ISO 27002, Contrôle 5.15, Contrôle d'accès

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Quel est le but du contrôle 5.15

Conformément aux orientations supplémentaires, le contrôle 5.15 mentionne (sans toutefois s'y limiter) quatre types différents de contrôle d'accès, qui peuvent être globalement classés comme suit :

Contrôle d'accès obligatoire (MAC) – L’accès est géré de manière centralisée par une seule autorité de sécurité.
Contrôle d'accès discrétionnaire (DAC) – La méthode opposée à MAC, où les propriétaires d'objets peuvent transmettre des privilèges à d'autres utilisateurs.
Contrôle d'accès basé sur les rôles (RBAC) – Le type de contrôle d’accès commercial le plus courant, basé sur des fonctions professionnelles et des privilèges prédéfinis.
Contrôle d'accès basé sur les attributs (ABAC) – Les droits d'accès sont accordés aux utilisateurs grâce à l'utilisation de politiques qui combinent des attributs.

5.15 est un contrôle préventif qui maintient le risque en améliorant la capacité sous-jacente d'une organisation pour contrôler l’accès aux données et aux actifs.

5.15 est explicite en déclarant que l'accès aux ressources devrait être accordé et modifié sur la base d'un ensemble concret d'exigences de sécurité commerciale et informationnelle.

Les organisations doivent mettre en œuvre la norme 5.15 afin de faciliter un accès sécurisé aux données et de minimiser le risque d'accès non autorisé à leur réseau, qu'il soit physique ou virtuel.

Attributs du contrôle 5.15

Type de contrôle	Propriétés de sécurité des informations	Concepts de cybersécurité	Capacités opérationnelles	Domaines de sécurité
#Préventif	#Confidentialité	#Protéger	#Gestion des identités et des accès	#Protection
	#Intégrité
	#Disponibilité

La propriété

Alors que 5.15 repose sur le fait que le personnel de direction de diverses parties d'une organisation doit maintenir une compréhension approfondie de qui a besoin d'accéder à quelles ressources (c'est-à-dire que les RH informent sur le rôle d'un employé, qui à son tour dicte ses paramètres RBAC), les droits d'accès sont en fin de compte une fonction de maintenance qui sont contrôlés par du personnel disposant de droits d’administration sur un réseau donné.

En tant que tel, la propriété de 5.15 devrait incomber à un membre de la haute direction disposant d'une autorité technique globale sur les domaines, sous-domaines, applications, ressources et actifs d'une organisation, comme un responsable informatique.

Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Orientation générale

La conformité au contrôle 5.15 implique le respect de ce que l'on appelle un approche « thématique » au contrôle d'accès (plus communément appelé approche « spécifique à un problème »).

Les approches thématiques encouragent les organisations à créer Access Politiques de contrôle qui sont adaptées aux fonctions commerciales individuelles, plutôt que d'adhérer à une politique globale de contrôle d'accès qui s'applique à l'accès aux données et aux ressources à tous les niveaux.

Control 5.15 exige que les politiques de contrôle d'accès dans tous les domaines spécifiques prennent en compte les 11 points d'orientation suivants. Certains des points d’orientation ci-dessous recoupent divers autres contrôles, répertoriés à titre de référence.

Les organisations doivent consulter ces contrôles d’accompagnement au cas par cas, pour plus d’informations.

Déterminer quelles entités ont besoin d'accéder à certains éléments de informations et/ou actifs.

Conformité – Ceci est facilement réalisé en conservant un enregistrement précis des rôles professionnels et des exigences d’accès aux données, conforme à votre structure organisationnelle.

L'intégrité et la sécurité de toutes les applications pertinentes (liées au contrôle 8.2)

Conformité - Un formel évaluation des risques pourrait être effectuée pour examiner les caractéristiques de sécurité des applications individuelles.

Contrôles d'accès physique (au site) (liés aux contrôles 7.2, 7.3 et 7.4)

Conformité – Votre organisation doit être en mesure de démontrer que vous disposez d’un ensemble solide de contrôles d’accès aux bâtiments et aux salles, y compris des systèmes d’entrée gérés, des périmètres de sécurité et des procédures pour les visiteurs, le cas échéant.

Un principe du « besoin de savoir » à l’échelle de l’entreprise, en matière de distribution, de sécurité et de catégorisation des informations (lié aux 5.10, 5.12 et 5.13)

Conformité – Les entreprises doivent adhérer à des politiques strictes de bonnes pratiques qui n’offrent pas un accès généralisé aux données à travers un organigramme.

Assurer les restrictions aux droits d’accès privilégiés (lié à 8.2)

Conformité – Les privilèges d'accès aux données au-delà de ceux d'un utilisateur standard doivent être étroitement surveillé et audité.

Adhésion à toute législation en vigueur, directives réglementaires spécifiques au secteur ou obligations contractuelles liées à l'accès aux données (liées à 5.31, 5.32, 5.33, 5.34 et 8.3)

Conformité – Les organisations adaptent leurs propres politiques de contrôle d’accès en fonction de leurs obligations externes en matière d’accès aux données, aux actifs et aux ressources.

Surveillance des conflits de devoirs potentiels

Conformité – Les politiques devraient inclure des contrôles qui éliminent la capacité d'un individu à compromettre une fonction de contrôle d'accès plus large, en fonction de ses propres niveaux d'accès (c'est-à-dire un employé qui a la capacité de demander, d'autoriser et de mettre en œuvre des modifications sur un réseau).

Les trois fonctions principales d'une politique de contrôle d'accès – demandes, autorisations et administration – doivent être abordées isolément.

Conformité – Les politiques de contrôle d'accès doivent reconnaître que même si le contrôle d'accès est une fonction autonome, il est composé d'un certain nombre d'étapes individuelles qui comportent leur propre ensemble d'exigences, sujet par sujet.

Les demandes d'accès doivent être traitées de manière structurée et formelle (liée aux points 5.16 et 5.18).

Conformité – Les organisations doivent mettre en œuvre un processus d’autorisation qui nécessite l’approbation formelle et documentée d’un membre approprié du personnel.

Gestion courante des droits d'accès (liée au 5.18)

Conformité – L'intégrité des données et les périmètres de sécurité doivent être maintenus grâce à un cycle continu d'audits périodiques, de surveillance des ressources humaines (départs, etc.) et de changements spécifiques au poste (par exemple, déménagements de départements et modifications de rôles).

Tenir des journaux adéquats et contrôler leur accès

Conformité – L'organisation doit collecter et stocker des données sur les événements d'accès (par exemple, l'activité des fichiers) tout en se protégeant contre les accès non autorisés aux journaux d'événements de sécurité, et fonctionner avec un ensemble complet de la gestion des incidents procédures.

La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Conseils sur la mise en œuvre des règles de contrôle d'accès

Comme nous l'avons vu, les règles de contrôle d'accès sont accordées à diverses entités (humaines et non humaines) qui existent sur un réseau donné, qui à leur tour se voient attribuer des « rôles » qui dictent leurs exigences globales.

Alors que votre organisation définit et met en œuvre son propre ensemble de politiques de contrôle d'accès, 5.15 vous demande de prendre en considération les 4 points suivants :

Assurer la cohérence entre le droit d’accès et le type de données auquel il s’applique.
Assurer la cohérence entre le droit d’accès et le exigences de sécurité physique de votre organisation (périmètres, etc.).
Lorsque votre organisation opère dans un environnement informatique distribué qui comprend plusieurs réseaux ou ensembles de ressources distincts (comme un environnement basé sur le cloud), les droits d'accès prennent en compte les implications des données contenues dans une large gamme de services réseau.
Soyez conscient des implications liées aux contrôles d'accès dynamiques (une méthode granulaire d'accès mise en œuvre par les administrateurs système à un ensemble détaillé de variables).

Documentation et responsabilités définies

Le contrôle 5.15 exige explicitement que les organisations se préoccupent de la documentation et d’une liste structurée de responsabilités. ISO 27002 contient de nombreuses exigences similaires dans toute sa liste de contrôles – voici les contrôles individuels les plus pertinents pour 5.15 :

Documentation

5.16
5.17
5.18
8.2
8.3
8.4
8.5
8.18

Responsabilités

5.2
5.17

granularité

Control 5.15 donne aux organisations une marge de manœuvre importante lorsqu'il s'agit de choisir le niveau de granularité contenu dans leurs règles de contrôle d'accès.

L'ISO conseille aux entreprises d'exercer leur propre jugement sur le niveau de détail d'un ensemble de règles donné, employé par employé, et sur le nombre de variables d'accès appliquées à chaque élément de données.

5.15 reconnaît explicitement que plus les politiques de contrôle d'accès d'une entreprise sont détaillées, plus le coût est élevé et plus le concept de contrôle d'accès devient complexe sur plusieurs sites, types de réseaux et variables d'application.

Le contrôle d’accès en tant que concept, s’il n’est pas géré de manière étroite, peut rapidement devenir incontrôlable. C'est presque toujours une bonne idée de simplifier les règles de contrôle d'accès pour les rendre plus faciles et plus rentables à gérer.

Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo

Modifications par rapport à la norme ISO 27002:2013

27002:2013/5.15 est une fusion de deux contrôles similaires dans 27002:2013 – 9.1.1 (Politique de contrôle d’accès) et 9.1.2 (Accès aux réseaux et services réseaux).

En général, les versions 9.1.1 et 9.1.2 abordent les mêmes thèmes sous-jacents que la version 5.15 et suivent globalement le même ensemble de lignes directrices en matière de gouvernance, avec quelques différences opérationnelles subtiles.

Les contrôles de 2022 et 2013 portent tous deux sur la gestion de l’accès aux informations, aux actifs et aux ressources et fonctionnent selon le principe du « besoin de savoir » qui traite les données d’entreprise comme un bien qui doit être étroitement géré et protégé.

Les 27002 lignes directrices du 2013:9.1.1/11 suivent toutes les mêmes lignes générales que celles du 27002:2013/5.15, cette dernière mettant un peu plus l'accent sur la sécurité physique et la sécurité périmétrique.

Les orientations sur la mise en œuvre du contrôle d’accès sont globalement les mêmes, mais le contrôle de 2022 fait un bien meilleur travail en offrant des orientations concises et pratiques à travers ses 4 directives de mise en œuvre.

Modifications des types de contrôles d'accès à partir de la version 9.1.1

5.15 reconnaît les différents types de méthodes de contrôle d'accès qui ont émergé au cours des 9 dernières années (MAC, DAC, ABAC), tandis que 27002:2013/9.1.1 limite ses orientations au RBAC – la méthode de contrôle d'accès commercial la plus courante à l'époque. .

