Identitäten werden von Computernetzwerken verwendet, um die zugrunde liegende Fähigkeit einer Entität (Benutzer, Benutzergruppe, Gerät oder IT-Asset) zu identifizieren, auf einen vorgegebenen Satz von Hardware- und Softwareressourcen zuzugreifen.
Control 5.16 befasst sich mit der Genehmigung, Registrierung und Verwaltung – definiert als der „vollständige Lebenszyklus“ – menschlicher und nichtmenschlicher Identitäten in einem bestimmten Netzwerk.
5.16 befasst sich mit der Fähigkeit einer Organisation zu identifizieren, wer (Benutzer, Benutzergruppen) oder was (Anwendungen, Systeme und Geräte) zu einem bestimmten Zeitpunkt auf Daten oder IT-Ressourcen zugreift, und wie diesen Identitäten Zugriffsrechte im gesamten Netzwerk gewährt werden.
5.16 ist eine vorbeugende Kontrolle hält das Risiko aufrecht indem es als Hauptperimeter für alle verbundenen fungiert Informationssicherheit und Cybersicherheit Operationen sowie die primäre Modus-Governance, die das Identitäts- und Zugriffsmanagement-Framework einer Organisation vorgibt.
| Steuerungsart | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Identitäts- und Zugriffsverwaltung | #Schutz |
Da 5.16 in erster Linie einer Wartungsfunktion dient, sollte die Verantwortung an IT-Mitarbeiter gerichtet werden, denen globale Administratorrechte (oder gleichwertige Rechte für nicht auf Windows basierende Infrastrukturen) zugewiesen wurden.
Während es andere integrierte Rollen gibt, die es Benutzern ermöglichen, Identitäten zu verwalten (z. B. Domänenadministrator), sollte der Besitz von 5.16 bei der Person liegen, die die ultimativen Rechte hat Verantwortung für das gesamte Netzwerk einer Organisation, einschließlich aller Subdomänen und Active Directory-Mandanten.
Die Einhaltung von Kontrolle 5.16 wird durch eine Kombination aus der Sicherstellung, dass identitätsbasierte Verfahren in Richtliniendokumenten klar dargelegt werden, und der Überwachung der täglichen Einhaltung durch das Personal erreicht.
5.16 listet sechs Hauptverfahren auf, die eine Organisation befolgen muss, um die erforderlichen Standards für Informationssicherheit und Cybersicherheits-Governance zu erfüllen:
Compliance – IT-Richtlinien müssen klar festlegen, dass Benutzer keine Anmeldeinformationen weitergeben oder anderen Benutzern erlauben dürfen, sich mit einer anderen als der ihnen zugewiesenen Identität im Netzwerk zu bewegen.
Compliance – Organisationen sollten die Registrierung gemeinsamer Identitäten als ein von Einzelbenutzeridentitäten getrenntes Verfahren mit einem speziellen Genehmigungsworkflow behandeln.
Compliance – Wie bei gemeinsamen Identitäten sollten nichtmenschliche Identitäten wiederum über einen eigenen Genehmigungs- und Registrierungsprozess verfügen, der den zugrunde liegenden Unterschied zwischen der Zuweisung einer Identität an eine Person und der Gewährung einer Identität an einen Vermögenswert, eine Anwendung oder ein Gerät anerkennt.
Compliance – IT-Mitarbeiter sollten führen regelmäßige Audits durch die Identitäten in der Reihenfolge ihrer Verwendung auflisten und angeben, welche Entitäten (menschliche oder nichtmenschliche) suspendiert oder gelöscht werden können. Personalmitarbeiter sollten das Identitätsmanagement in ihre Offboarding-Verfahren einbeziehen und die IT-Mitarbeiter rechtzeitig über Abgänge informieren.
Compliance – IT-Mitarbeiter sollten bei der Zuweisung von Rollen in einem Netzwerk wachsam bleiben und sicherstellen, dass Entitäten keine Zugriffsrechte basierend auf mehreren Identitäten gewährt werden.
Compliance – Der Begriff „bedeutendes Ereignis“ kann auf verschiedene Arten interpretiert werden, jedoch auf einer grundlegenden Ebene Organisationen brauchen um sicherzustellen, dass ihre Governance-Verfahren eine Dokumentation der Identitätsregistrierung, robuste Protokolle für Änderungsanfragen mit einem geeigneten Genehmigungsverfahren und die Möglichkeit umfassen, jederzeit eine umfassende Liste der zugewiesenen Identitäten zu erstellen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Neben den sechs wichtigsten betrieblichen Überlegungen listet 5.16 auch vier Schritte auf, die Organisationen bei der Erstellung und Gewährung einer Identität befolgen müssen Zugriff auf Netzwerkressourcen (Das Ändern oder Entfernen von Zugriffsrechten wird in Steuerung 5.18 behandelt):
Compliance – Es ist wichtig anzuerkennen, dass das Identitätsmanagement mit jeder neu geschaffenen Identität exponentiell schwieriger wird. Organisationen sollten nur dann neue Identitäten schaffen, wenn ein klarer Bedarf dafür besteht.
Compliance – Sobald ein Geschäftsfall genehmigt wurde, sollten die Verfahren zur Identitäts- und Zugriffsverwaltung Schritte enthalten, um sicherzustellen, dass die Person oder der Vermögenswert, der eine neue Identität erhält, über die erforderliche Befugnis dazu verfügt, bevor eine Identität erstellt wird.
Sobald die Entität verifiziert wurde, sollten die IT-Mitarbeiter eine Identität erstellen, die den Anforderungen des Geschäftsfalls entspricht und sich auf die Angaben in den Dokumentationen der Änderungsanträge beschränkt.
27002:2022 / 5.16 ersetzt 27002:2013/9.2.1 (Benutzerregistrierung und -abmeldung) – das selbst Teil des Kontrollsatzes für die Benutzerzugriffsverwaltung von 27002:2013 war. Obwohl es einige Ähnlichkeiten zwischen den beiden Kontrollen gibt – vor allem in den Wartungsprotokollen und der Deaktivierung redundanter IDs – enthält 5.16 einen weitaus umfassenderen Satz von Richtlinien, die darauf abzielen, das Identitäts- und Zugriffsmanagement als End-to-End-Konzept zu behandeln.
Der Hauptunterschied zwischen der Kontrolle von 2022 und ihrem Vorgänger von 2013 besteht darin, dass anerkannt wird, dass es zwar Unterschiede im Registrierungsprozess gibt, menschliche und nichtmenschliche Identitäten jedoch für allgemeine Netzwerkverwaltungszwecke nicht mehr als voneinander getrennt behandelt werden.
Mit dem Aufkommen moderner Identitäts- und Zugriffsverwaltung und Windows-basierter RBAC-Protokolle sprechen IT-Governance und Best-Practice-Richtlinien mehr oder weniger austauschbar von menschlichen und nichtmenschlichen Identitäten. 27002:2013/9.2.1 enthält keine Anleitung zur Verwaltung nichtmenschlicher Identitäten und befasst sich ausschließlich mit der Verwaltung sogenannter „Benutzer-IDs“ (d. h. Anmeldeinformationen, die für den Zugriff auf ein Netzwerk verwendet werden, zusammen mit a Passwort).
Wie wir gesehen haben, enthält 27002:2013/5.16 explizite Leitlinien nicht nur zu den allgemeinen Sicherheitsauswirkungen der Identitätsverwaltung, sondern auch dazu, wie Organisationen Informationen vor der Zuweisung einer Identität und während ihres gesamten Lebenszyklus aufzeichnen und verarbeiten sollten. Im Vergleich dazu erwähnt 27002:2013/9.2.1 die begleitende Rolle der IT-Governance nur kurz und beschränkt sich auf die physische Praxis der Identitätsverwaltung, wie sie von IT-Mitarbeitern durchgeführt wird.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Mit ISMS.online sparen Sie Zeit und Geld
Holen Sie sich Ihr Angebot