Zweck der Kontrolle 8.5
Die sichere Authentifizierung ist die wichtigste Methode, die menschliche und nichtmenschliche Benutzer nutzen, wenn sie versuchen, die IKT-Ressourcen einer Organisation zu nutzen.
Im Laufe des letzten Jahrzehnts hat die Authentifizierungstechnologie einen grundlegenden Wandel von herkömmlichen, auf Benutzernamen und Passwörtern basierenden Validierungen hin zu einer vollzogen Vielzahl ergänzender Techniken Dazu gehören biometrische Informationen, logische und physische Zugangskontrollen, Authentifizierungen externer Geräte, SMS-Codes und Einmalpasswörter (OTP).
27002:2022-8.5 stellt all dies in einen Kontext und berät Organisationen genau, wie sie sein sollten Kontrolle des Zugriffs auf ihre IKT-Systeme und -Ressourcen über ein sicheres Login-Gateway.
Kontrolle 8.5 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Implementierung von Technologie und die Einrichtung themenspezifischer sicherer Authentifizierungsverfahren, die sicherstellen, dass menschliche und nichtmenschliche Benutzer und Identitäten beim Versuch, auf IKT-Ressourcen zuzugreifen, einem robusten und sicheren Authentifizierungsverfahren unterzogen werden.
Attributtabelle der Steuerung 8.5
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Identitäts- und Zugriffsmanagement | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
Eigentum an der Kontrolle 8.5
Control 8.5 befasst sich mit der Fähigkeit einer Organisation, den Zugriff auf ihr Netzwerk (und die darin enthaltenen Informationen und Daten) an kritischen Knotenpunkten, wie beispielsweise einem Login-Gateway, zu kontrollieren.
Während sich die Kontrolle mit der Informations- und Datensicherheit als umfassenderem Konzept befasst, ist die operative Anleitung in erster Linie technischer Natur.
Daher sollte das Eigentum beim IT-Leiter (oder einem gleichwertigen Unternehmen) liegen, der die Verantwortung trägt Verantwortung für die täglichen IT-Verwaltungsfunktionen der Organisation.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Leitlinien zur Kontrolle 8.5
Control 8.5 fordert Organisationen auf, Authentifizierungskontrollen in Betracht zu ziehen, die für die Art und Vertraulichkeit der Daten und des Netzwerks, auf die zugegriffen wird, relevant sind, einschließlich:
- Multi-Faktor-Authentifizierung (MFA)
- Digitale Zertifikate
- Intelligente Zugangskontrollen (Smartcards)
- Biometrische Anmeldungen
- Sichere Token
Das vorrangige Ziel der sicheren Authentifizierungskontrollen einer Organisation sollte sein das Risiko eines unbefugten Zugriffs verhindern und/oder minimieren zu seinen geschützten Systemen.
Um dies zu erreichen, skizziert Control 8.5 12 Hauptleitpunkte. Organisationen sollten:
- Beschränken Sie die Anzeige von Informationen bis nach einem erfolgreichen Authentifizierungsversuch.
- Zeigen Sie vor der Anmeldung eine Warnung an, die deutlich darauf hinweist, dass nur autorisierte Benutzer auf die Informationen zugreifen sollten.
- Minimieren Sie die Unterstützung für nicht authentifizierte Benutzer, die versuchen, auf das System zuzugreifen. Beispielsweise sollten Organisationen nicht offenlegen, welcher bestimmte Teil eines Anmeldeversuchs falsch ist, z. B. ein biometrischer Aspekt einer MFA-Anmeldung, und stattdessen einfach angeben, dass der Anmeldeversuch fehlgeschlagen ist .
- Validieren Sie den Anmeldeversuch erst, wenn dem Anmeldedienst alle erforderlichen Informationen zur Verfügung gestellt wurden, um die Sicherheit zu gewährleisten.
- Implementieren Sie branchenübliche Sicherheitsmaßnahmen, die vor flächendeckendem Zugriff und/oder Brute-Force-Angriffen auf Anmeldeportale schützen. Zu diesen Maßnahmen können gehören:
- CAPTCHA-Steuerelemente
- Erzwingen eines Passwort-Resets nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche
- Verhinderung weiterer Anmeldeversuche nach einer vordefinierten Anzahl fehlgeschlagener Versuche
- Aufzeichnung aller fehlgeschlagenen Anmeldeversuche für Audit- und Sicherheitszwecken, einschließlich ihrer Verwendung in Straf- und/oder Regulierungsverfahren.
- Initiieren eines Sicherheitsvorfall immer dann, wenn eine größere Login-Diskrepanz festgestellt wird, beispielsweise ein vermeintlicher Einbruch. In diesen Fällen sollten alle relevanten internen Mitarbeiter benachrichtigt werden, insbesondere diejenigen mit Systemadministratorzugriff oder der Fähigkeit, böswillige Anmeldeversuche zu bekämpfen.
- Geben Sie bei der Validierung einer Anmeldung bestimmte Informationen an eine separate Datenquelle weiter, die Folgendes auflistet:
- Das Datum und die Uhrzeit der vorherigen erfolgreichen Anmeldung
- Eine Liste aller Anmeldeversuche seit der letzten validierten Anmeldung
- Zeigen Sie Passwörter als Sternchen (oder ähnlich abstrakte Symbole) an, wenn keine dringende Notwendigkeit besteht, dies nicht zu tun (z. B. Benutzerzugänglichkeit).
- Verbieten Sie strikt die Weitergabe oder Anzeige von Passwörtern als klarer, lesbarer Text.
- Befolgen Sie eine Richtlinie zur Beendigung ruhender Anmeldesitzungen nach einer bestimmten Zeitspanne. Dies ist besonders relevant für Sitzungen, die an Orten mit hohem Risiko (entfernte Arbeitsumgebungen) oder auf vom Benutzer bereitgestellten Ressourcen wie persönlichen Laptops oder Mobiltelefonen stattfinden.
- Beschränkung der Zeitspanne, die eine authentifizierte Sitzung geöffnet bleiben kann – auch wenn sie aktiv ist – im Verhältnis zu den Informationen, auf die zugegriffen wird (z. B. geschäftskritische Informationen oder finanziell sensible Anwendungen).
Anleitung – Biometrische Anmeldungen
ISO empfiehlt aufgrund einer Reihe von Faktoren, die mit der Wirksamkeit und Integrität biometrischer Anmeldeprozesse im Vergleich zu herkömmlichen Maßnahmen (Passwörter, MFA, Token usw.) zusammenhängen, biometrische Authentifizierungsmethoden sollten nicht isoliert verwendet werden, und begleitet von mindestens einer anderen Anmeldetechnik.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-8.5 ersetzt 27002:2014-9.4.2 (Sichere Anmeldeverfahren).
27002:2022-8.5 enthält die dieselben 12 Orientierungspunkte wie sein Gegenstück aus dem Jahr 2013, mit geringfügigen Anpassungen am Wortlaut, und folgt den gleichen grundlegenden Sicherheitsprinzipien.
Im Einklang mit dem Aufstieg von MFA und biometrischen Anmeldetechnologien im letzten Jahrzehnt enthält 27002:2022-8.5 explizite Anleitungen zur Verwendung beider Techniken, die Unternehmen bei der Formulierung ihrer eigenen Anmeldekontrollen berücksichtigen sollten.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, damit Sie dies tun können Checklisten Sie Ihren ISMS-Prozess Stellen Sie dabei sicher, dass es die Anforderungen für ISO 27000k erfüllt. Richtig eingesetzt, ISMS. online kann Ihnen dabei behilflich sein Zertifizierung zu erreichen mit einem Minimum an Zeit und Ressourcen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
