Les identités sont utilisées par les réseaux informatiques pour identifier la capacité sous-jacente d'une entité (un utilisateur, un groupe d'utilisateurs, un appareil ou un actif informatique) à accéder à un ensemble prédéterminé de ressources matérielles et logicielles.
Le contrôle 5.16 traite de l'approbation, de l'enregistrement et de l'administration – définis comme le « cycle de vie complet » – des identités humaines et non humaines sur un réseau donné.
5.16 traite de la capacité d'une organisation à identifier qui (utilisateurs, groupes d'utilisateurs) ou quoi (applications, systèmes et appareils) accède aux données ou aux actifs informatiques à un moment donné, et comment ces identités se voient accorder des droits d'accès sur le réseau.
5.16 est un contrôle préventif qui maintient le risque en agissant comme périmètre principal pour tous les associés sécurité de l'information et cybersécurité opérations, ainsi que le mode de gouvernance principal qui dicte le cadre de gestion des identités et des accès d'une organisation.
| Type de commande | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Gestion des identités et des accès | #Protection |
Étant donné que la version 5.16 sert principalement une fonction de maintenance, la propriété doit être dirigée vers le personnel informatique auquel ont été attribués des droits d'administrateur global (ou équivalents pour une infrastructure non basée sur Windows).
Bien qu'il existe d'autres rôles intégrés qui permettent aux utilisateurs d'administrer les identités (par exemple, administrateur de domaine), la propriété de 5.16 devrait appartenir à la personne qui détient le pouvoir ultime. responsabilité de l'ensemble du réseau d'une organisation, y compris tous les sous-domaines et locataires Active Directory.
Le respect du contrôle 5.16 est obtenu en combinant la garantie que les procédures basées sur l'identité sont clairement énoncées dans les documents de politique et le suivi quotidien du respect par le personnel.
5.16 énumère six procédures principales qu'une organisation doit suivre, afin de répondre aux normes requises en matière de sécurité de l'information et de gouvernance de la cybersécurité :
Conformité – Les politiques informatiques doivent clairement stipuler que les utilisateurs ne doivent pas partager leurs informations de connexion ni autoriser d'autres utilisateurs à parcourir le réseau en utilisant une identité autre que celle qui leur a été attribuée.
Conformité – Les organisations doivent traiter l'enregistrement des identités partagées comme une procédure distincte des identités d'utilisateur unique, avec un flux de travail d'approbation dédié.
Conformité – Comme pour les identités partagées, les identités non humaines devraient à leur tour avoir leur propre processus d’approbation et d’enregistrement qui reconnaît la différence sous-jacente entre attribuer une identité à une personne et en accorder une à un actif, une application ou un appareil.
Conformité – Le personnel informatique doit réaliser des audits réguliers qui répertorient les identités par ordre d'utilisation et identifient les entités (humaines ou non humaines) qui peuvent être suspendues ou supprimées. Le personnel des ressources humaines doit inclure la gestion de l'identité dans ses procédures de départ et informer le personnel informatique des départs en temps opportun.
Conformité – Le personnel informatique doit rester vigilant lors de l'attribution des rôles sur un réseau et s'assurer que les entités ne se voient pas accorder de droits d'accès basés sur plusieurs identités.
Conformité – Le terme « événement important » peut être interprété de diverses manières, mais à un niveau élémentaire les organisations ont besoin pour garantir que leurs procédures de gouvernance incluent des documents d'enregistrement des identités, des protocoles de demande de modification robustes avec une procédure d'approbation appropriée et la capacité de produire une liste complète des identités attribuées à tout moment.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Outre les six principales considérations opérationnelles, 5.16 énumère également quatre étapes que les organisations doivent suivre lors de la création d'une identité et de son octroi. accès aux ressources du réseau (la modification ou la suppression des droits d'accès est traitée dans le contrôle 5.18) :
Conformité – Il est important de reconnaître que la gestion des identités devient exponentiellement plus difficile à chaque nouvelle identité créée. Les organisations ne devraient créer de nouvelles identités que lorsque cela est clairement nécessaire.
Conformité – Une fois l'analyse de rentabilisation approuvée, les procédures de gestion des identités et des accès doivent contenir des étapes permettant de garantir que la personne ou l'actif qui reçoit une nouvelle identité dispose de l'autorité requise pour le faire, avant qu'une identité ne soit créée.
Une fois l'entité vérifiée, le personnel informatique doit créer une identité conforme aux exigences de l'analyse de rentabilisation et limitée à ce qui est stipulé dans les documents de demande de modification.
27002:2022 / 5.16 remplace 27002:2013/9.2.1 (Enregistrement et désenregistrement des utilisateurs) – qui lui-même faisait partie de l'ensemble de contrôles de gestion de l'accès des utilisateurs de 27002:2013. Bien qu'il existe certaines similitudes entre les deux contrôles – principalement dans les protocoles de maintenance et la désactivation des identifiants redondants – la version 5.16 contient un ensemble de lignes directrices beaucoup plus complètes qui cherchent à aborder la gestion des identités et des accès comme un concept de bout en bout.
La principale différence entre le contrôle de 2022 et son prédécesseur de 2013 réside dans la reconnaissance du fait que, même s'il existe des différences dans le processus d'enregistrement, les identités humaines et non humaines ne sont plus traitées de manière distincte les unes des autres, à des fins générales d'administration du réseau.
Avec l’avènement des protocoles modernes de gestion des identités et des accès et des protocoles RBAC basés sur Windows, les lignes directrices en matière de gouvernance informatique et de bonnes pratiques parlent d’identités humaines et non humaines de manière plus ou moins interchangeable. 27002:2013/9.2.1 ne contient aucune directive sur la façon d'administrer les identités non humaines et se préoccupe uniquement de la gestion de ce qu'elle appelle les « ID utilisateur » (c'est-à-dire les informations de connexion utilisées pour accéder à un réseau, ainsi qu'un mot de passe).
Comme nous l'avons vu, la norme 27002:2013/5.16 contient des conseils explicites non seulement sur les implications générales de sécurité de la gouvernance des identités, mais également sur la manière dont les organisations doivent enregistrer et traiter les informations avant qu'une identité ne soit attribuée et tout au long de son cycle de vie. En comparaison, 27002:2013/9.2.1 ne mentionne que brièvement le rôle d'accompagnement que joue la gouvernance informatique et se limite à la pratique physique de l'administration des identités, telle qu'elle est effectuée par le personnel informatique.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
ISMS.online vous fera gagner du temps et de l’argent
Obtenez votre devis