- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 8.5 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 9.4.2 .
Zweck von ISO 27001:2022 Anhang A 8.5
Die sichere Authentifizierung ist die wichtigste Methode für den Zugriff menschlicher und nichtmenschlicher Benutzer auf die IKT-Ressourcen einer Organisation.
In den letzten zehn Jahren hat die Authentifizierungstechnologie einen großen Wandel von der klassischen Benutzernamen-/Passwortvalidierung hin zu einer Vielzahl ergänzender Methoden erlebt, die biometrische Daten, logische und physische Zugangskontrollen, Authentifizierungen externer Geräte, SMS-Codes und Einmalpasswörter (OTP) umfassen. .
Anhang A 8.5 bietet Organisationen einen Rahmen für die Kontrolle des Zugriffs auf ihre IKT-Systeme und -Ressourcen über ein sicheres Login-Gateway. Darin wird genau dargelegt, wie dies geschehen soll.
ISO 27001:2022 Annex A Control 8.5 ist a vorbeugende Maßnahme welche hält das Risiko aufrecht Ebenen durch die Einführung von Technologie und die Einführung sicherer Authentifizierungsverfahren, die sicherstellen, dass menschliche und nichtmenschliche Benutzer und Identitäten einen sicheren Authentifizierungsprozess durchlaufen, wenn sie versuchen, auf IKT-Ressourcen zuzugreifen.
Eigentum an Anlage A 8.5
ISO 27001:2022 Anhang A 8.5 befasst sich mit der Fähigkeit einer Organisation, den Zugriff auf ihr Netzwerk (und die darin gespeicherten Daten und Informationen) an Schlüsselpunkten, z. B. einem Anmeldeportal, zu kontrollieren.
Die Kontrolle erstreckt sich auf die Informations- und Datensicherheit als Ganzes, wobei sich die operative Anleitung hauptsächlich auf technische Aspekte konzentriert.
Die Head of IT (oder gleichwertig) sollte Eigentümer sein, da er täglich die Verantwortung für die IT-Verwaltungsaufgaben trägt.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Allgemeine Leitlinien zu ISO 27001:2022 Anhang A 8.5
Organisationen sollten bei der Prüfung von Authentifizierungskontrollen die Art und Sensibilität der Daten und des Netzwerks berücksichtigen, auf die zugegriffen wird. Beispiele für solche Kontrollen sind:
- Intelligente Zugangskontrollen (Smartcards).
- Biometrische Logins.
- Sichere Token.
- Multi-Faktor-Authentifizierung (MFA).
- Digitale Zertifikate.
Das Hauptziel der sicheren Authentifizierungsmaßnahmen eines Unternehmens sollte darin bestehen, die Möglichkeit eines unbefugten Zugriffs auf seine geschützten Systeme zu verhindern und zu verringern.
Um dies zu erreichen, legt ISO 27001:2022 Anhang A 8.5 zwölf zentrale Leitlinien fest. Unternehmen sollten:
- Stellen Sie sicher, dass Informationen erst nach einem erfolgreichen Authentifizierungsprozess angezeigt werden.
- Zeigen Sie vor der Anmeldung eine Warnmeldung an, die deutlich besagt, dass nur autorisierte Benutzer auf die Daten zugreifen dürfen.
- Reduzieren Sie die Hilfeleistung für Unbefugte, die versuchen, in das System einzudringen. Unternehmen sollten beispielsweise nicht offenlegen, welcher Teil der Anmeldung falsch war, etwa ein biometrischer Faktor einer Anmeldung mit Multi-Faktor-Authentifizierung, sondern lediglich angeben, dass die Anmeldung nicht funktioniert hat.
- Um die Sicherheit zu gewährleisten, überprüfen Sie den Anmeldeversuch erst, wenn alle erforderlichen Informationen an den Anmeldedienst übermittelt wurden.
- Implementieren Sie branchenübliche Sicherheitsmaßnahmen zum Schutz vor pauschalen Zugriffen und Brute-Force-Angriffen auf Anmeldeportale. Dazu können gehören:
- CAPTCHA ist eine Sicherheitsfunktion, die die Eingabe einer Zeichenfolge erfordert, um zu bestätigen, dass Sie ein menschlicher Benutzer sind.
