Mục đích của Kiểm soát 5.15 là gì
Theo hướng dẫn bổ sung, Kiểm soát 5.15 đề cập (nhưng không giới hạn ở) bốn loại kiểm soát truy cập khác nhau, có thể được phân loại chung như sau:
- Kiểm soát truy cập bắt buộc (MAC) – Quyền truy cập được quản lý tập trung bởi một cơ quan bảo mật duy nhất.
- Kiểm soát truy cập tùy ý (DAC) – Phương pháp ngược lại với MAC, trong đó chủ sở hữu đối tượng có thể truyền quyền cho những người dùng khác.
- Kiểm soát truy cập dựa trên vai trò (RBAC) – Loại kiểm soát truy cập thương mại phổ biến nhất, dựa trên các chức năng công việc và đặc quyền được xác định trước.
- Kiểm soát truy cập dựa trên thuộc tính (ABAC) – Quyền truy cập được cấp cho người dùng thông qua việc sử dụng các chính sách kết hợp các thuộc tính với nhau.
5.15 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách cải thiện khả năng cơ bản của tổ chức trong việc kiểm soát quyền truy cập vào dữ liệu và tài sản .
Điều 5.15 nêu rõ rằng quyền truy cập vào tài nguyên phải được cấp và sửa đổi dựa trên một bộ yêu cầu cụ thể về bảo mật thông tin và thương mại.
Các tổ chức nên triển khai 5.15 để tạo điều kiện truy cập dữ liệu an toàn và giảm thiểu rủi ro truy cập trái phép vào mạng của họ – dù là mạng vật lý hay ảo.
Thuộc tính của Kiểm soát 5.15
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật | #Bảo vệ | #Quản lý danh tính và quyền truy cập | #Sự bảo vệ |
| #Chính trực | ||||
| #Khả dụng |
Quyền sở hữu
Trong khi 5.15 dựa vào đội ngũ quản lý từ nhiều bộ phận khác nhau của tổ chức để duy trì sự hiểu biết thấu đáo về việc ai cần truy cập vào tài nguyên nào (tức là HR thông báo về vai trò công việc của nhân viên, từ đó quyết định các tham số RBAC của họ), thì quyền truy cập về cơ bản là chức năng bảo trì được kiểm soát bởi đội ngũ nhân viên có quyền quản trị đối với bất kỳ mạng nào.
Do đó, quyền sở hữu 5.15 phải thuộc về một thành viên quản lý cấp cao có thẩm quyền kỹ thuật bao quát trên toàn bộ các miền, miền phụ, ứng dụng, tài nguyên và tài sản của tổ chức, chẳng hạn như Trưởng phòng CNTT.
Hướng dẫn chung
Việc tuân thủ Kiểm soát 5.15 liên quan đến việc tuân thủ phương pháp được gọi là phương pháp tiếp cận ‘theo chủ đề cụ thể’ đối với Kiểm soát truy cập (thường được gọi là phương pháp tiếp cận ‘theo vấn đề cụ thể’).
Các phương pháp tiếp cận theo chủ đề khuyến khích các tổ chức tạo ra các chính sách Kiểm soát truy cập phù hợp với từng chức năng kinh doanh riêng lẻ, thay vì tuân thủ một chính sách Kiểm soát truy cập chung áp dụng cho quyền truy cập dữ liệu và tài nguyên trên toàn bộ hệ thống.
Kiểm soát 5.15 yêu cầu các chính sách Kiểm soát Truy cập trên tất cả các lĩnh vực cụ thể theo chủ đề phải xem xét 11 điểm hướng dẫn sau. Một số điểm hướng dẫn dưới đây giao thoa với nhiều kiểm soát khác, được liệt kê để tham khảo.
Các tổ chức nên tham khảo các Biện pháp Kiểm soát đi kèm này theo từng trường hợp cụ thể để biết thêm thông tin.
- Xác định những thực thể nào cần truy cập vào thông tin và/hoặc tài sản nhất định .
Tuân thủ – Điều này có thể dễ dàng đạt được bằng cách lưu giữ hồ sơ chính xác về vai trò công việc và yêu cầu truy cập dữ liệu, phù hợp với cơ cấu tổ chức của bạn.
- Tính toàn vẹn và bảo mật của tất cả các ứng dụng có liên quan (liên kết với Kiểm soát 8.2)
Tuân thủ – Có thể tiến hành đánh giá rủi ro chính thức để kiểm tra các đặc điểm bảo mật của từng ứng dụng.
