Was ist der Zweck von Kontrolle 5.16?
5.16 befasst sich mit der Fähigkeit einer Organisation zu identifizieren, wer (Benutzer, Benutzergruppen) oder was (Anwendungen, Systeme und Geräte) zu einem bestimmten Zeitpunkt auf Daten oder IT-Ressourcen zugreift, und wie diesen Identitäten Zugriffsrechte im gesamten Netzwerk gewährt werden.
5.16 ist eine vorbeugende Kontrolle hält das Risiko aufrecht indem es als Hauptperimeter für alle verbundenen fungiert Informationssicherheit und Cybersicherheit Operationen sowie die primäre Modus-Governance, die das Identitäts- und Zugriffsmanagement-Framework einer Organisation vorgibt.
Kontrollattribute 5.16
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Identitäts- und Zugriffsverwaltung | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
Impressum
Da 5.16 in erster Linie einer Wartungsfunktion dient, sollte die Verantwortung an IT-Mitarbeiter gerichtet werden, denen globale Administratorrechte (oder gleichwertige Rechte für nicht auf Windows basierende Infrastrukturen) zugewiesen wurden.
Während es andere integrierte Rollen gibt, die es Benutzern ermöglichen, Identitäten zu verwalten (z. B. Domänenadministrator), sollte der Besitz von 5.16 bei der Person liegen, die die ultimativen Rechte hat Verantwortung für das gesamte Netzwerk einer Organisation, einschließlich aller Subdomänen und Active Directory-Mandanten.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Anleitung
Die Einhaltung von Kontrolle 5.16 wird durch eine Kombination aus der Sicherstellung, dass identitätsbasierte Verfahren in Richtliniendokumenten klar dargelegt werden, und der Überwachung der täglichen Einhaltung durch das Personal erreicht.
5.16 listet sechs Hauptverfahren auf, die eine Organisation befolgen muss, um die erforderlichen Standards für Informationssicherheit und Cybersicherheits-Governance zu erfüllen:
- Wenn einer Person Identitäten zugewiesen werden, darf sich nur diese bestimmte Person beim Zugriff auf Netzwerkressourcen mit dieser Identität authentifizieren und/oder verwenden.
Compliance – IT-Richtlinien müssen klar festlegen, dass Benutzer keine Anmeldeinformationen weitergeben oder anderen Benutzern erlauben dürfen, sich mit einer anderen als der ihnen zugewiesenen Identität im Netzwerk zu bewegen.
- Manchmal kann es notwendig sein, mehreren Personen eine Identität zuzuweisen – auch bekannt als „gemeinsame Identität“. Dieser Ansatz sollte sparsam und nur zur Erfüllung expliziter betrieblicher Anforderungen eingesetzt werden.
Compliance – Organisationen sollten die Registrierung gemeinsamer Identitäten als ein von Einzelbenutzeridentitäten getrenntes Verfahren mit einem speziellen Genehmigungsworkflow behandeln.
- Sogenannte „nichtmenschliche“ Entitäten (wie der Name schon sagt, jede Identität, die nicht mit einem tatsächlichen Benutzer verknüpft ist) sollten bei der Registrierung anders betrachtet werden als benutzerbasierte Identitäten.
Compliance – Wie bei gemeinsamen Identitäten sollten nichtmenschliche Identitäten wiederum über einen eigenen Genehmigungs- und Registrierungsprozess verfügen, der den zugrunde liegenden Unterschied zwischen der Zuweisung einer Identität an eine Person und der Gewährung einer Identität an einen Vermögenswert, eine Anwendung oder ein Gerät anerkennt.
- Nicht mehr benötigte Identitäten (Abgänger, redundante Assets usw.) sollten je nach Bedarf von einem Netzwerkadministrator deaktiviert oder vollständig entfernt werden.
Compliance – IT-Mitarbeiter sollten führen regelmäßige Audits durch die Identitäten in der Reihenfolge ihrer Verwendung auflisten und angeben, welche Entitäten (menschliche oder nichtmenschliche) suspendiert oder gelöscht werden können. Personalmitarbeiter sollten das Identitätsmanagement in ihre Offboarding-Verfahren einbeziehen und die IT-Mitarbeiter rechtzeitig über Abgänge informieren.
- Doppelte Identitäten sollten unbedingt vermieden werden. Unternehmen sollten sich grundsätzlich an die Regel „Eine Einheit, eine Identität“ halten.
Compliance – IT-Mitarbeiter sollten bei der Zuweisung von Rollen in einem Netzwerk wachsam bleiben und sicherstellen, dass Entitäten keine Zugriffsrechte basierend auf mehreren Identitäten gewährt werden.
- Über alle „wesentlichen Ereignisse“ in Bezug auf Identitätsmanagement und Authentifizierungsinformationen sollten angemessene Aufzeichnungen geführt werden.
