'אירוע משמעותי' באופנים שונים, אך ברמה הבסיסית ארגונים צריכים להבטיח שנוהלי הממשל שלהם כוללים תיעוד של רישום זהות, פרוטוקולים חזקים של בקשת שינוי עם הליך אישורים מתאים, ויכולת לייצר רשימה מקיפה של זהויות שהוקצו בכל זמן נתון.
בנוסף לששת השיקולים התפעוליים העיקריים, 5.16 מפרט גם ארבעה שלבים שארגונים צריכים לבצע בעת יצירת זהות והענקתה גישה למשאבי רשת (תיקון או הסרה של זכויות גישה מטופל בבקרה 5.18):
מענה לארועים – חשוב להכיר בכך שניהול זהויות הופך לקשה יותר באופן אקספוננציאלי עם כל זהות חדשה שנוצרת. ארגונים צריכים ליצור זהויות חדשות רק כאשר יש צורך ברור לעשות זאת.
מענה לארועים - לאחר אישור מקרה עסקי, נהלי ניהול זהות וגישה צריכים להכיל צעדים כדי להבטיח שלאדם או לנכס המקבלים זהות חדשה יש את הסמכות הנדרשת לעשות זאת, לפני יצירת זהות.
לאחר שהישות אומתה, צוות ה-IT צריך ליצור זהות התואמת את דרישות המקרה העסקי, ומוגבלת למה שנקבע בכל מסמכי בקשת שינוי.
27002:2022 / 5.16 מחליף את 27002:2013/9.2.1 (רישום וביטול רישום משתמש) – שבעצמו היווה חלק ממערך בקרת ניהול גישת המשתמשים של 27002:2013. בעוד שיש כמה קווי דמיון בין שני הפקדים - בעיקר בפרוטוקולי תחזוקה, ובביטול מזהים מיותרים - 5.16 מכיל קבוצה מקיפה הרבה יותר של הנחיות המבקשות להתייחס לניהול זהות וגישה כקונספט מקצה לקצה.
ההבדל העיקרי בין הבקרה של 2022 לקודמתה משנת 2013 היא ההכרה שבעוד שיש הבדלים בתהליך הרישום, זהויות אנושיות ולא-אנושיות אינן מטופלות עוד בנפרדות זו מזו, למטרות ניהול רשת כלליות.
עם תחילתם של פרוטוקולי RBAC מודרניים של זהות וגישה ופרוטוקולי RBAC מבוססי Windows, הנחיות ניהול IT והנחיות שיטות עבודה מומלצות מדברות על זהויות אנושיות ולא אנושיות פחות או יותר זו בזו. 27002:2013/9.2.1 אינו מכיל הנחיות כיצד לנהל זהויות שאינן אנושיות, והוא עוסק אך ורק בניהול של מה שהוא מכנה 'מזהי משתמש' (כלומר פרטי התחברות המשמשים לגישה לרשת, יחד עם סיסמה).
כפי שראינו, 27002:2013/5.16 מכיל הדרכה מפורשת לא רק על השלכות האבטחה הכלליות של ממשל זהות, אלא גם כיצד ארגונים צריכים לתעד ולעבד מידע לפני הקצאת זהות, ולאורך מחזור החיים שלה. לשם השוואה, 27002:2013/9.2.1 מזכיר רק בקצרה את התפקיד הנלווה שממלא ממשל ה-IT, ומגביל את עצמו לתרגול הפיזי של ניהול זהויות, כפי שמתבצע על ידי צוות ה-IT.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISMS.online יחסוך לך זמן וכסף
קבל את הצעת המחיר שלך