ISO 27001:2022 Annexe A 5.15 – Contrôle d'accès

Politique de contrôle d'accès

Pour gérer l’accès aux actifs au sein d’une organisation, une politique de contrôle d’accès doit être développée, documentée et révisée périodiquement.

Le contrôle d'accès régit la manière dont les entités humaines et non humaines d'un réseau accèdent aux données, aux ressources informatiques et aux applications.

Les risques de sécurité de l'information associés aux informations et la volonté de l'organisation de les gérer doivent être reflétés dans les règles, les droits et les restrictions ainsi que dans l'étendue des contrôles utilisés. Il s’agit simplement de décider qui a accès à quoi, dans quelle mesure et qui n’y a pas accès.

Il est possible de mettre en place des contrôles d'accès numériques et physiques, tels que la limitation des autorisations des comptes d'utilisateurs ou la restriction de l'accès à des emplacements physiques spécifiques (conformément à l'annexe A.7 Sécurité physique et environnementale). La politique devrait prendre en considération les considérations suivantes :

• Il est essentiel d'aligner les exigences de sécurité des applications métier avec le système de classification des informations utilisé selon les annexes A 5.9, 5.10, 5.11, 5.12, 5.13 et 7.10 relatives à la gestion des actifs.
• Identifiez qui a besoin d’accéder à l’information, de la connaître et de l’utiliser – accompagné de procédures et de responsabilités clairement définies.
• Assurez-vous que droits d'accès et privilèges les droits d'accès (plus de pouvoir – voir ci-dessous) sont gérés efficacement, y compris l'ajout de changements dans la vie (par exemple, contrôles pour les super utilisateurs/administrateurs) et de révisions périodiques (par exemple, contrôles périodiques). audits internes conformément aux exigences des annexes A 5.15, 5.16, 5.17, 5.18 et 8.2).
• Une procédure formelle et des responsabilités définies devraient soutenir les règles de contrôle d'accès.

Il est essentiel de revoir le contrôle d'accès à mesure que les rôles changent, en particulier lors des sorties, afin de se conformer à l'annexe A.7 Sécurité des ressources humaines.

La mise en réseau et les services réseau sont disponibles pour les utilisateurs

Une approche générale de la protection est celle du moindre accès plutôt que de l'accès illimité et des droits de superutilisateur sans examen attentif.

Par conséquent, les utilisateurs ne devraient avoir accès qu'à réseaux et services réseau nécessaires pour assumer leurs responsabilités. La politique doit aborder : Les réseaux et services de réseau concernés par l'accès ; Procédures d'autorisation pour montrer qui (en fonction du rôle) est autorisé à accéder à quoi et quand ; et Contrôles et procédures de gestion pour empêcher l'accès et le surveiller en cas d'incident.

L'intégration et la désintégration doivent également prendre en compte cette question, étroitement liée à la politique de contrôle d'accès.

Objet de la norme ISO 27001:2022 Annexe A 5.15

En tant que contrôle préventif, l'Annexe A 5.15 améliore la capacité sous-jacente d'une organisation à contrôler l'accès aux données et aux actifs.

Un ensemble concret de sécurité commerciale et informationnelle les besoins doivent être satisfaits avant que l’accès aux ressources puisse être accordé et modifié conformément à l’Annexe A Contrôle 5.15.

La norme ISO 27001 Annexe A 5.15 fournit des lignes directrices pour faciliter l'accès sécurisé aux données et minimiser le risque d'accès non autorisé aux réseaux physiques et virtuels.

Propriété de l'annexe A 5.15

Comme le montre l'annexe A 5.15, le personnel de direction des différentes parties d'un l'organisation doit maintenir une compréhension approfondie dont les ressources doivent être accédées (par exemple, en plus des RH qui informent les employés sur leurs rôles professionnels, qui dictent leurs paramètres RBAC, les droits d'accès sont en fin de compte une fonction de maintenance contrôlée par les administrateurs réseau.

La propriété de l'Annexe A 5.15 d'une organisation doit appartenir à un membre de la haute direction qui a l'autorité technique globale sur les domaines, sous-domaines, applications, ressources et actifs de l'entreprise. Cela pourrait être le responsable informatique.

Orientation générale sur la norme ISO 27001:2022 Annexe 5.15

Une approche thématique spécifique du contrôle d'accès est requise pour la conformité à la norme ISO 27001:2022 Annexe A Contrôle 5.15 (plus communément appelée approche spécifique à un problème).

Plutôt que d'adhérer à une politique globale de contrôle d'accès qui s'applique à l'accès aux ressources et aux données dans l'ensemble de l'organisation, les approches thématiques encouragent les organisations à créer des politiques de contrôle d'accès ciblées sur des fonctions commerciales individuelles.

Dans tous les domaines spécifiques, l'Annexe A Contrôle 5.15 exige que les politiques concernant le contrôle d'accès prennent en compte les 11 points ci-dessous. Certaines de ces lignes directrices recoupent d’autres politiques.

À titre indicatif, les organisations doivent consulter les contrôles qui les accompagnent pour obtenir de plus amples informations au cas par cas :

• Identifiez les entités qui ont besoin d’accéder à certains actifs et informations.
• Tenir un registre des rôles professionnels et des exigences d'accès aux données conformément à la structure organisationnelle de votre organisation est le moyen le plus simple de garantir la conformité.
• Sécurité et intégrité de toutes les applications pertinentes (liées au contrôle 8.2).
• Une évaluation formelle des risques pourrait être menée pour évaluer les caractéristiques de sécurité des applications individuelles.
• Le contrôle de l'accès physique à un site (liens avec les contrôles 7.2, 7.3 et 7.4).
• Dans le cadre de votre programme de conformité, votre organisation doit démontrer un ensemble robuste de contrôles d'accès aux bâtiments et aux salles, y compris des systèmes d'entrée gérés, des périmètres de sécurité et des procédures pour les visiteurs, le cas échéant.
• Lorsqu'il s'agit de distribution, de sécurité et de catégorisation des informations, le principe du « besoin de savoir » doit être appliqué dans toute l'organisation (lié aux 5.10, 5.12 et 5.13).
• Les entreprises doivent adhérer à des politiques strictes de bonnes pratiques qui ne fournissent pas un accès généralisé aux données à travers la hiérarchie d'une organisation.
• Assurez-vous que les droits d’accès privilégiés sont restreints (liés à 8.2).
• Les privilèges d'accès des utilisateurs ayant accès aux données au-delà de ceux d'un utilisateur standard doivent être surveillés et audités.
• Assurer le respect de toute législation en vigueur, des directives réglementaires spécifiques au secteur ou des obligations contractuelles relatives à l'accès aux données (voir 5.31, 5.32, 5.33, 5.34 et 8.3).
• Les politiques de contrôle d'accès d'une organisation sont personnalisées en fonction des obligations externes concernant l'accès aux données, aux actifs et aux ressources.
• Garder un œil sur les conflits d’intérêts potentiels.
• Les politiques doivent inclure des contrôles pour empêcher une personne de compromettre une fonction de contrôle d'accès plus large en fonction de ses niveaux d'accès (c'est-à-dire un employé qui peut demander, autoriser et mettre en œuvre des modifications sur un réseau).
• Une politique de contrôle d’accès doit aborder les trois fonctions principales – demandes, autorisations et administration – de manière indépendante.
• Une politique de contrôle d'accès doit reconnaître que, malgré sa nature autonome, elle comprend plusieurs étapes individuelles, chacune contenant ses exigences.
• Pour garantir le respect des exigences des sections 5.16 et 5.18, les demandes d'accès doivent être traitées de manière structurée et formelle.
• Les organisations doivent mettre en œuvre des processus d'autorisation formels qui nécessitent l'approbation formelle et documentée du personnel approprié.
• Gérer les droits d'accès de manière continue (lié à 5.18).
• Pour maintenir l'intégrité des données et les périmètres de sécurité, des audits périodiques, une surveillance des ressources humaines (départs, etc.) et des changements spécifiques au poste (par exemple, mouvements de département et changements de rôles) sont nécessaires.
• Tenir des journaux adéquats et contrôler leur accès Conformité – Les organisations doivent collecter et stocker des données sur les événements d'accès (par exemple, l'activité des fichiers), se protéger contre tout accès non autorisé aux journaux d'événements de sécurité et suivre une gestion globale des incidents stratégie.

Orientations supplémentaires sur l'annexe 5.15

Selon les lignes directrices supplémentaires, l'Annexe A Contrôle 27001 de la norme ISO 2022:5.15 mentionne (sans se limiter à) quatre types différents de contrôle d'accès, qui peuvent être globalement classés comme suit :

• Contrôle d'accès obligatoire (MAC) – L'accès est géré de manière centralisée par une seule autorité de sécurité.
• Une alternative au MAC est le contrôle d'accès discrétionnaire (DAC), dans lequel le propriétaire de l'objet peut accorder à d'autres privilèges au sein de l'objet.
• Un système de contrôle d'accès basé sur des fonctions professionnelles et des privilèges prédéfinis est appelé contrôle d'accès basé sur les rôles (RBAC).
• Grâce au contrôle d'accès basé sur les attributs (ABAC), les droits d'accès des utilisateurs sont accordés en fonction de politiques combinant des attributs.

Lignes directrices pour la mise en œuvre des règles de contrôle d'accès

Nous avons discuté des règles de contrôle d'accès comme étant accordées à diverses entités (humaines et non humaines) opérant au sein d'un réseau, auxquelles sont attribués des rôles définissant leur fonction globale.

Lors de la définition et de la mise en œuvre des politiques de contrôle d'accès de votre organisation, l'Annexe A 5.15 vous demande de prendre en compte les quatre facteurs suivants :

1. La cohérence doit être maintenue entre les données auxquelles s'applique le droit d'accès et le type de droit d'accès.
2. Il est essentiel d'assurer la cohérence entre les droits d'accès de votre organisation et les exigences de sécurité physique (périmètres, etc.).
3. Les droits d'accès dans un environnement informatique distribué (tel qu'un environnement basé sur le cloud) prennent en compte les implications des données résidant sur un large spectre de réseaux.
4. Considérez les implications des contrôles d'accès dynamiques (une méthode granulaire d'accès à un ensemble détaillé de variables mise en œuvre par un administrateur système).

Définir les responsabilités et documenter le processus

Selon la norme ISO 27001:2022 Annexe A Contrôle 5.15, les organisations doivent développer et maintenir une liste structurée de responsabilités et de documentation. Il existe de nombreuses similitudes entre la liste complète des contrôles de la norme ISO 27001:2022, l'annexe A 5.15 contenant les exigences les plus pertinentes :

Documentation

• ISO 27001:2022 Annexe A 5.16
• ISO 27001:2022 Annexe A 5.17
• ISO 27001:2022 Annexe A 5.18
• ISO 27001:2022 Annexe A 8.2
• ISO 27001:2022 Annexe A 8.3
• ISO 27001:2022 Annexe A 8.4
• ISO 27001:2022 Annexe A 8.5
• ISO 27001:2022 Annexe A 8.18

Responsabilités

• ISO 27001:2022 Annexe A 5.2
• ISO 27001:2022 Annexe A 5.17

granularité

Le contrôle 5.15 de l'annexe A offre aux organisations une liberté importante dans la spécification de la granularité de leurs politiques de contrôle d'accès.

De manière générale, l'ISO conseille aux entreprises de faire preuve de jugement quant au degré de détail d'un ensemble de règles donné, employé par employé, et au nombre de variables qui doivent être appliquées à un élément d'information donné.

Plus précisément, l'annexe A 5.15 reconnaît que plus les politiques de contrôle d'accès d'une entreprise sont détaillées, plus le coût est élevé et plus le concept de contrôle d'accès devient complexe sur plusieurs sites, types de réseaux et variables d'application.

Le contrôle d’accès, s’il n’est pas soigneusement géré, peut devenir très rapidement incontrôlable. Il est sage de simplifier les règles de contrôle d’accès pour garantir qu’elles soient plus faciles à gérer et plus rentables.

Études de cas

MIRACL transforme la confiance en un avantage concurrentiel avec la certification ISO 27001

Lire l'étude de cas

Études de cas

L'outil Proteus de Xergy génère de la croissance grâce à la conformité ISO 27001 à l'aide d'ISMS.online

Lire l'étude de cas

← →

Quels sont les changements par rapport à la norme ISO 27001:2013 ?

L'annexe A 5.15 du 27001 :2022 est une fusion de deux contrôles similaires du 27001 :2013 – l'annexe A 9.1.1 (Politique de contrôle d'accès) et l'annexe A 9.1.2 (Accès aux réseaux et services réseau).

Les thèmes sous-jacents de A.9.1.1 et A.9.1.2 sont similaires à ceux de l'Annexe A 5.15, à l'exception de quelques différences opérationnelles subtiles.

Comme en 2022, les deux contrôles concernent la gestion de l’accès aux informations, aux actifs et aux ressources et fonctionnent sur le principe du « besoin de savoir », dans lequel les données de l’entreprise sont traitées comme un bien qui nécessite une gestion et une protection minutieuses.

Il y a 11 lignes directrices régissant l'Annexe A 27001 de la norme 2013 : 9.1.1, qui suivent toutes les mêmes principes généraux que l'Annexe A 27001 : 2022 Contrôle 5.15, avec un accent légèrement plus important sur la sécurité périmétrique et la sécurité physique.

Il existe généralement les mêmes directives de mise en œuvre pour le contrôle d'accès, mais le contrôle 2022 fournit des conseils beaucoup plus concis et pratiques à travers ses quatre directives de mise en œuvre.

Les types de contrôles d'accès utilisés dans la norme ISO 27001:2013, annexe A 9.1.1, ont changé

Comme indiqué dans la norme ISO 27001 Annexe A 5.15, diverses formes de contrôle d'accès ont vu le jour au cours des neuf dernières années (MAC, DAC, ABAC), alors que dans la norme 27001 : 2013 Annexe A Contrôle 9.1.1, la principale méthode de contrôle d'accès commercial à cette époque. l’époque était RBAC.

Niveau de granularité

Les contrôles de 2013 doivent contenir des lignes directrices significatives sur la manière dont une organisation doit aborder les contrôles d'accès granulaires à la lumière des changements technologiques qui offrent aux organisations un contrôle accru sur leurs données.

En revanche, l'annexe A 5.15 du 27001:2022 offre aux organisations une flexibilité considérable.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

Comment ISMS.online peut-il vous aider ?

L'Annexe A 5.15 de la norme ISO 27001:2022 est probablement la clause la plus évoquée au sein de l'Annexe A, et certains soutiennent qu'elle est la plus importante.

Votre système de gestion de la sécurité de l'information (ISMS) vise à garantir que les personnes appropriées ont accès aux informations correctes au bon moment. L’une des clés du succès est de bien faire les choses, mais une mauvaise démarche peut nuire à votre entreprise.

Considérez le scénario dans lequel vous avez accidentellement révélé des informations confidentielles sur un employé aux mauvaises personnes, par exemple le salaire de tous les membres de l'organisation.

Si vous n’y prêtez pas attention, les conséquences d’une erreur sur cette pièce peuvent être graves. Il est donc impératif de prendre le temps de bien réfléchir à tous les aspects avant de se lancer.

À cet égard, notre plateforme peut être un véritable atout. En effet, il suit toute la structure de la norme ISO 27001 et vous permet d'adopter, d'adapter et d'enrichir le contenu que nous vous proposons, vous donnant ainsi une longueur d'avance considérable.

Obtenez démo gratuite d'ISMS.online aujourd'hui.