ISO27001认证培训——ISO27002:2013信息安全控制实用守则之访问控制

来源:本站 作者:ADMIN 发布时间:2017-08-10

ISO27001认证咨询——ISO27002:2013信息安全控制实用守则之访问控制

9 访问控制

9.1 访问控制的业务要求

目标:限制访问信息和信息处理设施。

9.1.1 访问控制策略(原 11.1.1)

控制措施

访问控制策略应被建立、形成文件,并基于业务和信息安全要求进行评审。

实施指南

资产所有者应为接近他们资产的特定用户角色确定适当的访问控制规则、访问权利和限制,细致慎密的控制措施与信息安全风险相关联映射。逻辑的和物理的(也见第 11 章)访问控制措施应在一起考虑。用户和服务提供商应被给出一个通过访问控制满足业务要求的清晰说明。

策略应考虑到下列内容:

a)业务应用的安全要求;

b)信息传播和授权的策略,例如,需知(原则)、信息安全级别和信息分类(见 8.2);

c)系统和网络的访问权利和信息分类策略之间的一致性;

d)关于限制访问数据或服务的相关法律和合同义务(见 18.1);

e)在识别出各种可用连接类型的分布式和网络环境中的访问权的管理;

f) 访问控制角色的分离,例如访问请求、访问授权、访问管理;

g)访问请求正式授权的要求(见 9.2.1 和 9.2.2);

h)访问权利定期评审的要求(见 9.2.5);

i) 访问权的撤消(见 9.2.6);

j) 涉及用户身份和秘密认证信息使用和管理的所有重大事态的记录存档;

k)特权访问的角色(见 9.2.3)。

其它信息

在规定访问控制规则时,应认真考虑下列内容:

a)建立基于“未经明确允许,一律禁止”前提下的规则,而不是软弱的“未经明确禁止,一律允许”;

b)信息处理设施自动启动的信息标记(见 8.2.2)和用户谨慎启动的信息标记的变更;

c)信息系统自动启动的用户许可和管理员启动的用户许的变更;

d)在发布之前,需要专门批准和无须批准的规则。

访问控制规则应有正式的程序支持(见 9.2、9.3、9.4)并定义职责(见 6.1.1、9.3)。基于访问控制的角色是一个被许多组织将访问权利和业务角色联系在一起的成功使用的方法。

指导访问控制策略的常用的两个原则是:

a) 需知:你只准许访问你执行任务需要的信息(不同的任务/角色意味着不同的需知和今后不同的访问文本属性);

b) 需用:你只准许访问你执行任务/工作/角色需要的信息处理设施(IT 设备、应用程序、程序、房间)。

9.1.2网络和网络服务的访问(原 11.4.1)

控制措施

用户应仅被提供已专门授权使用的网络和网络服务。

实施指南

应制定关于网络和网络服务的使用策略。这一策略应包括:

a)允许被访问的网络和网络服务;

b)确定允许谁访问哪些网络和网络服务的授权程序;

c)保护访问网络连接和网络服务的管理控制措施和程序;

d)访问网络和网络服务使用的方法(如,VPN 和无线网络的使用);

e)访问各种网络服务的用户身份认证要求;

f) 网络服务使用的监视。

网络服务的使用策略应与组织的访问控制策略相一致(见 9.1.1)。

其它信息

未授权和不安全连接到的网络服务可能影响整个组织。这个控制措施对于到敏感或关键业务应用或到高风险场所用户的网络连接是非常的重要,如,组织信息安全管理和控制以外的公共区域或外部区域。

9.2用户访问管理

目标:确保授权用户访问系统和服务,并防止未授权的访问。

9.2.1用户注册和注销(原 11.2.1)

控制措施

正式的用户注册和注销过程应被执行,以确保访问权利的分配。

实施指南

管理用户 ID 的过程应包括:

a)使用唯一用户 ID,使得用户与其行为连接起来,并保留其行为的责任;仅当他们的业务或操作原因必需的地方并应经过批准和形成文件后共享 ID 才被允许使用;

b)离开组织的用户的用户 ID 要立即取消或删除;

c)定期地识别、删除或取消多余的用户 ID;

d)确保多余的用户 ID 不会发给其他用户。

其它信息

提供或撤消对信息或信息处理设施的访问通常有两个步骤:

a) 分配、启动或撤消用户 ID;

b) 提供、或撤消这些用户 ID 的访问权利(见 9.2.2)。

9.2.2用户访问规定(新增)

控制措施

用户 ID 分配或撤消访问权利被准的规定过程应包括:

a) 获得信息系统或服务所有者对信息系统或服务使用的授权(见 8.1.2),访问权利也可以由管理者适当的独立批准;

b) 验证准许访问的级别适于访问策略(见 9.1)且与其它要求(如,职责分离)相一致(见 6.1.2);

c) 确保访问权利在授权程序完成之前未被激活(如,服务提供商);

d) 维护一个对访问信息系统或服务的用户 ID 访问权利被准许的核心记录;

e) 对改变了角色或工作的用户访问权利进行改变,或离开组织的用户访问权利进行阻止,并立即删除;

f) 与信息系统或服务(见 9.2.5)的所有者定期评审访问权利。

其它信息

应给出建立基于业务要求的用户访问角色的考虑,总结访问权利到典型用户访问文本属性。基本角色的级别的访问请求和评审比基本特定权利的级别(见 9.2.4)易于管理。应给出包括个人合同和服务合同的特定的处罚条款,如果个人或承包人试图未授权访问(见 7.1.2,7.1.3,13.2.4,15.1.2)。

9.2.3特权访问权利的管理(原 11.2.2)

控制措施

特权访问权利的分配和使用应被限制和控制。

实施指南

特权访问权利的分配应被控制,通过一个与相关的访问控制策略(见 9.1.1)一致的正式的授权过程。应考虑下列步骤:

a)特权访问权利与每个系统或过程相关联,如,操作系统、数据库管理系统或每个应用,并且他们需要分配的用户应被识别;

b)特权访问权利应被分配给需用基础上和事态中事态基础上的用户,并与访问控制策略(见 9.1.1)相一致,如,他们的功能角色的最低要求;

c)授权过程和所有特权分配的记录应被维护。特权访问权利应不被准许直到授权过程完成;

d)特权访问权利终止的要求应被定义;

e)特权访问权利应被分配一个不同于正规业务活动使用的用户 ID。正规的业务活动应不能由特权 ID 执行;

f) 特权访问权利用户的技能应被定期地评审,为了验证他们是否与他们的职责相一致;

g)特定的程序应被建立和维护,为了避免一般管理用户 ID 被非授权使用,根据系统的配置能力;

h)当共享一般管理用户 ID 的时候,秘密认证信息的保密性应被维护(如,变更口令频率和当特权用户级别或变更工作时,尽早改变口令,在特权用户中用适当的机制传达他们)。

其它信息

系统管理特权的不恰当使用(使用户无视系统或应用控制措施的信息系统的任何特性或设施)可能是导致系统故障或中断的主要促成因素。

9.2.4用户密码认证信息的管理(原 11.2.3)

控制措施

秘密认证信息的分配应使用正式的管理过程来控制。

实施指南

此过程应包括下列要求:

a)应要求用户签署一份声明,以保证个人秘密认证信息保密性和保持组(如,共享)秘密认证信息仅在该组成员范围内使用;签署的声明可包括在任用条款和条件中(见 7.1.2);

b)当需要用户维护自己的秘密认证信息的时候,应在初始时提供给他们一个安全的临时秘密认证信息,并在第一次使用时强制其改变;

c)程序应被建立,在提供一个新的、代替的或临时秘密认证信息之前,验证用户身份;

d)临时秘密认证信息应以秘密方式给到用户;外部方的用户或无保护(明文)的电子邮件消息应被避免;

e)临时秘密认证信息对个人应是唯一的,且不可猜测的;

f) 用户应告知已收到秘密认证信息;

g)厂商缺省的秘密认证信息应被改变后才进行系统或软件的安装。

其它信息

口令是通常被使用的秘密认证信息类型,且是验证用户身份的一种通常的方法。秘密认证信息的其它类型是加密密钥和存储在硬件令牌(如 smart cards)上产生身份认证代码的数据。

9.2.5用户访问权利的评审(原 11.2.4)

控制措施

资产所有者应当定期审查用户的访问权利。

实施指南

访问权利的评审应考虑如下:

a) 用户访问权利应在规定的时间间隔或任何变更之后被评审;如,升职、降级或雇用终止(见 7);

b) 用户访问权利应在组织内换岗时被评审并重新分配;

c) 特权访问权利的授权应在更频繁的时间间隔内被评审;

d) 特权分配应定期被检查,以确保不能获得未授权的特殊权限;

e) 特权帐号的变更应在定期评审时被记录。

其它信息

这个控制措施补偿了在 9.2.1、9.2.2 和 9.2.6 控制措施执行的可能的弱点。

9.2.6访问权利的删除或调整(原 8.3.3)

