ISMS Guiden 1.0

Search

SearchSearch

2.6 - Kontroll på identiteter og tilganger

May 03, 20242 min read

Målet med prinsippet: Virksomheten har oversikt over identiteter og kontoer i informasjonssystemene og styrer tilgang til ressurser effektivt og i henhold til virksomhetens retningslinjer.

Hvorfor er dette viktig?

Angripere forsøker ofte å få kontroll over en legitim bruker i et informasjonssystem. Det neste målet er som regel å øke tilgangen og rettighetsnivået slik at brukerkontoen utnyttes for å ta seg lenger inn i systemet og få tilgang til flere ressurser.

Ansatte som har flere rettigheter enn de trenger er et problem i mange virksomheter. Det er blant annet vanlig at alle ansatte kan skrive til og slette alt av filer og filmapper og også kunne kjøre alt som finnes av programvare. Dette er som regel unødvendig men til stor hjelp for angripere.

Hvis alle brukere har rettigheter til «alt» vil kompromittering av én bruker kunne kompromittere hele IKT-systemet. Rettighetene til de ulike delene av et informasjonssystem bør derfor deles opp for å redusere skaden fra et eksternt angrep eller fra en utro eller en uvøren ansatt. En virksomhet må ha kontroll på brukerne, det vil si kontoene og tilgangene de disponerer samt rettigheter de har mottatt.

Manglende kontroll på ubrukte kontoer er et vedvarende problem. Det finnes mange eksempler på at kontoer til leverandører og tidligere ansatte har blitt misbrukt av en angriper eller utro tjener.

Tilhørende Tiltak

TiltakISO 27002
Kontroll på identiteter og tilganger er viktig uansett hvor virtualisert («sky-basert») infrastruktur man velger. Denne tabellen bør sees i sammenheng med tabellen i prinsipp 1.3 - Kartlegg brukere og behov for tilgang.
2.6.1- Etabler retningslinjer for tilgangskontroll5.15 5.17 7.7
2.6.2 - Etabler en formell prosess for administrasjon av kontoer, tilganger og rettigheter5.16 5.17 5.18 8.2
2.6.3 - Benytt et sentralisert og automatiserbart verktøy for å styre kontoer, tilganger og rettigheter5.17 8.2 8.3
2.6.4 - Minimer rettigheter til sluttbrukere og spesialbrukere8.2
2.6.5 - Minimer rettigheter på drifts-kontoer8.2
2.6.6 - Styr tilganger til enheter8.5
2.6.7 - Bruk multi-faktor autentisering8.5

Lenker

  1. NSM - Råd og anbefalinger om passord
  2. NSM - Råd for systemteknisk sikkerhet
  3. Datatilsynet - Biometri
  4. CESG - Password guidance
  5. CIS Control 04: Secure Configuration of Enterprise Assets and Software
  6. CIS Critical Security Control 16: Application Software Security

Graph View

Backlinks