granularité

En conjonction avec les changements technologiques qui offrent aux organisations un plus grand contrôle sur leurs données, aucun des contrôles de 2013 ne contient d'orientation significative sur la manière dont une organisation doit aborder les contrôles d'accès granulaires, tandis que la norme 27002:2013/5.15 donne aux organisations une marge de manœuvre importante.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.7	Équipement	Intelligence de la menace
5.23	Équipement	Sécurité des informations pour l'utilisation des services cloud
5.30	Équipement	Préparation aux TIC pour la continuité des activités
7.4	Équipement	Surveillance de la sécurité physique
8.9	Équipement	Gestion de la configuration
8.10	Équipement	Suppression des informations
8.11	Équipement	Masquage des données
8.12	Équipement	Prévention des fuites de données
8.16	Équipement	Activités de surveillance
8.23	Équipement	filtrage web
8.28	Équipement	Codage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.1	05.1.1, 05.1.2	Politiques de sécurité des informations
5.2	06.1.1	Rôles et responsabilités en matière de sécurité de l'information
5.3	06.1.2	Séparation des tâches
5.4	07.2.1	Responsabilités de gestion
5.5	06.1.3	Contact avec les autorités
5.6	06.1.4	Contact avec des groupes d'intérêts particuliers
5.7	Équipement	Intelligence de la menace
5.8	06.1.5, 14.1.1	Sécurité de l'information dans la gestion de projet
5.9	08.1.1, 08.1.2	Inventaire des informations et autres actifs associés
5.10	08.1.3, 08.2.3	Utilisation acceptable des informations et autres actifs associés
5.11	08.1.4	Restitution des actifs
5.12	08.2.1	Classement des informations
5.13	08.2.2	Étiquetage des informations
5.14	13.2.1, 13.2.2, 13.2.3	Transfert d'information
5.15	09.1.1, 09.1.2	Contrôle d'accès
5.16	09.2.1	Gestion d'identité
5.17	09.2.4, 09.3.1, 09.4.3	Informations d'authentification
5.18	09.2.2, 09.2.5, 09.2.6	Des droits d'accès
5.19	15.1.1	Sécurité de l'information dans les relations avec les fournisseurs
5.20	15.1.2	Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21	15.1.3	Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22	15.2.1, 15.2.2	Suivi, revue et gestion du changement des services fournisseurs
5.23	Équipement	Sécurité des informations pour l'utilisation des services cloud
5.24	16.1.1	Planification et préparation de la gestion des incidents de sécurité de l’information
5.25	16.1.4	Évaluation et décision sur les événements liés à la sécurité de l'information
5.26	16.1.5	Réponse aux incidents de sécurité de l'information
5.27	16.1.6	Tirer les leçons des incidents de sécurité de l’information
5.28	16.1.7	Collecte de preuves
5.29	17.1.1, 17.1.2, 17.1.3	Sécurité des informations en cas de perturbation
5.30	Équipement	Préparation aux TIC pour la continuité des activités
5.31	18.1.1, 18.1.5	Exigences légales, statutaires, réglementaires et contractuelles
5.32	18.1.2	Droit de la propriété intellectuelle
5.33	18.1.3	Protection des dossiers
5.34	18.1.4	Confidentialité et protection des informations personnelles
5.35	18.2.1	Examen indépendant de la sécurité de l’information
5.36	18.2.2, 18.2.3	Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37	12.1.1	Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
6.1	07.1.1	Tamisage
6.2	07.1.2	Termes et conditions d'emploi
6.3	07.2.2	Sensibilisation, éducation et formation à la sécurité de l’information
6.4	07.2.3	Processus disciplinaire
6.5	07.3.1	Responsabilités après la cessation ou le changement d'emploi
6.6	13.2.4	Accords de confidentialité ou de non-divulgation
6.7	06.2.2	Travail à distance
6.8	16.1.2, 16.1.3	Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
7.1	11.1.1	Périmètres de sécurité physique
7.2	11.1.2, 11.1.6	Entrée physique
7.3	11.1.3	Sécurisation des bureaux, des locaux et des installations
7.4	Équipement	Surveillance de la sécurité physique
7.5	11.1.4	Se protéger contre les menaces physiques et environnementales
7.6	11.1.5	Travailler dans des zones sécurisées
7.7	11.2.9	Bureau clair et écran clair
7.8	11.2.1	Implantation et protection des équipements
7.9	11.2.6	Sécurité des actifs hors site
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Supports de stockage
7.11	11.2.2	Utilitaires pris en charge
7.12	11.2.3	Sécurité du câblage
7.13	11.2.4	La maintenance des équipements
7.14	11.2.7	Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
8.1	06.2.1, 11.2.8	Appareils de point de terminaison utilisateur
8.2	09.2.3	Droits d'accès privilégiés
8.3	09.4.1	Restriction d'accès aux informations
8.4	09.4.5	Accès au code source
8.5	09.4.2	Authentification sécurisée
8.6	12.1.3	Gestion de la capacité
8.7	12.2.1	Protection contre les logiciels malveillants
8.8	12.6.1, 18.2.3	Gestion des vulnérabilités techniques
8.9	Équipement	Gestion de la configuration
8.10	Équipement	Suppression des informations
8.11	Équipement	Masquage des données
8.12	Équipement	Prévention des fuites de données
8.13	12.3.1	Sauvegarde des informations
8.14	17.2.1	Redondance des installations de traitement de l'information
8.15	12.4.1, 12.4.2, 12.4.3	Journal
8.16	Équipement	Activités de surveillance
8.17	12.4.4	La synchronisation d'horloge
8.18	09.4.4	Utilisation de programmes utilitaires privilégiés
8.19	12.5.1, 12.6.2	Installation de logiciels sur les systèmes opérationnels
8.20	13.1.1	Sécurité des réseaux
8.21	13.1.2	Sécurité des services réseau
8.22	13.1.3	Ségrégation des réseaux
8.23	Équipement	filtrage web
8.24	10.1.1, 10.1.2	Utilisation de la cryptographie
8.25	14.2.1	Cycle de vie de développement sécurisé
8.26	14.1.2, 14.1.3	Exigences de sécurité des applications
8.27	14.2.5	Architecture de système sécurisée et principes d’ingénierie
8.28	Équipement	Codage sécurisé
8.29	14.2.8, 14.2.9	Tests de sécurité en développement et acceptation
8.30	14.2.7	Développement externalisé
8.31	12.1.4, 14.2.6	Séparation des environnements de développement, de test et de production
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestion du changement
8.33	14.3.1	Informations de test
8.34	12.7.1	Protection des systèmes d'information lors des tests d'audit