- Erzwingen des Zurücksetzens eines Passworts nach einer bestimmten Anzahl erfolgloser Anmeldeversuche.
- Nach einer bestimmten Anzahl erfolgloser Versuche werden weitere Anmeldungen vereitelt. Um dies zu verhindern, legen Sie ein Limit fest.
- Aus Prüfungs- und Sicherheitsgründen wird jeder fehlgeschlagene Login-Versuch protokolliert, auch bei Straf- und/oder behördlichen Verfahren.
- Bei größeren Login-Diskrepanzen, etwa bei Verdacht auf einen Einbruch, muss umgehend ein Sicherheitsvorfall eingeleitet werden. Interne Mitarbeiter, insbesondere solche mit Systemadministratorzugriff oder der Fähigkeit, böswillige Anmeldeversuche zu verhindern, müssen sofort benachrichtigt werden.
- Sobald ein erfolgreicher Login bestätigt wurde, müssen bestimmte Daten an ein anderes Repository übermittelt werden, die Folgendes umfassen:
- Die letzte erfolgreiche Anmeldung erfolgte am [Datum] um [Uhrzeit].
- Aufzeichnung aller Anmeldeversuche seit der letzten authentifizierten Anmeldung.
- Zeigen Sie Passwörter als Sternchen oder andere ähnliche abstrakte Symbole an, es sei denn, es gibt einen Grund dagegen (z. B. Benutzerzugänglichkeit).
- Es wird nicht geduldet, dass Passwörter weitergegeben oder in einfachem, lesbarem Text angezeigt werden.
- Stellen Sie sicher, dass inaktive Anmeldesitzungen nach einem festgelegten Zeitraum beendet werden. Dies gilt insbesondere für Sitzungen an Orten mit hohem Risiko (Remote work Situationen) oder auf benutzereigenen Geräten wie persönlichen Laptops oder Mobiltelefonen.
- Begrenzen Sie die Dauer, für die eine authentifizierte Sitzung geöffnet bleiben darf, auch wenn sie aktiv ist, abhängig von den Daten, auf die zugegriffen wird (z. B. wichtige Geschäftsinformationen oder geldbezogene Programme).
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Anleitung zu biometrischen Anmeldungen
Die Internationale Organisation für Normung fordert die Kombination biometrischer Anmeldeverfahren mit mindestens eine weitere Anmeldetechnik, aufgrund ihrer vergleichbaren Wirksamkeit und Integrität im Vergleich zu herkömmlichen Methoden wie Passwörtern, MFA und Token.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 8.5 ersetzt ISO 27001:2013 Anhang A 9.4.2 (Sichere Anmeldeprotokolle).
ISO 27001:2022 Anhang A 8.5 ist eine Überarbeitung der Version von 2013 mit geringfügigen Änderungen an der Sprache und denselben zugrunde liegenden Sicherheitsprinzipien. Das Dokument enthält weiterhin die 12 bekannten Leitpunkte.
Im Einklang mit dem zunehmenden Einsatz von Multi-Faktor-Authentifizierung und biometrischen Anmeldetechnologien in den letzten zehn Jahren enthält ISO 27001:2022 Anhang A 8.5 explizite Anweisungen dazu, wie Organisationen diese Techniken bei der Formulierung ihrer eigenen Anmeldekontrollen integrieren sollten.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wie ISMS.online hilft
Unsere cloudbasierte Plattform stattet Sie mit einem starken Framework aus Informationssicherheit Kontrollen, um den ISMS-Prozess zu unterstützen und sicherzustellen, dass er die ISO 27001:2022-Kriterien erfüllt. Richtig eingesetzt, ISMS.online kann Ihnen bei der Zertifizierung helfen mit minimalem Zeit- und Ressourcenaufwand.
Kontaktieren Sie uns noch heute zu Vereinbaren Sie eine Vorführung.