Sicherstellung einer starken Authentifizierung: Benutzerpflichten gemäß ISO 27701
Richtige und sichere Authentifizierungsverfahren sind das Rückgrat der meisten allgemeinen und themenspezifischen Zugriffsrichtlinien, unabhängig davon, ob sie sich auf personenbezogene Daten oder Informationen, Vermögenswerte und Daten im Allgemeinen beziehen.
Leicht zu erratende und schlecht konstruierte Passwörter sind für potenzielle Cyberkriminelle, die sich Zugriff auf die personenbezogenen Daten einer Organisation verschaffen wollen, eine untergeordnete Angelegenheit. Diese werden in der Regel entweder erpresst, als Imageschädling verwendet oder im Dark Web an den Meistbietenden verkauft.
Benutzer müssen sich an eine streng durchgesetzte Passwortrichtlinie halten, die die Generierung, Verteilung und Erstellung von Passwörtern abdeckt und verfügbare Authentifizierungstechnologien (SSO, Passwort-Tresore) nutzt.
Was in ISO 27701 Abschnitt 6.6.3 behandelt wird
ISO 27702 6.6.3 enthält nur einen Unterabschnitt, der zusammengefasste Leitlinien von ISO 27002 enthält, die darlegen, wie Unternehmen an die Authentifizierungssicherheit herangehen sollten:
- ISO 27701 6.6.3.1 – Verwendung geheimer Authentifizierungsinformationen (Referenzen ISO 27002 Control 5.17)
Es sind keine Verweise auf die DSGVO des Vereinigten Königreichs zu berücksichtigen, und die ISO stellt auch keine PIMS- oder PII-spezifischen Leitlinien zur Verfügung, an die man sich halten sollte.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.6.3.1 – Verwendung geheimer Authentifizierungsinformationen
Referenzen ISO 27002-Steuerung 5.17
Vergabe und Verwaltung von Authentifizierungsinformationen
Authentifizierungsdetails sollten so verteilt und verwaltet werden, dass:
- Automatisch generierte Authentifizierungsinformationen (Passwörter usw.) werden vor Personen geheim gehalten, die nicht zur Verwendung dieser Informationen berechtigt sind, sind nicht erraten und werden so verwaltet, dass ein Benutzer gezwungen ist, sie nach der ersten Anmeldung zu ändern.
- Vor der Ausstellung oder Ersetzung von Authentifizierungsdaten werden Verfahren zur Überprüfung der Identität der Person eingerichtet, die diese benötigt.
- Für die Übermittlung der Authentifizierungsdaten werden die richtigen sicheren Kanäle verwendet (also nicht per E-Mail).
- Nach erfolgreicher Übermittlung der Daten an den jeweiligen Empfänger bestätigen die Nutzer zeitnah den Empfang.
- Alle vom Anbieter bereitgestellten Authentifizierungsinformationen (z. B. Standard-Benutzername und -Passwort für Router und Firewalls) werden nach Erhalt geändert.
- Über relevante Authentifizierungsereignisse werden Aufzeichnungen geführt – insbesondere über die Erstvergabe und die anschließende Verwaltung von Authentifizierungsdaten.
Alle Mitarbeiter, die organisatorische Authentifizierungsinformationen verwenden, sollten Folgendes sicherstellen:
- Alle Authentifizierungsdaten werden streng vertraulich behandelt.
- Wenn Authentifizierungsdaten entweder kompromittiert, von jemand anderem als dem ursprünglichen Eigentümer eingesehen oder weitergegeben werden, werden diese Daten geändert sofort.
- Alle Passwörter werden gemäß der Passwortrichtlinie der Organisation erstellt und/oder generiert und Passwörter sind auf verschiedenen Plattformen eindeutig (dh Domänenpasswörter sind nicht dasselbe wie Cloud-Service-Passwörter).
- Arbeitsverträge enthalten eine ausdrückliche Verpflichtung, die Passwortrichtlinie des Unternehmens einzuhalten (siehe ISO 27002-Steuerung 6.2).
Passwortverwaltungssysteme
Organisationen sollten die Implementierung eines Passwortverwaltungssystems (spezielle Passwortkontrollanwendungen) in Betracht ziehen, das:
- Geeignet für Benutzer, die ein von ihnen verwendetes Passwort ändern müssen.
- Ist so programmiert, dass Passwörter abgelehnt werden, die nicht den Best-Practice-Richtlinien entsprechen.
- Zwingt Benutzer dazu, ihr vom System generiertes Passwort zu ändern, nachdem sie es zum ersten Mal verwenden.
- Die weitere Verwendung alter Passwörter oder ähnlicher Phrasen und alphanumerischer Kombinationen ist nicht gestattet.
- Versteckt Passwörter während der Eingabe.
- Speichert und sendet Passwortinformationen auf sichere Weise.
- Bietet Passwortverschlüsselung und ähnliche Verschlüsselungstechniken (siehe ISO 27002-Steuerung 8.24).
Passwortdaten
Um personenbezogene Daten zu schützen und die Bemühungen des Unternehmens zum Schutz der Privatsphäre zu verbessern, sollten Passwörter vier Leitprinzipien folgen:
- Passwörter sollten nicht auf erratenen oder biografischen Informationen basieren.
- Passwörter sollten keine erkennbaren Wörter anstelle zufälliger alphanumerischer Zeichen enthalten.
- Um die Passwortkomplexität zu erhöhen, sollten Sonderzeichen verwendet werden.
- Alle Passwörter sollten eine Mindestlänge haben (idealerweise 12 Zeichen).
Unternehmen sollten auch den Einsatz von Authentifizierungsprotokollen wie Single Sign-On (SSO) in Betracht ziehen, um die Passwortsicherheit zu verbessern. Solche Maßnahmen sollten jedoch nur zusammen mit den individuellen technischen und betrieblichen Anforderungen des Unternehmens in Betracht gezogen werden.
Relevante ISO 27002-Kontrollen
- ISO 27002 6.2
- ISO 27002 8.24
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.6.3.1 | Verwendung geheimer Authentifizierungsinformationen | 5.17 – Authentifizierungsinformationen für ISO 27002 | Keine Präsentation |
Wie ISMS.online hilft
Wie helfen wir?
Durch das Hinzufügen eines PIMS zu Ihrem ISMS auf der ISMS.online-Plattform bleibt Ihr Sicherheitsstatus an einem Ort und Sie vermeiden Doppelarbeit, wenn sich die Standards überschneiden.
Da Ihr PIMS für interessierte Parteien sofort zugänglich ist, war es noch nie so einfach, mit einem Klick sowohl die ISO 27002 als auch die ISO 27701 zu überwachen, zu berichten und zu prüfen.
Alle Funktionen, die Sie brauchen:
- ROPA leicht gemacht
- Eingebaute Risikobank
- Sicherer Platz für DRR
Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27002- und 27701-Zertifizierung mit ISMS.online sparen eine Demo buchen.
