Mục đích của Kiểm soát 5.16 là gì?
5.16 đề cập đến khả năng của tổ chức trong việc xác định ai (người dùng, nhóm người dùng) hoặc cái gì (ứng dụng, hệ thống và thiết bị) đang truy cập dữ liệu hoặc tài sản CNTT tại bất kỳ thời điểm nào và cách cấp quyền truy cập cho những danh tính đó trên toàn mạng.
5.16 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách đóng vai trò là ranh giới chính cho mọi hoạt động bảo mật thông tin và an ninh mạng liên quan , cũng như là chế độ quản trị chính quyết định khuôn khổ Quản lý danh tính và quyền truy cập của tổ chức.
Thuộc tính của Kiểm soát 5.16
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật | #Bảo vệ | #Quản lý danh tính và quyền truy cập | #Sự bảo vệ |
| #Chính trực | ||||
| #Khả dụng |
Quyền sở hữu
Do phiên bản 5.16 chủ yếu phục vụ chức năng bảo trì nên quyền sở hữu nên được chuyển cho nhân viên CNTT được cấp quyền Quản trị viên toàn cầu (hoặc tương đương đối với cơ sở hạ tầng không chạy Windows).
Mặc dù có các vai trò tích hợp khác cho phép người dùng quản lý danh tính (ví dụ: Quản trị viên miền), quyền sở hữu 5.16 phải thuộc về cá nhân có trách nhiệm cuối cùng đối với toàn bộ mạng của tổ chức , bao gồm tất cả các miền phụ và đối tượng thuê Active Directory.
Hướng dẫn chung
Việc tuân thủ kiểm soát 5.16 đạt được thông qua sự kết hợp giữa việc đảm bảo các quy trình dựa trên danh tính được nêu rõ trong các tài liệu chính sách và giám sát việc tuân thủ hàng ngày của nhân viên.
5.16 liệt kê sáu quy trình chính mà một tổ chức cần tuân theo để đáp ứng các tiêu chuẩn bắt buộc về quản trị an ninh mạng và bảo mật thông tin:
- Khi danh tính được gán cho một người, chỉ người cụ thể đó mới được phép xác thực và/hoặc sử dụng danh tính đó khi truy cập vào tài nguyên mạng.
Tuân thủ – Chính sách CNTT cần quy định rõ ràng rằng người dùng không được chia sẻ thông tin đăng nhập hoặc cho phép người dùng khác chuyển vùng mạng bằng bất kỳ danh tính nào khác ngoài danh tính đã được cấp cho họ.
- Đôi khi có thể cần phải chỉ định một danh tính cho nhiều người – còn được gọi là ‘danh tính chung’. Cách tiếp cận này nên được sử dụng một cách hạn chế và chỉ để đáp ứng một tập hợp các yêu cầu hoạt động rõ ràng.
Tuân thủ – Các tổ chức nên coi việc đăng ký danh tính chung là một thủ tục riêng biệt với danh tính người dùng đơn lẻ, với quy trình phê duyệt chuyên dụng.
- Cái gọi là các thực thể ‘không phải con người’ (như tên gọi của nó, bất kỳ danh tính nào không gắn liền với người dùng thực tế) nên được xem xét khác với danh tính dựa trên người dùng tại thời điểm đăng ký.
Tuân thủ – Giống như các danh tính được chia sẻ, các danh tính không phải của con người cũng phải có quy trình phê duyệt và đăng ký riêng để xác nhận sự khác biệt cơ bản giữa việc chỉ định danh tính cho một người và cấp danh tính đó cho một tài sản, ứng dụng hoặc thiết bị.
- Các danh tính không còn cần thiết (người rời đi, tài sản dư thừa, v.v.) phải bị quản trị viên mạng vô hiệu hóa hoặc xóa hoàn toàn nếu cần.
Tuân thủ – Nhân viên CNTT phải tiến hành kiểm toán thường xuyên , liệt kê danh tính theo thứ tự sử dụng và xác định những thực thể nào (con người hoặc không phải con người) có thể bị đình chỉ hoặc xóa. Nhân viên HR phải đưa quản lý danh tính vào quy trình sa thải và thông báo kịp thời cho nhân viên CNTT về những người nghỉ việc.
- Cần tránh việc trùng lặp danh tính bằng mọi giá. Các công ty nên tuân thủ nguyên tắc “một thực thể, một danh tính” trên toàn hệ thống.
Tuân thủ – Nhân viên CNTT phải luôn cảnh giác khi phân công vai trò trên toàn mạng và đảm bảo rằng các thực thể không được cấp quyền truy cập dựa trên nhiều danh tính.
- Cần lưu giữ hồ sơ đầy đủ về tất cả các ‘sự kiện quan trọng’ liên quan đến quản lý danh tính và thông tin xác thực.
Tuân thủ – Thuật ngữ ‘sự kiện quan trọng’ có thể được hiểu theo nhiều cách khác nhau, nhưng ở cấp độ cơ bản, các tổ chức cần đảm bảo rằng quy trình quản trị của họ bao gồm tài liệu đăng ký danh tính, giao thức yêu cầu thay đổi mạnh mẽ với quy trình phê duyệt phù hợp và khả năng tạo danh sách toàn diện các danh tính được chỉ định tại bất kỳ thời điểm nào.
Hướng dẫn bổ sung
Cũng như sáu cân nhắc chính về hoạt động, 5.16 cũng liệt kê bốn bước mà các tổ chức cần thực hiện khi tạo danh tính và cấp cho danh tính đó quyền truy cập vào tài nguyên mạng (việc sửa đổi hoặc xóa quyền truy cập được xử lý trong phần kiểm soát 5.18):
- Thiết lập một trường hợp kinh doanh trước khi tạo ra một danh tính
Tuân thủ – Điều quan trọng là phải thừa nhận rằng việc quản lý danh tính trở nên khó khăn hơn theo cấp số nhân với mỗi danh tính mới được tạo. Các tổ chức chỉ nên tạo danh tính mới khi có nhu cầu rõ ràng.
- Đảm bảo rằng thực thể được gán danh tính (là người hoặc không phải người) đã được xác minh độc lập.
Tuân thủ – Sau khi hồ sơ kinh doanh được chấp thuận, các thủ tục Quản lý danh tính và quyền truy cập phải bao gồm các bước để đảm bảo rằng cá nhân hoặc tài sản nhận danh tính mới có đủ thẩm quyền để thực hiện trước khi danh tính được tạo.
- Thiết lập danh tính
Sau khi thực thể đã được xác minh, nhân viên CNTT phải tạo một danh tính phù hợp với các yêu cầu của trường hợp kinh doanh và giới hạn ở những gì được quy định trong bất kỳ tài liệu yêu cầu thay đổi nào.
- Cấu hình và kích hoạt cuối cùng
Bước cuối cùng trong quy trình bao gồm việc chỉ định danh tính cho nhiều quyền và vai trò dựa trên quyền truy cập (RBAC) khác nhau và bất kỳ dịch vụ xác thực liên quan nào được yêu cầu.
Những thay đổi từ ISO 27002:2013
Tổng quan
27002:2022 / 5.16 thay thế 27002:2013/9.2.1 (Đăng ký và Hủy đăng ký Người dùng) – bản thân nó là một phần của bộ điều khiển Quản lý Truy cập Người dùng của 27002:2013. Mặc dù có một số điểm tương đồng giữa hai bộ điều khiển – chủ yếu là trong các giao thức bảo trì và hủy kích hoạt ID dự phòng – 5.16 chứa một bộ hướng dẫn toàn diện hơn nhiều nhằm giải quyết Quản lý Danh tính và Truy cập như một khái niệm đầu cuối.
Bản sắc con người và phi con người
Sự khác biệt chính giữa bản kiểm soát năm 2022 và bản kiểm soát tiền nhiệm năm 2013 là sự thừa nhận rằng mặc dù có sự khác biệt trong quy trình đăng ký, nhưng danh tính của con người và không phải con người không còn được coi là khác biệt với nhau nữa, cho mục đích quản trị mạng chung.
Với sự ra đời của Quản lý danh tính và quyền truy cập hiện đại và các giao thức RBAC dựa trên Windows, quản trị CNTT và các hướng dẫn thực hành tốt nhất đề cập đến danh tính của con người và không phải của con người ít nhiều có thể thay thế cho nhau. 27002:2013/9.2.1 không có hướng dẫn về cách quản lý danh tính không phải của con người và chỉ quan tâm đến việc quản lý cái được gọi là ‘ID người dùng’ (tức là thông tin đăng nhập được sử dụng để truy cập mạng, cùng với mật khẩu).
Tài liệu
Như chúng ta đã thấy, 27002:2013/5.16 có hướng dẫn rõ ràng không chỉ về những tác động chung của bảo mật đối với quản trị danh tính mà còn về cách các tổ chức nên ghi lại và xử lý thông tin trước khi danh tính được chỉ định và trong suốt vòng đời của danh tính đó. Để so sánh, 27002:2013/9.2.1 chỉ đề cập ngắn gọn đến vai trò đi kèm mà quản trị CNTT đóng và giới hạn ở hoạt động thực tế của quản trị danh tính do nhân viên CNTT thực hiện.