Compliance – Der Begriff „bedeutendes Ereignis“ kann auf verschiedene Arten interpretiert werden, jedoch auf einer grundlegenden Ebene Organisationen brauchen um sicherzustellen, dass ihre Governance-Verfahren eine Dokumentation der Identitätsregistrierung, robuste Protokolle für Änderungsanfragen mit einem geeigneten Genehmigungsverfahren und die Möglichkeit umfassen, jederzeit eine umfassende Liste der zugewiesenen Identitäten zu erstellen.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Ergänzende Anleitung
Neben den sechs wichtigsten betrieblichen Überlegungen listet 5.16 auch vier Schritte auf, die Organisationen bei der Erstellung und Gewährung einer Identität befolgen müssen Zugriff auf Netzwerkressourcen (Das Ändern oder Entfernen von Zugriffsrechten wird in Steuerung 5.18 behandelt):
- Erstellen Sie einen Business Case bevor eine Identität erstellt wird
Compliance – Es ist wichtig anzuerkennen, dass das Identitätsmanagement mit jeder neu geschaffenen Identität exponentiell schwieriger wird. Organisationen sollten nur dann neue Identitäten schaffen, wenn ein klarer Bedarf dafür besteht.
- Stellen Sie sicher, dass die Entität, der die Identität zugewiesen wird (menschlich oder nicht-menschlich), unabhängig überprüft wurde.
Compliance – Sobald ein Geschäftsfall genehmigt wurde, sollten die Verfahren zur Identitäts- und Zugriffsverwaltung Schritte enthalten, um sicherzustellen, dass die Person oder der Vermögenswert, der eine neue Identität erhält, über die erforderliche Befugnis dazu verfügt, bevor eine Identität erstellt wird.
- Identität etablieren
Sobald die Entität verifiziert wurde, sollten die IT-Mitarbeiter eine Identität erstellen, die den Anforderungen des Geschäftsfalls entspricht und sich auf die Angaben in den Dokumentationen der Änderungsanträge beschränkt.
- Endgültige Konfiguration und Aktivierung
Das endgültige Schritt im Prozess beinhaltet Zuweisen einer Identität zu den verschiedenen zugriffsbasierten Berechtigungen und Rollen (RBAC) und allen damit verbundenen Authentifizierungsdiensten, die erforderlich sind.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen gegenüber ISO 27002:2013
Allgemein
27002:2022 / 5.16 ersetzt 27002:2013/9.2.1 (Benutzerregistrierung und -abmeldung) – das selbst Teil des Kontrollsatzes für die Benutzerzugriffsverwaltung von 27002:2013 war. Obwohl es einige Ähnlichkeiten zwischen den beiden Kontrollen gibt – vor allem in den Wartungsprotokollen und der Deaktivierung redundanter IDs – enthält 5.16 einen weitaus umfassenderen Satz von Richtlinien, die darauf abzielen, das Identitäts- und Zugriffsmanagement als End-to-End-Konzept zu behandeln.
Menschliche vs. nichtmenschliche Identitäten
Der Hauptunterschied zwischen der Kontrolle von 2022 und ihrem Vorgänger von 2013 besteht darin, dass anerkannt wird, dass es zwar Unterschiede im Registrierungsprozess gibt, menschliche und nichtmenschliche Identitäten jedoch für allgemeine Netzwerkverwaltungszwecke nicht mehr als voneinander getrennt behandelt werden.
Mit dem Aufkommen moderner Identitäts- und Zugriffsverwaltung und Windows-basierter RBAC-Protokolle sprechen IT-Governance und Best-Practice-Richtlinien mehr oder weniger austauschbar von menschlichen und nichtmenschlichen Identitäten. 27002:2013/9.2.1 enthält keine Anleitung zur Verwaltung nichtmenschlicher Identitäten und befasst sich ausschließlich mit der Verwaltung sogenannter „Benutzer-IDs“ (d. h. Anmeldeinformationen, die für den Zugriff auf ein Netzwerk verwendet werden, zusammen mit a Passwort).
Dokumentation
Wie wir gesehen haben, enthält 27002:2013/5.16 explizite Leitlinien nicht nur zu den allgemeinen Sicherheitsauswirkungen der Identitätsverwaltung, sondern auch dazu, wie Organisationen Informationen vor der Zuweisung einer Identität und während ihres gesamten Lebenszyklus aufzeichnen und verarbeiten sollten. Im Vergleich dazu erwähnt 27002:2013/9.2.1 die begleitende Rolle der IT-Governance nur kurz und beschränkt sich auf die physische Praxis der Identitätsverwaltung, wie sie von IT-Mitarbeitern durchgeführt wird.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
