Målet med prinsippet: Virksomheten har oversikt over identiteter og kontoer i informasjonssystemene og styrer tilgang til ressurser effektivt og i henhold til virksomhetens retningslinjer.
Hvorfor er dette viktig?
Angripere forsøker ofte å få kontroll over en legitim bruker i et informasjonssystem. Det neste målet er som regel å øke tilgangen og rettighetsnivået slik at brukerkontoen utnyttes for å ta seg lenger inn i systemet og få tilgang til flere ressurser.
Ansatte som har flere rettigheter enn de trenger er et problem i mange virksomheter. Det er blant annet vanlig at alle ansatte kan skrive til og slette alt av filer og filmapper og også kunne kjøre alt som finnes av programvare. Dette er som regel unødvendig men til stor hjelp for angripere.
Hvis alle brukere har rettigheter til «alt» vil kompromittering av én bruker kunne kompromittere hele IKT-systemet. Rettighetene til de ulike delene av et informasjonssystem bør derfor deles opp for å redusere skaden fra et eksternt angrep eller fra en utro eller en uvøren ansatt. En virksomhet må ha kontroll på brukerne, det vil si kontoene og tilgangene de disponerer samt rettigheter de har mottatt.
Manglende kontroll på ubrukte kontoer er et vedvarende problem. Det finnes mange eksempler på at kontoer til leverandører og tidligere ansatte har blitt misbrukt av en angriper eller utro tjener.
Tilhørende Tiltak
Tiltak | ISO 27002 |
---|---|
Kontroll på identiteter og tilganger er viktig uansett hvor virtualisert («sky-basert») infrastruktur man velger. Denne tabellen bør sees i sammenheng med tabellen i prinsipp 1.3 - Kartlegg brukere og behov for tilgang. | |
2.6.1- Etabler retningslinjer for tilgangskontroll | 5.15 5.17 7.7 |
2.6.2 - Etabler en formell prosess for administrasjon av kontoer, tilganger og rettigheter | 5.16 5.17 5.18 8.2 |
2.6.3 - Benytt et sentralisert og automatiserbart verktøy for å styre kontoer, tilganger og rettigheter | 5.17 8.2 8.3 |
2.6.4 - Minimer rettigheter til sluttbrukere og spesialbrukere | 8.2 |
2.6.5 - Minimer rettigheter på drifts-kontoer | 8.2 |
2.6.6 - Styr tilganger til enheter | 8.5 |
2.6.7 - Bruk multi-faktor autentisering | 8.5 |