Le contrôle d'accès régit la manière dont les entités humaines et non humaines d'un réseau donné ont accès aux données, aux ressources informatiques et aux applications.
Conformément aux orientations supplémentaires, le contrôle 5.15 mentionne (sans toutefois s'y limiter) quatre types différents de contrôle d'accès, qui peuvent être globalement classés comme suit :
5.15 est un contrôle préventif qui maintient le risque en améliorant la capacité sous-jacente d'une organisation pour contrôler l’accès aux données et aux actifs.
5.15 est explicite en déclarant que l'accès aux ressources devrait être accordé et modifié sur la base d'un ensemble concret d'exigences de sécurité commerciale et informationnelle.
Les organisations doivent mettre en œuvre la norme 5.15 afin de faciliter un accès sécurisé aux données et de minimiser le risque d'accès non autorisé à leur réseau, qu'il soit physique ou virtuel.
| Type de commande | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Gestion des identités et des accès | #Protection |
Alors que 5.15 repose sur le fait que le personnel de direction de diverses parties d'une organisation doit maintenir une compréhension approfondie de qui a besoin d'accéder à quelles ressources (c'est-à-dire que les RH informent sur le rôle d'un employé, qui à son tour dicte ses paramètres RBAC), les droits d'accès sont en fin de compte une fonction de maintenance qui sont contrôlés par du personnel disposant de droits d’administration sur un réseau donné.
En tant que tel, la propriété de 5.15 devrait incomber à un membre de la haute direction disposant d'une autorité technique globale sur les domaines, sous-domaines, applications, ressources et actifs d'une organisation, comme un responsable informatique.
La conformité au contrôle 5.15 implique le respect de ce que l'on appelle un approche « thématique » au contrôle d'accès (plus communément appelé approche « spécifique à un problème »).
Les approches thématiques encouragent les organisations à créer Access Politiques de contrôle qui sont adaptées aux fonctions commerciales individuelles, plutôt que d'adhérer à une politique globale de contrôle d'accès qui s'applique à l'accès aux données et aux ressources à tous les niveaux.
Control 5.15 exige que les politiques de contrôle d'accès dans tous les domaines spécifiques prennent en compte les 11 points d'orientation suivants. Certains des points d’orientation ci-dessous recoupent divers autres contrôles, répertoriés à titre de référence.
Les organisations doivent consulter ces contrôles d’accompagnement au cas par cas, pour plus d’informations.
Conformité – Ceci est facilement réalisé en conservant un enregistrement précis des rôles professionnels et des exigences d’accès aux données, conforme à votre structure organisationnelle.
Conformité - Un formel évaluation des risques pourrait être effectuée pour examiner les caractéristiques de sécurité des applications individuelles.
Conformité – Votre organisation doit être en mesure de démontrer que vous disposez d’un ensemble solide de contrôles d’accès aux bâtiments et aux salles, y compris des systèmes d’entrée gérés, des périmètres de sécurité et des procédures pour les visiteurs, le cas échéant.
Conformité – Les entreprises doivent adhérer à des politiques strictes de bonnes pratiques qui n’offrent pas un accès généralisé aux données à travers un organigramme.
Conformité – Les privilèges d'accès aux données au-delà de ceux d'un utilisateur standard doivent être étroitement surveillé et audité.
Conformité – Les organisations adaptent leurs propres politiques de contrôle d’accès en fonction de leurs obligations externes en matière d’accès aux données, aux actifs et aux ressources.
Conformité – Les politiques devraient inclure des contrôles qui éliminent la capacité d'un individu à compromettre une fonction de contrôle d'accès plus large, en fonction de ses propres niveaux d'accès (c'est-à-dire un employé qui a la capacité de demander, d'autoriser et de mettre en œuvre des modifications sur un réseau).
Conformité – Les politiques de contrôle d'accès doivent reconnaître que même si le contrôle d'accès est une fonction autonome, il est composé d'un certain nombre d'étapes individuelles qui comportent leur propre ensemble d'exigences, sujet par sujet.
Conformité – Les organisations doivent mettre en œuvre un processus d’autorisation qui nécessite l’approbation formelle et documentée d’un membre approprié du personnel.
Conformité – L'intégrité des données et les périmètres de sécurité doivent être maintenus grâce à un cycle continu d'audits périodiques, de surveillance des ressources humaines (départs, etc.) et de changements spécifiques au poste (par exemple, déménagements de départements et modifications de rôles).
Conformité – L'organisation doit collecter et stocker des données sur les événements d'accès (par exemple, l'activité des fichiers) tout en se protégeant contre les accès non autorisés aux journaux d'événements de sécurité, et fonctionner avec un ensemble complet de la gestion des incidents procédures.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
Nous sommes économiques et rapides
Comme nous l'avons vu, les règles de contrôle d'accès sont accordées à diverses entités (humaines et non humaines) qui existent sur un réseau donné, qui à leur tour se voient attribuer des « rôles » qui dictent leurs exigences globales.
Alors que votre organisation définit et met en œuvre son propre ensemble de politiques de contrôle d'accès, 5.15 vous demande de prendre en considération les 4 points suivants :
Le contrôle 5.15 exige explicitement que les organisations se préoccupent de la documentation et d’une liste structurée de responsabilités. ISO 27002 contient de nombreuses exigences similaires dans toute sa liste de contrôles – voici les contrôles individuels les plus pertinents pour 5.15 :
Control 5.15 donne aux organisations une marge de manœuvre importante lorsqu'il s'agit de choisir le niveau de granularité contenu dans leurs règles de contrôle d'accès.
L'ISO conseille aux entreprises d'exercer leur propre jugement sur le niveau de détail d'un ensemble de règles donné, employé par employé, et sur le nombre de variables d'accès appliquées à chaque élément de données.
5.15 reconnaît explicitement que plus les politiques de contrôle d'accès d'une entreprise sont détaillées, plus le coût est élevé et plus le concept de contrôle d'accès devient complexe sur plusieurs sites, types de réseaux et variables d'application.
Le contrôle d’accès en tant que concept, s’il n’est pas géré de manière étroite, peut rapidement devenir incontrôlable. C'est presque toujours une bonne idée de simplifier les règles de contrôle d'accès pour les rendre plus faciles et plus rentables à gérer.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
27002:2013/5.15 est une fusion de deux contrôles similaires dans 27002:2013 – 9.1.1 (Politique de contrôle d’accès) et 9.1.2 (Accès aux réseaux et services réseaux).
En général, les versions 9.1.1 et 9.1.2 abordent les mêmes thèmes sous-jacents que la version 5.15 et suivent globalement le même ensemble de lignes directrices en matière de gouvernance, avec quelques différences opérationnelles subtiles.
Les contrôles de 2022 et 2013 portent tous deux sur la gestion de l’accès aux informations, aux actifs et aux ressources et fonctionnent selon le principe du « besoin de savoir » qui traite les données d’entreprise comme un bien qui doit être étroitement géré et protégé.
Les 27002 lignes directrices du 2013:9.1.1/11 suivent toutes les mêmes lignes générales que celles du 27002:2013/5.15, cette dernière mettant un peu plus l'accent sur la sécurité physique et la sécurité périmétrique.
Les orientations sur la mise en œuvre du contrôle d’accès sont globalement les mêmes, mais le contrôle de 2022 fait un bien meilleur travail en offrant des orientations concises et pratiques à travers ses 4 directives de mise en œuvre.
5.15 reconnaît les différents types de méthodes de contrôle d'accès qui ont émergé au cours des 9 dernières années (MAC, DAC, ABAC), tandis que 27002:2013/9.1.1 limite ses orientations au RBAC – la méthode de contrôle d'accès commercial la plus courante à l'époque. .
En conjonction avec les changements technologiques qui offrent aux organisations un plus grand contrôle sur leurs données, aucun des contrôles de 2013 ne contient d'orientation significative sur la manière dont une organisation doit aborder les contrôles d'accès granulaires, tandis que la norme 27002:2013/5.15 donne aux organisations une marge de manœuvre importante.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous sommes très heureux d'avoir trouvé cette solution, elle a permis à tout de s'assembler plus facilement.
