Quel est le but du contrôle 5.16 ?
5.16 traite de la capacité d'une organisation à identifier qui (utilisateurs, groupes d'utilisateurs) ou quoi (applications, systèmes et appareils) accède aux données ou aux actifs informatiques à un moment donné, et comment ces identités se voient accorder des droits d'accès sur le réseau.
5.16 est un contrôle préventif qui maintient le risque en agissant comme périmètre principal pour tous les associés sécurité de l'information et cybersécurité opérations, ainsi que le mode de gouvernance principal qui dicte le cadre de gestion des identités et des accès d'une organisation.
Attributs du contrôle 5.16
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Protéger | #Gestion des identités et des accès | #Protection |
| #Intégrité | ||||
| #Disponibilité |
La propriété
Étant donné que la version 5.16 sert principalement une fonction de maintenance, la propriété doit être dirigée vers le personnel informatique auquel ont été attribués des droits d'administrateur global (ou équivalents pour une infrastructure non basée sur Windows).
Bien qu'il existe d'autres rôles intégrés qui permettent aux utilisateurs d'administrer les identités (par exemple, administrateur de domaine), la propriété de 5.16 devrait appartenir à la personne qui détient le pouvoir ultime. responsabilité de l'ensemble du réseau d'une organisation, y compris tous les sous-domaines et locataires Active Directory.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Orientation générale
Le respect du contrôle 5.16 est obtenu en combinant la garantie que les procédures basées sur l'identité sont clairement énoncées dans les documents de politique et le suivi quotidien du respect par le personnel.
5.16 énumère six procédures principales qu'une organisation doit suivre, afin de répondre aux normes requises en matière de sécurité de l'information et de gouvernance de la cybersécurité :
- Lorsque des identités sont attribuées à une personne, seule cette personne spécifique est autorisée à s'authentifier avec et/ou à utiliser cette identité lorsqu'elle accède aux ressources du réseau.
Conformité – Les politiques informatiques doivent clairement stipuler que les utilisateurs ne doivent pas partager leurs informations de connexion ni autoriser d'autres utilisateurs à parcourir le réseau en utilisant une identité autre que celle qui leur a été attribuée.
- Parfois, il peut être nécessaire d'attribuer une identité à plusieurs personnes – également appelée « identité partagée ». Cette approche doit être utilisée avec parcimonie et uniquement pour satisfaire un ensemble explicite d’exigences opérationnelles.
Conformité – Les organisations doivent traiter l'enregistrement des identités partagées comme une procédure distincte des identités d'utilisateur unique, avec un flux de travail d'approbation dédié.
- Les entités dites « non humaines » (comme leur nom l’indique, toute identité qui n’est pas attachée à un utilisateur réel) doivent être considérées différemment des identités basées sur l’utilisateur au moment de l’enregistrement.
Conformité – Comme pour les identités partagées, les identités non humaines devraient à leur tour avoir leur propre processus d’approbation et d’enregistrement qui reconnaît la différence sous-jacente entre attribuer une identité à une personne et en accorder une à un actif, une application ou un appareil.
- Les identités qui ne sont plus nécessaires (quittants, actifs redondants, etc.) doivent être désactivées par un administrateur réseau, ou supprimées entièrement, selon les besoins.
Conformité – Le personnel informatique doit réaliser des audits réguliers qui répertorient les identités par ordre d'utilisation et identifient les entités (humaines ou non humaines) qui peuvent être suspendues ou supprimées. Le personnel des ressources humaines doit inclure la gestion de l'identité dans ses procédures de départ et informer le personnel informatique des départs en temps opportun.
- Les doubles identités doivent être évitées à tout prix. Les entreprises doivent adhérer à la règle « une entité, une identité » à tous les niveaux.
Conformité – Le personnel informatique doit rester vigilant lors de l'attribution des rôles sur un réseau et s'assurer que les entités ne se voient pas accorder de droits d'accès basés sur plusieurs identités.