控制措施

当任用、合同或协议终止时或调整变更时,应删除或调整所有雇员和外部团体用户对信息和信息处理设施的访问权利。

实施指南

一旦终止,个人对信息和与信息处理设施关联的资产或服务的访问权利应被终止或暂停。这将决定是否必须删除访问权利。任用的变化应体现在新的雇用不被批准的所有访问权利的删除。访问权利应被删除或调整包括物理和逻辑访问。删除或调整能被完成由密钥、身体认证卡、信息处理设施或订阅的删除、撤回或复位。标识雇员或承包人访问权利的任何文档应被体现在访问权利的删除或调整上。如果一个离开的雇员或外部团体用户已知用户 ID 的口令保留在活动状态,则应在任用、合同或协议终止或变化时改变密码。信息和信息处理设施相关的资产的访问权利在雇用终止或变化之前应被减小或删除,依赖于对风险因素的评价,如:

a) 是否由雇员、外部团体用户或管理者发起的终止或变更,以及终止的原因;

b) 雇员、外部团体用户或任何其他用户的现有职责;

c) 当前可访问资产的价值。

其它信息

在某些情况下,访问权利的分配基于对多人可用而不是只是雇员、外部团体用户的离开,如,组 ID。在这种情况下,来自任何组访问列表中个人离开应被删除,并通知所有其它雇员和外部团体用户涉及不应再与离开的个人共享这些信息。在管理者发起终止的情况中,不满的雇员或外部团体用户可能故意破坏信息或破坏信息处理设施。在个人辞职或被免职的情况下,他们可能冒险收集信息以便将来使用。

9.3用户职责

目标:使用户对保护他们的身份认证信息负起责任

9.3.1秘密认证信息的使用(原 11.3.1)

控制措施

用户应被要求遵循组织使用秘密认证信息的实践。

实施指南

所有用户应被告知:

a)保持秘密身份认证信息的保密性,确保不被泄漏给任何其它团体,包括权威人士;

b)避免保留秘密身份认证信息的记录(如,在纸上、软件文件中或手持设备中),除非可以对其进行安全地存储及存储方法得到批准(如,密码保管室);

c)每当有任何迹象表明受到损害时就变更秘密身份认证信息;

d)当口令作为秘密身份认证信息使用的时候,选择足够的最小长度的优质口令:

1)易于记忆;

2)不能基于别人容易猜测或获得的与使用人相关的信息,如,名字、电话号码和生日等;

3)不容易遭受字典攻击(如,不是由字典中的词所组成的);

4)避免连续相同的,全数字的或全字母的字符;

5)如果是临时的,第一次使用要变更。

e)不共享个人用户的秘密身份认证信息;

f) 确保适当的口令保护,当在自动开始工作程序中并被存储的口令被使用作为秘密身份认证信息的时候;

g)在业务目的和非业务目的中不使用相同的秘密身份认证信息。

其它信息

单点登录(SSO)或其它秘密身份认证信息管理工具的规定,减小了用户被要求保护的秘密身份认证信息的数量,因而能增加这个控制措施的有效性。无论如何,这些工具也能增加泄漏秘密身份认证信息的影响。

9.4系统和应用的访问控制

目标:防止对系统和应用的的未授权访问。

9.4.1信息访问限制(原 11.6.1)

控制措施

信息和应用系统功能的访问应依据访问控制策略来限制。

实施指南

对访问的限制应基于单个业务应用要求并与被定义的访问控制策略一致。为支持访问限制要求,应考虑应用以下指南:

a)提供菜单来控制访问到的应用系统功能;

b)由特别用户访问的数据的控制;

c)用户访问权利的控制,如,读、写、删除和执行;

d)其他应用的访问权利的控制;

e)包含在输出中信息的限制;

f) 提供物理或逻辑访问控制,为敏感应用、应用数据或系统的隔离。

9.4.2安全登录程序(原 11.5.1)

控制措施

如果访问控制策略需要,应通过安全登录程序控制对操作系统和应用的访问。

实施指南

适当的身份认证技术应被选择,来支持用户身份的要求。强壮的认证和身份验证被要求的地方,可供选择用口令作为认证方法,如,加密方法、智能卡、令牌或造物方法等应被使用。

登录到系统或应用的程序应被设计,以最小化非授权访问的机会。登录程序因此应公开最小的系统或应用的信息,以避免给非授权用户提供一个任何不必要的帮助。好的登录程序应:

a)不显示系统或应用标识符,直到登录过程已成功完成为止;

b)显示只有已授权的用户才能访问计算机的一般性的告警通知;

c)在登录过程中,不提供对未授权用户有帮助的消息;

d)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应提示数据部分是正确的或不正确的;

e)保护防止强力登录尝试;

f) 记录不成功的尝试和成功的尝试;

g)升级一个安全事态,如果一个潜在的企图或登录控制成功的突破被检测;

h)成功登录完成时显示下列信息:

1)成功登录前的日期和时间;

2)从最后成功登录以来,任何不成功登录企图的细节;

i) 不显示被输入的口令;

j) 不通过网络以明文传输口令;

k)在被定义不活跃时期后终止不活跃的会话,尤其在高风险场所,如公共区域或组织的安全管理的外部区域或移动设备;

l) 限制连接次数以为高风险应用提供附加安全,并减少非授权访问机会的窗口。

其它信息

口令是提供识别和认证的一个通用的方法,基于只有用户知道的秘密。用加密方法和认证协议同样能够实现。用户认证的强度应适合于被访问信息的分类。如果口令通过网络在登录会话期间以明文传输,它们可能被网络“嗅探器”程序捕获。

9.4.3口令管理系统(原 11.5.3)

控制措施

口令管理系统应是交互式的,并确保口令质量。

实施指南

一个口令管理系统应:

a)强制使用个人用户 ID 和口令,以保持责任性;

b)允许用户选择和变更他们自己的口令,并且包括一个允许输入出错的确认程序;

c)强制选择优质口令;

d)第一次登录时强制用户变更他们的口令;

e)强制定期改变口令,并作为必需的;

f) 维护以前使用口令的记录,并防止重复使用;

g)在输入口令时,不在屏幕上显示;

h)口令文件和应用系统数据分开存储;

i) 以保护的形式存储和传输口令。

其它信息

某些应用要求用户口令由独立的权威来分配;这种情况下,以上指导 b)、d)和 e)不会采用。大多数情况下,口令由用户选择和维护。

9.4.4特权实用程序的使用(原 11.5.4)

控制措施

实用程序的使用,可能推翻系统和应用程序控制,应被限制并严格控制。

实施指南

可能推翻系统和应用控制的实用程序的使用,就考虑下列指南:

a)对实用工具使用标识、认证和授权程序;

b)实用程序和应用软件分开;

c)实用程序的使用限制到可信、已授权的最小实际用户数(也见 9.2.3);

d)实用程序使用的特别授权;

e)限制实用程序的可用性,如,在授权变更期间;

f) 记录实用程序的所有使用;

g)对实用程序的授权级别进行定义并形成文件;

h)删除或禁用所有不必要的实用程序;

i) 要求责任分割地方,访问系统中应用程序的用户不能使用实用程序。

其它信息

大多数计算机安装有一个或多个可能推翻系统和应用控制的实用程序。

9.4.5程序源码的访问控制(原 12.4.3)

控制措施

对程序源代码的访问应被限制。

实施指南

对程序源代码和相关事项(诸如设计、说明书、验证计划和确认计划)的访问应被严格控制,以防引入非授权功能和避免无意识的变更,同时也维护有价值的知识产权的机密性。对于程序源代码,可以通过这种代码的中央存储控制来获得,更好的在程序源库中。

为了控制对程序源码库的访问以减少潜在的计算机程序的破坏,应考虑下列指南:

a) 若有可能,程序源库不应保留在运行系统中;

b) 程序源代码和源程序库应根据制定的程序进行管理;

c) 支持人员不应有无限制访问程序源库;

d) 程序库源的更新和有关事项,向程序员发布程序源仅应在适当的授权被接收之后进行;

e) 程序列表应保存在安全的环境中;

f)所有访问到程序源库的审计日志应被维护;

g) 程序源库的维护和拷贝应受服从严格的变更控制程序(见 14.2.2)。

如果程序源代码被有意公布,应考虑另外的控制措施以帮助保证它的完整性(如,数字签名)。

凡来源为本站的文章,版权为本站所有,转载请注明出处!
肯达信,中国最专业的威廉希尔手机版咨询威廉希尔手机版辅导机构,助您顺利通过威廉希尔手机版
客服中心

您好,我是肯达信管理顾问公司客服,欢迎咨询!

廖幼灵

您好,我是肯达信管理顾问公司客服,欢迎咨询!

陈容珍

您好,我是肯达信管理顾问公司客服,欢迎咨询!

杨老师

您好,我是肯达信管理顾问公司客服,欢迎咨询!

王老师

面向全国客户服务热线

400-690-0031

24小时热线

18575592846


展开客服