Mục đích của Kiểm soát 8.3
Việc tiếp cận thông tin từ các nguồn nội bộ và bên ngoài là nền tảng của chính sách bảo mật thông tin của một tổ chức .
Biện pháp kiểm soát 8.3 là biện pháp kiểm soát phòng ngừa nhằm duy trì rủi ro bằng cách thiết lập một loạt các quy tắc và thủ tục ngăn chặn việc truy cập/sử dụng trái phép thông tin và tài sản CNTT của tổ chức .
Bảng Thuộc tính
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Quản lý danh tính và quyền truy cập | #Sự bảo vệ |
Quyền sở hữu kiểm soát 8.3
Kiểm soát 8.3 liên quan đến khả năng kiểm soát quyền truy cập thông tin của một tổ chức .
Do đó, quyền sở hữu phải thuộc về Giám đốc An ninh Thông tin (hoặc cấp tương đương trong tổ chức), người chịu trách nhiệm về các hoạt động bảo mật dữ liệu và thông tin chung của tổ chức.
Hướng dẫn chung về Kiểm soát 8.3
Để duy trì kiểm soát hiệu quả đối với thông tin và tài sản CNTT , đồng thời hỗ trợ các biện pháp hạn chế quyền truy cập, các tổ chức phải đảm bảo những điều sau đây phù hợp với cách tiếp cận theo từng chủ đề cụ thể đối với quyền truy cập thông tin:
- Ngăn chặn truy cập thông tin ẩn danh, bao gồm cả truy cập công khai rộng rãi.
- Khi cấp quyền truy cập công khai hoặc của bên thứ ba, các tổ chức phải đảm bảo rằng quyền truy cập đó không mở rộng đến dữ liệu nhạy cảm hoặc quan trọng đối với doanh nghiệp.
- Vận hành bằng các biện pháp bảo trì phù hợp để kiểm soát quyền truy cập hệ thống và mọi ứng dụng hoặc quy trình kinh doanh liên quan.
- Chỉ định quyền truy cập dữ liệu theo từng người dùng.
- Chỉ định quyền truy cập dữ liệu giữa các nhóm để xác thực các hoạt động dữ liệu cụ thể, chẳng hạn như đọc, ghi, xóa và thực thi.
- Duy trì khả năng phân chia các quy trình và ứng dụng quan trọng của doanh nghiệp bằng cách sử dụng nhiều biện pháp kiểm soát truy cập vật lý và kỹ thuật số .
Hướng dẫn – Quản lý truy cập động
Tiêu chuẩn Control 8.3 ủng hộ cách tiếp cận năng động đối với việc tiếp cận thông tin.
Quản lý truy cập động mang lại nhiều lợi ích cho các quy trình tổ chức có nhu cầu chia sẻ hoặc sử dụng dữ liệu nội bộ với người dùng bên ngoài, bao gồm thời gian giải quyết sự cố nhanh hơn.
Các kỹ thuật quản lý truy cập động bảo vệ nhiều loại thông tin, từ tài liệu chuẩn đến email và thông tin cơ sở dữ liệu, và có khả năng áp dụng trên từng tệp chi tiết, cho phép kiểm soát chặt chẽ dữ liệu ở cấp độ tổ chức.
Các tổ chức nên cân nhắc cách tiếp cận như vậy khi:
- Yêu cầu kiểm soát chặt chẽ những thông tin mà người dùng là con người và không phải con người có thể truy cập tại bất kỳ thời điểm nào.
- Có nhu cầu chia sẻ thông tin với các bên bên ngoài (như nhà cung cấp hoặc cơ quan quản lý).
- Xem xét phương pháp tiếp cận “thời gian thực” đối với việc quản lý và phân phối dữ liệu bao gồm giám sát và quản lý việc sử dụng dữ liệu khi dữ liệu đó xảy ra.
- Bảo vệ thông tin khỏi những sửa đổi, chia sẻ hoặc xuất bản trái phép (in ấn, v.v.).
- Giám sát việc truy cập và thay đổi thông tin, đặc biệt khi thông tin đó có tính chất nhạy cảm.
Quản lý truy cập động đặc biệt hữu ích đối với các tổ chức cần theo dõi và bảo vệ dữ liệu từ khi tạo cho đến khi xóa, bao gồm:
- Phác thảo trường hợp sử dụng (hoặc một loạt trường hợp sử dụng) áp dụng các quy tắc truy cập dữ liệu dựa trên các biến sau:
- Danh tính
- Thiết bị
- Vị trí
- Ứng dụng
- Phác thảo một quy trình bao gồm hoạt động và giám sát dữ liệu, đồng thời thiết lập một quy trình báo cáo toàn diện dựa trên cơ sở hạ tầng kỹ thuật vững chắc.
Mọi nỗ lực xây dựng phương pháp quản lý truy cập năng động phải đảm bảo dữ liệu được bảo vệ bằng:
- Đảm bảo quyền truy cập vào dữ liệu là kết quả cuối cùng của quá trình xác thực thành công.
- Mức độ truy cập hạn chế, dựa trên loại dữ liệu và khả năng ảnh hưởng đến tính liên tục của hoạt động kinh doanh .
- Mã hóa.
- Quyền in ấn.
- Nhật ký kiểm tra toàn diện ghi lại những ai truy cập dữ liệu và cách dữ liệu đó được sử dụng.
- Một quy trình cảnh báo đánh dấu việc sử dụng dữ liệu không phù hợp, bao gồm (nhưng không giới hạn ở) việc truy cập và phân phối trái phép và nỗ lực xóa dữ liệu.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-8.3 thay thế 27002:2013-9.4.1 (Hạn chế truy cập thông tin) và thể hiện sự thay đổi lớn trong cách ISO xem xét quản lý truy cập thông tin theo phương pháp tiếp cận động đã đề cập ở trên (một kỹ thuật không được đề cập trong 27002:2013-9.4.1)
27002:2022-8.3 chứa một lượng lớn ghi chú hướng dẫn liên quan đến quản lý quyền truy cập động không có trong phiên bản năm 2013 và các tổ chức được khuyên nên xem xét những ghi chú này theo từng chủ đề khi xin cấp chứng nhận.