- Des enregistrements adéquats doivent être conservés pour tous les « événements importants » concernant la gestion de l'identité et les informations d'authentification.
Conformité – Le terme « événement important » peut être interprété de diverses manières, mais à un niveau élémentaire les organisations ont besoin pour garantir que leurs procédures de gouvernance incluent des documents d'enregistrement des identités, des protocoles de demande de modification robustes avec une procédure d'approbation appropriée et la capacité de produire une liste complète des identités attribuées à tout moment.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils supplémentaires
Outre les six principales considérations opérationnelles, 5.16 énumère également quatre étapes que les organisations doivent suivre lors de la création d'une identité et de son octroi. accès aux ressources du réseau (la modification ou la suppression des droits d'accès est traitée dans le contrôle 5.18) :
- Établir une analyse de rentabilisation avant la création d’une identité
Conformité – Il est important de reconnaître que la gestion des identités devient exponentiellement plus difficile à chaque nouvelle identité créée. Les organisations ne devraient créer de nouvelles identités que lorsque cela est clairement nécessaire.
- Assurez-vous que l'entité à laquelle l'identité est attribuée (humaine ou non humaine) a été vérifiée de manière indépendante.
Conformité – Une fois l'analyse de rentabilisation approuvée, les procédures de gestion des identités et des accès doivent contenir des étapes permettant de garantir que la personne ou l'actif qui reçoit une nouvelle identité dispose de l'autorité requise pour le faire, avant qu'une identité ne soit créée.
- Établir une identité
Une fois l'entité vérifiée, le personnel informatique doit créer une identité conforme aux exigences de l'analyse de rentabilisation et limitée à ce qui est stipulé dans les documents de demande de modification.
- Configuration finale et activation
Le final étape du processus implique attribuer une identité à ses diverses autorisations et rôles basés sur l'accès (RBAC) et à tous les services d'authentification associés requis.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Modifications par rapport à la norme ISO 27002:2013
Général
27002:2022 / 5.16 remplace 27002:2013/9.2.1 (Enregistrement et désenregistrement des utilisateurs) – qui lui-même faisait partie de l'ensemble de contrôles de gestion de l'accès des utilisateurs de 27002:2013. Bien qu'il existe certaines similitudes entre les deux contrôles – principalement dans les protocoles de maintenance et la désactivation des identifiants redondants – la version 5.16 contient un ensemble de lignes directrices beaucoup plus complètes qui cherchent à aborder la gestion des identités et des accès comme un concept de bout en bout.
Identités humaines et non humaines
La principale différence entre le contrôle de 2022 et son prédécesseur de 2013 réside dans la reconnaissance du fait que, même s'il existe des différences dans le processus d'enregistrement, les identités humaines et non humaines ne sont plus traitées de manière distincte les unes des autres, à des fins générales d'administration du réseau.
Avec l’avènement des protocoles modernes de gestion des identités et des accès et des protocoles RBAC basés sur Windows, les lignes directrices en matière de gouvernance informatique et de bonnes pratiques parlent d’identités humaines et non humaines de manière plus ou moins interchangeable. 27002:2013/9.2.1 ne contient aucune directive sur la façon d'administrer les identités non humaines et se préoccupe uniquement de la gestion de ce qu'elle appelle les « ID utilisateur » (c'est-à-dire les informations de connexion utilisées pour accéder à un réseau, ainsi qu'un mot de passe).
Documentation
Comme nous l'avons vu, la norme 27002:2013/5.16 contient des conseils explicites non seulement sur les implications générales de sécurité de la gouvernance des identités, mais également sur la manière dont les organisations doivent enregistrer et traiter les informations avant qu'une identité ne soit attribuée et tout au long de son cycle de vie. En comparaison, 27002:2013/9.2.1 ne mentionne que brièvement le rôle d'accompagnement que joue la gouvernance informatique et se limite à la pratique physique de l'administration des identités, telle qu'elle est effectuée par le personnel informatique.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