- Kiểm soát truy cập vật lý (trang web) (liên kết với Kiểm soát 7.2, 7.3 và 7.4)
Tuân thủ – Tổ chức của bạn cần chứng minh được rằng bạn có một bộ kiểm soát ra vào phòng và tòa nhà vững chắc, bao gồm hệ thống quản lý lối vào, chu vi an ninh và quy trình dành cho khách, khi cần thiết.
- Nguyên tắc “cần biết” trên toàn công ty khi nói đến phân phối, bảo mật và phân loại thông tin (liên quan đến 5.10, 5.12 và 5.13)
Tuân thủ – Các công ty phải tuân thủ các chính sách thực hành tốt nhất nghiêm ngặt, không cung cấp quyền truy cập toàn diện vào dữ liệu trên toàn bộ sơ đồ tổ chức.
- Đảm bảo hạn chế quyền truy cập đặc quyền (liên quan đến 8.2)
Tuân thủ – Quyền truy cập dữ liệu cao hơn quyền của người dùng tiêu chuẩn cần được giám sát và kiểm tra chặt chẽ .
- Tuân thủ bất kỳ văn bản luật hiện hành, hướng dẫn quản lý cụ thể theo ngành hoặc nghĩa vụ hợp đồng nào liên quan đến quyền truy cập dữ liệu (liên quan đến 5.31, 5.32, 5.33, 5.34 và 8.3)
Tuân thủ – Các tổ chức điều chỉnh chính sách Kiểm soát truy cập của riêng mình theo bất kỳ nghĩa vụ bên ngoài nào mà họ có liên quan đến quyền truy cập dữ liệu, tài sản và tài nguyên.
- Giám sát các xung đột tiềm ẩn về nghĩa vụ
Tuân thủ – Các chính sách phải bao gồm các biện pháp kiểm soát nhằm loại bỏ khả năng cá nhân xâm phạm chức năng Kiểm soát truy cập rộng hơn, dựa trên mức độ truy cập của họ (tức là một nhân viên có khả năng yêu cầu, ủy quyền và thực hiện các thay đổi đối với mạng).
- Ba chức năng chính của Chính sách kiểm soát truy cập – yêu cầu, ủy quyền và quản trị – nên được giải quyết riêng biệt
Tuân thủ – Các chính sách Kiểm soát truy cập cần thừa nhận rằng trong khi Kiểm soát truy cập là một chức năng độc lập, nó bao gồm một số bước riêng lẻ có các yêu cầu riêng theo từng chủ đề.
- Các yêu cầu truy cập phải được thực hiện theo cách có cấu trúc, chính thức (liên quan đến 5.16 và 5.18)
Tuân thủ – Các tổ chức phải thực hiện quy trình cấp phép yêu cầu sự chấp thuận chính thức, có văn bản từ nhân viên phù hợp.
- Quản lý liên tục quyền truy cập (liên kết đến 5.18)
Tuân thủ – Tính toàn vẹn dữ liệu và phạm vi bảo mật cần được duy trì thông qua chu kỳ kiểm toán định kỳ liên tục, giám sát nhân sự (người nghỉ việc, v.v.) và những thay đổi cụ thể về công việc (ví dụ: chuyển phòng ban và sửa đổi vai trò).
- Duy trì nhật ký đầy đủ và kiểm soát quyền truy cập vào chúng
Tuân thủ – Tổ chức phải thu thập và lưu trữ dữ liệu về các sự kiện truy cập (ví dụ: hoạt động tệp) cùng với việc bảo vệ chống lại truy cập trái phép vào nhật ký sự kiện bảo mật và vận hành với một bộ quy trình quản lý sự cố toàn diện .
Hướng dẫn thực hiện các quy tắc kiểm soát truy cập
Như chúng ta đã thảo luận, các quy tắc Kiểm soát truy cập được cấp cho nhiều thực thể khác nhau (con người và không phải con người) tồn tại trên một mạng nhất định, sau đó các thực thể này được giao “vai trò” quyết định các yêu cầu chung của họ.
Khi tổ chức của bạn xác định và ban hành bộ chính sách Kiểm soát truy cập của riêng mình, 5.15 yêu cầu bạn cân nhắc 4 điểm sau:
- Đảm bảo tính nhất quán giữa quyền truy cập và loại dữ liệu mà quyền đó áp dụng.
- Đảm bảo tính nhất quán giữa quyền truy cập và các yêu cầu bảo mật vật lý của tổ chức bạn (chu vi, v.v.).
- Khi tổ chức của bạn hoạt động trong môi trường điện toán phân tán bao gồm nhiều mạng hoặc nhiều bộ tài nguyên riêng biệt (chẳng hạn như môi trường đám mây), quyền truy cập sẽ xem xét đến tác động của dữ liệu chứa trong nhiều dịch vụ mạng khác nhau.
- Hãy lưu ý đến những hàm ý xung quanh các biện pháp kiểm soát truy cập động (một phương pháp truy cập chi tiết do quản trị viên hệ thống triển khai cho một tập hợp các biến chi tiết).
Tài liệu và Trách nhiệm được Xác định
Kiểm soát 5.15 nêu rõ yêu cầu các tổ chức phải tự mình bận tâm đến tài liệu và danh sách trách nhiệm có cấu trúc. ISO 27002 chứa nhiều yêu cầu tương tự trong toàn bộ danh sách kiểm soát của mình – sau đây là các kiểm soát riêng lẻ có liên quan nhất đến 5.15:
Tài liệu
- 5.16
- 5.17
- 5.18
- 8.2
- 8.3
- 8.4
- 8,5
- 8.18
Trách nhiệm
- 5.2
- 5.17
Độ chi tiết
Phiên bản Kiểm soát 5.15 cung cấp cho các tổ chức nhiều quyền tự do lựa chọn mức độ chi tiết trong các quy tắc Kiểm soát truy cập của họ.
ISO khuyên các công ty nên tự đưa ra phán đoán về mức độ chi tiết cần có của một bộ quy tắc nhất định đối với từng nhân viên và số lượng biến truy cập được áp dụng cho bất kỳ phần dữ liệu nào.
5.15 thừa nhận rõ ràng rằng chính sách Kiểm soát truy cập của công ty càng chi tiết thì chi phí càng lớn và toàn bộ khái niệm Kiểm soát truy cập càng trở nên khó khăn hơn trên nhiều địa điểm, loại mạng và biến ứng dụng.
Kiểm soát truy cập như một khái niệm, trừ khi được quản lý chặt chẽ, có thể sớm trở nên mất kiểm soát. Gần như luôn là một ý tưởng hay khi đơn giản hóa các quy tắc Kiểm soát truy cập để giúp chúng dễ quản lý hơn và tiết kiệm chi phí hơn.
Những thay đổi từ ISO 27002:2013
27002:2013/5.15 là sự kết hợp của hai biện pháp kiểm soát tương tự trong 27002:2013 – 9.1.1 (Chính sách kiểm soát truy cập) và 9.1.2 (Truy cập vào mạng và dịch vụ mạng).
Nhìn chung, cả 9.1.1 và 9.1.2 đều giải quyết các chủ đề cơ bản giống như 5.15 và tuân theo cùng một bộ hướng dẫn quản trị, với một số khác biệt nhỏ về mặt vận hành.
Cả biện pháp kiểm soát năm 2022 và 2013 đều liên quan đến việc quản lý quyền truy cập vào thông tin, tài sản và tài nguyên và hoạt động theo nguyên tắc “cần biết” coi dữ liệu của công ty là một loại hàng hóa cần được quản lý và bảo vệ chặt chẽ.
Tất cả 11 hướng dẫn quản lý của 27002:2013/9.1.1 đều tuân theo những nguyên tắc chung giống như trong 27002:2013/5.15, trong đó hướng dẫn sau nhấn mạnh nhiều hơn một chút vào an ninh vật lý và an ninh ngoại vi.
Hướng dẫn hỗ trợ về việc triển khai Kiểm soát truy cập về cơ bản là giống nhau, tuy nhiên, hướng dẫn năm 2022 thực hiện tốt hơn nhiều trong việc cung cấp hướng dẫn ngắn gọn, thiết thực trên 4 nguyên tắc triển khai.
Thay đổi về loại Kiểm soát Truy cập từ 9.1.1
5.15 thừa nhận các loại phương pháp Kiểm soát truy cập khác nhau đã xuất hiện trong 9 năm qua (MAC, DAC, ABAC), trong khi 27002:2013/9.1.1 giới hạn hướng dẫn của mình ở RBAC – phương pháp kiểm soát truy cập thương mại phổ biến nhất tại thời điểm đó.
Độ chi tiết
Cùng với những thay đổi về công nghệ giúp các tổ chức kiểm soát dữ liệu tốt hơn, không có biện pháp kiểm soát nào năm 2013 có chỉ dẫn có ý nghĩa nào về cách một tổ chức nên tiếp cận các biện pháp kiểm soát quyền truy cập chi tiết, trong khi 27002:2013/5.15 trao cho các tổ chức một lượng lớn quyền tự do.
