ISO 27002:2022, Control 8.5, Sichere Authentifizierung

ISO 27002:2022 – Kontrolle 8.5 – Sichere Authentifizierung

ISO 27002 Control 8.5 konzentriert sich auf die Implementierung sicherer Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA), Biometrie und sichere Token, um unbefugten Zugriff auf IT-Systeme zu verhindern. Es betont bewährte Praktiken wie die Einschränkung der Informationsanzeige vor der Anmeldung, die Verwendung von Warnungen vor der Anmeldung und die Beschränkung der Anmeldehilfe für nicht autorisierte Benutzer.

Zweck der Kontrolle 8.5

Die sichere Authentifizierung ist die wichtigste Methode, die menschliche und nichtmenschliche Benutzer nutzen, wenn sie versuchen, die IKT-Ressourcen einer Organisation zu nutzen.

Im Laufe des letzten Jahrzehnts hat die Authentifizierungstechnologie einen grundlegenden Wandel von herkömmlichen, auf Benutzernamen und Passwörtern basierenden Validierungen hin zu einer vollzogen Vielzahl ergänzender Techniken Dazu gehören biometrische Informationen, logische und physische Zugangskontrollen, Authentifizierungen externer Geräte, SMS-Codes und Einmalpasswörter (OTP).

27002:2022-8.5 stellt all dies in einen Kontext und berät Organisationen genau, wie sie sein sollten Kontrolle des Zugriffs auf ihre IKT-Systeme und -Ressourcen über ein sicheres Login-Gateway.

Kontrolle 8.5 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Implementierung von Technologie und die Einrichtung themenspezifischer sicherer Authentifizierungsverfahren, die sicherstellen, dass menschliche und nichtmenschliche Benutzer und Identitäten beim Versuch, auf IKT-Ressourcen zuzugreifen, einem robusten und sicheren Authentifizierungsverfahren unterzogen werden.

Attributtabelle der Steuerung 8.5

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Identitäts- und Zugriffsmanagement	#Schutz
	#Integrität
	#Verfügbarkeit

Eigentum an der Kontrolle 8.5

Control 8.5 befasst sich mit der Fähigkeit einer Organisation, den Zugriff auf ihr Netzwerk (und die darin enthaltenen Informationen und Daten) an kritischen Knotenpunkten, wie beispielsweise einem Login-Gateway, zu kontrollieren.

Während sich die Kontrolle mit der Informations- und Datensicherheit als umfassenderem Konzept befasst, ist die operative Anleitung in erster Linie technischer Natur.

Daher sollte das Eigentum beim IT-Leiter (oder einem gleichwertigen Unternehmen) liegen, der die Verantwortung trägt Verantwortung für die täglichen IT-Verwaltungsfunktionen der Organisation.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Allgemeine Leitlinien zur Kontrolle 8.5

Control 8.5 fordert Organisationen auf, Authentifizierungskontrollen in Betracht zu ziehen, die für die Art und Vertraulichkeit der Daten und des Netzwerks, auf die zugegriffen wird, relevant sind, einschließlich:

Multi-Faktor-Authentifizierung (MFA)
Digitale Zertifikate
Intelligente Zugangskontrollen (Smartcards)
Biometrische Anmeldungen
Sichere Token

Das vorrangige Ziel der sicheren Authentifizierungskontrollen einer Organisation sollte sein das Risiko eines unbefugten Zugriffs verhindern und/oder minimieren zu seinen geschützten Systemen.

Um dies zu erreichen, skizziert Control 8.5 12 Hauptleitpunkte. Organisationen sollten:

Beschränken Sie die Anzeige von Informationen bis nach einem erfolgreichen Authentifizierungsversuch.
Zeigen Sie vor der Anmeldung eine Warnung an, die deutlich darauf hinweist, dass nur autorisierte Benutzer auf die Informationen zugreifen sollten.
Minimieren Sie die Unterstützung für nicht authentifizierte Benutzer, die versuchen, auf das System zuzugreifen. Beispielsweise sollten Organisationen nicht offenlegen, welcher bestimmte Teil eines Anmeldeversuchs falsch ist, z. B. ein biometrischer Aspekt einer MFA-Anmeldung, und stattdessen einfach angeben, dass der Anmeldeversuch fehlgeschlagen ist .
Validieren Sie den Anmeldeversuch erst, wenn dem Anmeldedienst alle erforderlichen Informationen zur Verfügung gestellt wurden, um die Sicherheit zu gewährleisten.
Implementieren Sie branchenübliche Sicherheitsmaßnahmen, die vor flächendeckendem Zugriff und/oder Brute-Force-Angriffen auf Anmeldeportale schützen. Zu diesen Maßnahmen können gehören:

CAPTCHA-Steuerelemente
Erzwingen eines Passwort-Resets nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche
Verhinderung weiterer Anmeldeversuche nach einer vordefinierten Anzahl fehlgeschlagener Versuche

Aufzeichnung aller fehlgeschlagenen Anmeldeversuche für Audit- und Sicherheitszwecken, einschließlich ihrer Verwendung in Straf- und/oder Regulierungsverfahren.
Initiieren eines Sicherheitsvorfall immer dann, wenn eine größere Login-Diskrepanz festgestellt wird, beispielsweise ein vermeintlicher Einbruch. In diesen Fällen sollten alle relevanten internen Mitarbeiter benachrichtigt werden, insbesondere diejenigen mit Systemadministratorzugriff oder der Fähigkeit, böswillige Anmeldeversuche zu bekämpfen.
Geben Sie bei der Validierung einer Anmeldung bestimmte Informationen an eine separate Datenquelle weiter, die Folgendes auflistet:

Das Datum und die Uhrzeit der vorherigen erfolgreichen Anmeldung
Eine Liste aller Anmeldeversuche seit der letzten validierten Anmeldung

Zeigen Sie Passwörter als Sternchen (oder ähnlich abstrakte Symbole) an, wenn keine dringende Notwendigkeit besteht, dies nicht zu tun (z. B. Benutzerzugänglichkeit).
Verbieten Sie strikt die Weitergabe oder Anzeige von Passwörtern als klarer, lesbarer Text.
Befolgen Sie eine Richtlinie zur Beendigung ruhender Anmeldesitzungen nach einer bestimmten Zeitspanne. Dies ist besonders relevant für Sitzungen, die an Orten mit hohem Risiko (entfernte Arbeitsumgebungen) oder auf vom Benutzer bereitgestellten Ressourcen wie persönlichen Laptops oder Mobiltelefonen stattfinden.
Beschränkung der Zeitspanne, die eine authentifizierte Sitzung geöffnet bleiben kann – auch wenn sie aktiv ist – im Verhältnis zu den Informationen, auf die zugegriffen wird (z. B. geschäftskritische Informationen oder finanziell sensible Anwendungen).

Anleitung – Biometrische Anmeldungen

ISO empfiehlt aufgrund einer Reihe von Faktoren, die mit der Wirksamkeit und Integrität biometrischer Anmeldeprozesse im Vergleich zu herkömmlichen Maßnahmen (Passwörter, MFA, Token usw.) zusammenhängen, biometrische Authentifizierungsmethoden sollten nicht isoliert verwendet werden, und begleitet von mindestens einer anderen Anmeldetechnik.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-8.5 ersetzt 27002:2014-9.4.2 (Sichere Anmeldeverfahren).

27002:2022-8.5 enthält die dieselben 12 Orientierungspunkte wie sein Gegenstück aus dem Jahr 2013, mit geringfügigen Anpassungen am Wortlaut, und folgt den gleichen grundlegenden Sicherheitsprinzipien.

Im Einklang mit dem Aufstieg von MFA und biometrischen Anmeldetechnologien im letzten Jahrzehnt enthält 27002:2022-8.5 explizite Anleitungen zur Verwendung beider Techniken, die Unternehmen bei der Formulierung ihrer eigenen Anmeldekontrollen berücksichtigen sollten.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, damit Sie dies tun können Checklisten Sie Ihren ISMS-Prozess Stellen Sie dabei sicher, dass es die Anforderungen für ISO 27000k erfüllt. Richtig eingesetzt, ISMS. online kann Ihnen dabei behilflich sein Zertifizierung zu erreichen mit einem Minimum an Zeit und Ressourcen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet