Authentifizierungsinformationen wie Passwörter, Verschlüsselungsschlüssel und Kartenchips sind das Tor zu Informationssystemen, die sensible Informationsressourcen hosten.
Eine schlechte Verwaltung oder unsachgemäße Zuweisung von Authentifizierungsinformationen kann zu unbefugtem Zugriff auf Informationssysteme und zum Verlust der Vertraulichkeit, Verfügbarkeit und Integrität sensibler Informationsressourcen führen.
Zum Beispiel, GoodFirms Forschung 2021 zeigt, dass 30 % aller Datenschutzverletzungen auf schwache Passwörter oder schlechte Passwortverwaltungspraktiken zurückzuführen sind.
Daher sollten Organisationen über einen robusten Authentifizierungsinformationsverwaltungsprozess verfügen, um Authentifizierungsinformationen zuzuweisen, zu verwalten und zu schützen.
Control 5.17 ermöglicht es Unternehmen, Authentifizierungsinformationen ordnungsgemäß zuzuweisen und zu verwalten, das Risiko von Fehlern im Authentifizierungsprozess zu beseitigen und Sicherheitsrisiken vorzubeugen, die durch die Kompromittierung von Authentifizierungsinformationen entstehen können.
Kontrolle 5.17 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, einen geeigneten Authentifizierungsinformationsverwaltungsprozess einzurichten und umzusetzen.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Identitäts- und Zugriffsmanagement | #Schutz |
In Anbetracht der Tatsache, dass Kontrolle 5.17 die Festlegung und Umsetzung organisationsweiter Regeln, Verfahren und Maßnahmen für die Zuweisung und Verwaltung von Authentifizierungsinformationen beinhaltet, sollten Informationssicherheitsbeauftragte für die Einhaltung von Kontrolle 5.17 verantwortlich sein.
Organisationen sollten die folgenden sechs Anforderungen für die Zuweisung und Verwaltung von Authentifizierungsinformationen erfüllen:
Benutzer, die auf Authentifizierungsinformationen zugreifen und diese verwenden können, sollten angewiesen werden, Folgendes einzuhalten:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Organisationen sollten bei der Einrichtung eines Passwortverwaltungssystems Folgendes beachten:
Darüber hinaus sollten Organisationen Hashing- und Verschlüsselungstechniken gemäß den autorisierten Kryptografiemethoden für Passwörter gemäß Control 8.24 durchführen.
Neben Passwörtern gibt es weitere Arten von Authentifizierungsinformationen wie kryptografische Schlüssel, Smartcards und biometrische Daten wie Fingerabdrücke.
Organisationen wird empfohlen, sich für detailliertere Anleitungen zu Authentifizierungsinformationen auf die ISO/IEC 24760-Reihe zu beziehen.
Angesichts der Tatsache, dass das häufige Ändern von Passwörtern für Benutzer umständlich und ärgerlich sein kann, können Unternehmen die Implementierung alternativer Methoden wie Single Sign-On oder Passwort-Tresore in Betracht ziehen. Es ist jedoch zu beachten, dass diese alternativen Methoden die Authentifizierungsinformationen einem höheren Risiko einer unbefugten Offenlegung aussetzen können.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
27002:2022/5.17 ersetzt 27002:2013/(9.2.4, 9.3.1 9.4.3)
Obwohl die Versionen 2013 und 2022 hinsichtlich der Anforderungen an die Zuweisung und Verwaltung von Authentifizierungsinformationen sehr ähnlich sind, führt Control 5.17 in der Version 2022 die folgende Anforderung ein, die in der Version 2013 nicht enthalten war:
Control 5.17 führt die folgende Anforderung für Benutzerverantwortlichkeiten ein, auf die in Control 9.3.1 in der Version 2013 nicht Bezug genommen wurde.
Im Gegensatz zur Version 2022 enthielt Control 9.3.1 die folgende Anforderung für die Verwendung von Authentifizierungsinformationen:
Control 9.4.3 in der Version 2013 enthielt die folgende Anforderung für Passwortverwaltungssysteme.
Control 5.17 in der Version 2022 enthielt diese Anforderung hingegen nicht.
ISMS.Online hilft Organisationen und Unternehmen dabei, die Anforderungen von ISO 27002 zu erfüllen, indem es ihnen eine Plattform zur Verfügung stellt, die es einfach macht, ihre Vertraulichkeits- oder Geheimhaltungsrichtlinien und -verfahren zu verwalten, sie bei Bedarf zu aktualisieren, sie zu testen und ihre Wirksamkeit zu überwachen.
Wir bieten eine cloudbasierte Plattform für die Verwaltung von Vertraulichkeits- und Informationssicherheits-Managementsystemen, einschließlich Geheimhaltungsklauseln, Risikomanagement, Richtlinien, Plänen und Verfahren, an einem zentralen Ort. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.
Kontaktieren Sie uns noch heute zu Demo anfordern.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neue | Bedrohungsinformationen |
5.23 | Neue | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neue | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neue | Physische Sicherheitsüberwachung |
8.9 | Neue | Konfigurationsmanagement |
8.10 | Neue | Löschung von Informationen |
8.11 | Neue | Datenmaskierung |
8.12 | Neue | Verhinderung von Datenlecks |
8.16 | Neue | Überwachungsaktivitäten |
8.23 | Neue | Web-Filter |
8.28 | Neue | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Schirmungsmaß |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neue | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |