ISO 27002:2022, Control 8.5 – Sichere Authentifizierung

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Menschen,arbeiten,im,modernen,Büro.,Gruppe,von,jungen,Programmierern,sitzend

Zweck der Kontrolle 8.5

Die sichere Authentifizierung ist die wichtigste Methode, die menschliche und nichtmenschliche Benutzer nutzen, wenn sie versuchen, die IKT-Ressourcen einer Organisation zu nutzen.

Im Laufe des letzten Jahrzehnts hat die Authentifizierungstechnologie einen grundlegenden Wandel von herkömmlichen, auf Benutzernamen und Passwörtern basierenden Validierungen hin zu einer vollzogen Vielzahl ergänzender Techniken Dazu gehören biometrische Informationen, logische und physische Zugangskontrollen, Authentifizierungen externer Geräte, SMS-Codes und Einmalpasswörter (OTP).

27002:2022-8.5 stellt all dies in einen Kontext und berät Organisationen genau, wie sie sein sollten Kontrolle des Zugriffs auf ihre IKT-Systeme und -Ressourcen über ein sicheres Login-Gateway.

Kontrolle 8.5 ist ein vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Implementierung von Technologie und die Einrichtung themenspezifischer sicherer Authentifizierungsverfahren, die sicherstellen, dass menschliche und nichtmenschliche Benutzer und Identitäten beim Versuch, auf IKT-Ressourcen zuzugreifen, einem robusten und sicheren Authentifizierungsverfahren unterzogen werden.

Attributtabelle

Steuerungstyp Eigenschaften der InformationssicherheitCybersicherheitskonzepteOperative Fähigkeiten Sicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen #Identitäts- und Zugriffsmanagement#Schutz
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.5

Control 8.5 befasst sich mit der Fähigkeit einer Organisation, den Zugriff auf ihr Netzwerk (und die darin enthaltenen Informationen und Daten) an kritischen Knotenpunkten, wie beispielsweise einem Login-Gateway, zu kontrollieren.

Während sich die Kontrolle mit der Informations- und Datensicherheit als umfassenderem Konzept befasst, ist die operative Anleitung in erster Linie technischer Natur.

Daher sollte das Eigentum beim IT-Leiter (oder einem gleichwertigen Unternehmen) liegen, der die Verantwortung trägt Verantwortung für die täglichen IT-Verwaltungsfunktionen der Organisation.

Allgemeine Leitlinien zur Kontrolle 8.5

Control 8.5 fordert Organisationen auf, Authentifizierungskontrollen in Betracht zu ziehen, die für die Art und Vertraulichkeit der Daten und des Netzwerks, auf die zugegriffen wird, relevant sind, einschließlich:

  • Multi-Faktor-Authentifizierung (MFA)

  • Digitale Zertifikate

  • Intelligente Zugangskontrollen (Smartcards)

  • Biometrische Anmeldungen

  • Sichere Token

Das vorrangige Ziel der sicheren Authentifizierungskontrollen einer Organisation sollte sein das Risiko eines unbefugten Zugriffs verhindern und/oder minimieren zu seinen geschützten Systemen.

Um dies zu erreichen, skizziert Control 8.5 12 Hauptleitpunkte. Organisationen sollten:

  1. Beschränken Sie die Anzeige von Informationen bis nach einem erfolgreichen Authentifizierungsversuch.

  2. Zeigen Sie vor der Anmeldung eine Warnung an, die deutlich darauf hinweist, dass nur autorisierte Benutzer auf die Informationen zugreifen sollten.

  3. Minimieren Sie die Unterstützung für nicht authentifizierte Benutzer, die versuchen, auf das System zuzugreifen. Beispielsweise sollten Organisationen nicht offenlegen, welcher bestimmte Teil eines Anmeldeversuchs falsch ist, z. B. ein biometrischer Aspekt einer MFA-Anmeldung, und stattdessen einfach angeben, dass der Anmeldeversuch fehlgeschlagen ist .

  4. Validieren Sie den Anmeldeversuch erst, wenn dem Anmeldedienst alle erforderlichen Informationen zur Verfügung gestellt wurden, um die Sicherheit zu gewährleisten.

  5. Implementieren Sie branchenübliche Sicherheitsmaßnahmen, die vor flächendeckendem Zugriff und/oder Brute-Force-Angriffen auf Anmeldeportale schützen. Zu diesen Maßnahmen können gehören:

    • CAPTCHA-Steuerelemente

    • Erzwingen eines Passwort-Resets nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche

    • Verhinderung weiterer Anmeldeversuche nach einer vordefinierten Anzahl fehlgeschlagener Versuche

  6. Aufzeichnung aller fehlgeschlagenen Anmeldeversuche für Audit- und Sicherheitszwecken, einschließlich ihrer Verwendung in Straf- und/oder Regulierungsverfahren.

  7. Initiieren eines Sicherheitsvorfall immer dann, wenn eine größere Login-Diskrepanz festgestellt wird, beispielsweise ein vermeintlicher Einbruch. In diesen Fällen sollten alle relevanten internen Mitarbeiter benachrichtigt werden, insbesondere diejenigen mit Systemadministratorzugriff oder der Fähigkeit, böswillige Anmeldeversuche zu bekämpfen.

  8. Geben Sie bei der Validierung einer Anmeldung bestimmte Informationen an eine separate Datenquelle weiter, die Folgendes auflistet:

    • Das Datum und die Uhrzeit der vorherigen erfolgreichen Anmeldung

    • Eine Liste aller Anmeldeversuche seit der letzten validierten Anmeldung

  9. Zeigen Sie Passwörter als Sternchen (oder ähnlich abstrakte Symbole) an, wenn keine dringende Notwendigkeit besteht, dies nicht zu tun (z. B. Benutzerzugänglichkeit).

  10. Verbieten Sie strikt die Weitergabe oder Anzeige von Passwörtern als klarer, lesbarer Text.

  11. Befolgen Sie eine Richtlinie zur Beendigung ruhender Anmeldesitzungen nach einer bestimmten Zeitspanne. Dies ist besonders relevant für Sitzungen, die an Orten mit hohem Risiko (entfernte Arbeitsumgebungen) oder auf vom Benutzer bereitgestellten Ressourcen wie persönlichen Laptops oder Mobiltelefonen stattfinden.

  12. Beschränkung der Zeitspanne, die eine authentifizierte Sitzung geöffnet bleiben kann – auch wenn sie aktiv ist – im Verhältnis zu den Informationen, auf die zugegriffen wird (z. B. geschäftskritische Informationen oder finanziell sensible Anwendungen).

Sehen Sie, wie wir Ihnen helfen können

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Anleitung – Biometrische Anmeldungen

ISO empfiehlt aufgrund einer Reihe von Faktoren, die mit der Wirksamkeit und Integrität biometrischer Anmeldeprozesse im Vergleich zu herkömmlichen Maßnahmen (Passwörter, MFA, Token usw.) zusammenhängen, biometrische Authentifizierungsmethoden sollten nicht isoliert verwendet werden, und begleitet von mindestens einer anderen Anmeldetechnik.

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-8.5 ersetzt 27002:2014-9.4.2 (Sichere Anmeldeverfahren).

27002:2022-8.5 enthält die dieselben 12 Orientierungspunkte wie sein Gegenstück aus dem Jahr 2013, mit geringfügigen Anpassungen am Wortlaut, und folgt den gleichen grundlegenden Sicherheitsprinzipien.

Im Einklang mit dem Aufstieg von MFA und biometrischen Anmeldetechnologien im letzten Jahrzehnt enthält 27002:2022-8.5 explizite Anleitungen zur Verwendung beider Techniken, die Unternehmen bei der Formulierung ihrer eigenen Anmeldekontrollen berücksichtigen sollten.

Wie ISMS.online hilft

Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, damit Sie dies tun können Checklisten Sie Ihren ISMS-Prozess Stellen Sie dabei sicher, dass es die Anforderungen für ISO 27000k erfüllt. Richtig eingesetzt, ISMS. online kann Ihnen dabei behilflich sein Zertifizierung zu erreichen mit einem Minimum an Zeit und Ressourcen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren