ISO 27001 - אַנעקס אַ.9: אַקסעס קאָנטראָל

וואָס איז אַנעקס אַ.9?

אַנעקס אַ.9 איז אַלע וועגן אַקסעס קאָנטראָל פּראָוסידזשערז. דער ציל פון אַנעקס אַ.9 איז צו באַוואָרענען אַקסעס צו אינפֿאָרמאַציע און ענשור אַז עמפּלוייז קענען בלויז זען אינפֿאָרמאַציע וואָס איז באַטייַטיק צו זייער אַרבעט. דער פירער וועט נעמען איר דורך אַלץ איר דאַרפֿן צו וויסן וועגן אַנעקס אַ.9.

אַנעקס אַ.9 איז צעטיילט אין פיר סעקשאַנז און איר וועט דאַרפֿן צו אַרבעטן דורך יעדער. זיי זענען אַקסעס קאָנטראָלס, באַניצער אַקסעס מאַנאַגעמענט, באַניצער ריספּאַנסאַבילאַטיז און אַפּפּליקאַטיאָן אַקסעס קאָנטראָלס.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.9.1?

אַנעקס אַ.9.1 איז וועגן געשעפט באדערפענישן פון אַקסעס קאָנטראָל. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו באַגרענעצן אַקסעס צו אינפֿאָרמאַציע און אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז.

דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן. לאָמיר פֿאַרשטיין די רעקווירעמענץ און וואָס זיי מיינען אין אַ ביסל מער טיף.

א.9.1.1 אַקסעס קאָנטראָל פּאָליטיק

אַן אַקסעס קאָנטראָל פּאָליטיק מוזן זיין געגרינדעט, דאַקיומענטאַד און ריוויוד קעסיידער מיט די רעקווירעמענץ פון די געשעפט פֿאַר די אַסעץ אין פאַרנעם.

אַקסעס קאָנטראָל כּללים, רעכט און ריסטריקשאַנז, צוזאַמען מיט די טיפקייַט פון די געוויינט קאָנטראָלס, זאָל פאַרטראַכטנ זיך די אינפֿאָרמאַציע זיכערהייט ריסקס אַרום די אינפֿאָרמאַציע און די אַפּעטיט פון די אָרגאַניזאַציע צו פירן זיי. פשוט, אַקסעס קאָנטראָל איז וועגן ווער דאַרף וויסן, ווער דאַרף נוצן און ווי פיל זיי באַקומען אַקסעס צו.

אַקסעס קאָנטראָלס קענען זיין דיגיטאַל און פיזיש אין נאַטור, למשל דערלויבעניש ריסטריקשאַנז אויף באַניצער אַקאַונץ און לימיטיישאַנז אויף ווער קענען אַקסעס זיכער גשמיות לאָוקיישאַנז (אַליינד מיט אַנעקס אַ.11 פיזיקאַל און סוויווע זיכערהייט). די פּאָליטיק זאָל נעמען אין חשבון:

• זיכערהייט רעקווירעמענץ פון געשעפט אַפּלאַקיישאַנז און ייַנרייען זיך מיט די אינפֿאָרמאַציע קלאַסאַפאַקיישאַן סכעמע אין נוצן לויט A.8 אַססעט מאַנאַגעמענט;
• דערקלערן ווער דאַרף אַקסעס, וויסן, ווער דאַרף נוצן די אינפֿאָרמאַציע - געשטיצט דורך דאַקיומענטאַד פּראָוסידזשערז און ריספּאַנסאַבילאַטיז;
• פאַרוואַלטונג פון אַקסעס רעכט און פּריוולידזשד אַקסעס רעכט (מער מאַכט - זען ווייטער) אַרייַנגערעכנט אַדינג אין לעבן ענדערונגען (למשל סופּער יוזערז / אַדמיניסטראַטאָרס קאָנטראָלס) און פּעריאָדיש באריכטן (למשל דורך רעגולער ינערלעך אַדאַץ אין לויט מיט פאָדערונג 9.2.
• אַקסעס קאָנטראָל כּללים זאָל זיין געשטיצט דורך פאָרמאַל פּראָוסידזשערז און דיפיינד ריספּאַנסאַבילאַטיז;

אַקסעס קאָנטראָל דאַרף זיין ריוויוד באזירט אויף ענדערונגען אין ראָלעס און ספּעציעל בעשאַס אַרויסגאַנג, צו ייַנרייען זיך מיט אַנעקס A.7 מענטשנרעכט ריסאָרס זיכערהייַט.

א.9.1.2 אַקסעס צו נעטוואָרקס און נעטוואָרק באַדינונגס

דער פּרינציפּ פון מינדסטער אַקסעס איז דער גענעראַל צוגאַנג פייווערד פֿאַר שוץ, אלא ווי אַנלימאַטאַד אַקסעס און סופּערוסער רעכט אָן אָפּגעהיט באַטראַכטונג.

ווי אַזאַ יוזערז זאָל נאָר באַקומען אַקסעס צו די נעץ און נעץ באַדינונגס זיי דאַרפֿן צו נוצן אָדער וויסן וועגן פֿאַר זייער אַרבעט. די פאליסי דארף דעריבער אדרעסירן; די נעטוואָרקס און נעץ באַדינונגס אין פאַרנעם פֿאַר אַקסעס; דערלויבעניש פּראָוסידזשערז צו ווייַזן ווער (ראָלע באזירט) איז ערלויבט צו אַקסעס צו וואָס און ווען; און מאַנאַגעמענט קאָנטראָלס און פּראָוסידזשערז צו פאַרמייַדן אַקסעס און מאָניטאָר עס אין לעבן.

דאָס דאַרף אויך זיין קאַנסידערד בעשאַס אָנבאָאַרדינג און אָפבאָרדינג, און איז ענג שייַכות צו די אַקסעס קאָנטראָל פּאָליטיק זיך.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.9.2?

אַנעקס אַ.9.2 איז וועגן באַניצער אַקסעס פאַרוואַלטונג. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו ענשור אַז יוזערז זענען אָטערייזד צו אַקסעס סיסטעמען און באַדינונגס און צו פאַרמייַדן אַנאָטערייזד אַקסעס.

א.9.2.1 באַניצער רעגיסטראַציע און דערעגיסטראַטיאָן

א פאָרמאַל באַניצער רעגיסטראַציע און דערעגיסטראַטיאָן פּראָצעס דאַרף זיין ימפּלאַמענאַד. א גוטע פּראָצעס פֿאַר באַניצער שייַן פאַרוואַלטונג כולל די קענען צו פאַרבינדן יחיד IDs צו פאַקטיש מענטשן, און באַגרענעצן שערד אַקסעס IDs, וואָס זאָל זיין באוויליקט און רעקאָרדעד ווו עס איז געטאן.

א גוטע באָרדינג און אַרויסגאַנג פּראָצעס איז פארבונדן מיט A7 מענטשנרעכט ריסאָרס זיכערהייט צו ווייַזן שנעל און קלאָר רעגיסטראַציע / דערעגיסטראַטיאָן צוזאמען מיט ויסמיידן ריסוינג אַלט IDs. א רעגולער רעצענזיע פון ​​ID's וועט אילוסטרירן גוט קאָנטראָל און פאַרשטאַרקן אָנגאָינג פאַרוואַלטונג.

דאָס קען זיין פארבונדן מיט די ינערלעך אַדאַץ אנגעוויזן אויבן פֿאַר אַקסעס קאָנטראָל אַדאַץ, און פּעריאָדיש באריכטן דורך די אָונערז פון אינפֿאָרמאַציע אַסעט אָדער פּראַסעסינג אַפּלאַקיישאַן.

א.9.2.2 באַניצער אַקסעס פּראַוויזשאַנז

א פּראָצעס (אָבער פּשוט און דאַקיומענטאַד) מוזן זיין ימפּלאַמענאַד צו באַשטימען אָדער אָפּרופן אַקסעס רעכט פֿאַר אַלע באַניצער טייפּס צו אַלע סיסטעמען און באַדינונגס. גוט געטאן, עס איז טייז מיט די נקודות אויבן ווי געזונט ווי די ברייטערער HR ​​זיכערהייט אַרבעט.

פּראַוויזשאַנז און ריוואָוקינג פּראָצעס זאָל אַרייַננעמען; דערלויבעניש פון די באַזיצער פון די אינפֿאָרמאַציע סיסטעם אָדער דינסט פֿאַר די נוצן פון די אינפֿאָרמאַציע סיסטעם אָדער דינסט; וועראַפייינג אַז דער אַקסעס געגעבן איז באַטייַטיק צו די ראָלע וואָס איז דורכגעקאָכט; און פּראַטעקטינג קעגן פּראַוויזשאַנז געטאן איידער דערלויבעניש איז גאַנץ.

באַניצער אַקסעס זאָל שטענדיק זיין געשעפט געפירט און אַקסעס באזירט אויף די רעקווירעמענץ פון די געשעפט. דאָס קען געזונט ביוראַקראַטיק אָבער עס דאַרף ניט זיין, און עפעקטיוו פּשוט פּראָוסידזשערז מיט ראָלע באזירט אַקסעס דורך סיסטעמען און באַדינונגס קענען אַדרעס עס.

א.9.2.3 פאַרוואַלטונג פון פּריווילעדזשד אַקסעס רעכט

א.9.2.3 איז וועגן אָנפירונג יוזשאַוואַלי מער שטאַרק און העכער 'פּריוולידזשד' אַקסעס לעוועלס, למשל סיסטעם אַדמיניסטראַציע פּערמישאַנז קעגן נאָרמאַל באַניצער רעכט.

די אַלאַקיישאַן און נוצן פון פּריוולידזשד אַקסעס רעכט מוזן זיין ענג קאַנטראָולד, ווייַל די עקסטרע רעכט יוזשאַוואַלי קאַנווייד איבער אינפֿאָרמאַציע אַסעץ און די סיסטעמען וואָס קאָנטראָלירן זיי. פֿאַר בייַשפּיל די פיייקייט צו ויסמעקן אַרבעט אָדער פאַנדאַמענטאַלי ווירקן די אָרנטלעכקייַט פון די אינפֿאָרמאַציע. עס זאָל ייַנרייען מיט די פאָרמאַל דערלויבעניש פּראַסעסאַז צוזאמען די אַקסעס קאָנטראָל פּאָליטיק.

אַז קען אַרייַננעמען; סיסטעם דורך סיסטעם קלעריטי אויף פּריוולידזשד אַקסעס רעכט (וואָס קענען זיין געראטן אין די אַפּלאַקיישאַן); אַלאַקיישאַן אויף אַ נויט-צו-נוצן יקער ניט אַ פאַרדעקן צוגאַנג; א פּראָצעס און רעקאָרד פון אַלע פּריווילאַדזשאַז אַלאַקייטיד זאָל זיין מיינטיינד (צוזאמען מיט די אינפֿאָרמאַציע אַסעט ינוואַנטאָרי אָדער ווי אַ טייל פון די A.9 זאָגן; און די קאַמפּאַטינס פון יוזערז וואָס זענען געגעבן די רעכט מוזן זיין ריוויוד קעסיידער צו ייַנרייען זיך מיט זייער פליכט.

דאָס איז אן אנדער גוט שטח צו אַרייַננעמען אין די ינערלעך קאָנטראָלירן צו באַווייַזן קאָנטראָל.

איינער פון די ביגאַסט קאַנטריביוטינג סיבות צו פייליערז אָדער בריטשיז פון סיסטעמען איז ינאַפּראָופּרייט און פאַרדעקן נוצן פון סיסטעם אַדמיניסטראַציע פּריווילאַדזשאַז מיט מענטש טעות וואָס פירן צו מער שעדיקן אָדער אָנווער ווי אויב אַ "קלענסטער אַקסעס" צוגאַנג איז גענומען.

אנדערע גוט פּראַקטיסיז רילייטינג צו דעם שטח כולל די צעשיידונג פון די סיסטעם אַדמיניסטראַטאָר ראָלע פון ​​די טאָג צו טאָג באַניצער ראָלע און אַ באַניצער מיט צוויי אַקאַונץ אויב זיי דורכפירן פאַרשידענע דזשאָבס אויף דער זעלביקער פּלאַטפאָרמע.

א.9.2.4 פאַרוואַלטונג פון סוד אָטענטאַקיישאַן אינפֿאָרמאַציע פון ​​יוזערז

סוד אָטענטאַקיישאַן אינפֿאָרמאַציע איז אַ גייטוויי צו אַקסעס ווערטפול אַסעץ. עס טיפּיקלי כולל פּאַסווערדז, ענקריפּשאַן שליסלען אאז"ו ו, אַזוי דאַרף זיין קאַנטראָולד דורך אַ פאָרמאַל פאַרוואַלטונג פּראָצעס און דאַרף זיין קאַנפאַדענטשאַל צו דער באַניצער.

דאָס איז יוזשאַוואַלי טייד אין באַשעפטיקונג קאַנטראַקץ און דיסאַפּלאַנערי פּראַסעסאַז (A.7) און סאַפּלייער אַבלאַגיישאַנז (A13.2.4 און A.15) אויב ייַנטיילונג מיט פונדרויסנדיק פּאַרטיעס.

פּראָוסידזשערז זאָל זיין געגרינדעט צו באַשטעטיקן די אידענטיטעט פון אַ באַניצער איידער צו צושטעלן נייַע, פאַרבייַט אָדער צייטווייליגע סוד אָטענטאַקיישאַן אינפֿאָרמאַציע. קיין פעליקייַט סוד אָטענטאַקיישאַן אינפֿאָרמאַציע צוגעשטעלט ווי אַ טייל פון אַ נייַע סיסטעם נוצן זאָל זיין טשיינדזשד ווי באַלד ווי מעגלעך.

א.9.2.5 רעצענזיע פון ​​באַניצער אַקסעס רעכט

אַסעץ אָונערז מוזן אָפּשאַצן די אַקסעס רעכט פון באַניצער מיט רעגולער ינטערוואַלז, ביידע אַרום יחיד ענדערונגען (אויף-באָרדינג, טוישן פון ראָלע און אַרויסגאַנג) ווי אויך ברייטערער אַדאַץ פון די סיסטעם אַקסעס.

אויטאָריזאַטיאָנס פֿאַר פּריוולידזשד אַקסעס רעכט זאָל זיין ריוויוד אין מער אָפט ינטערוואַלז ווייַל פון זייער העכער ריזיקירן נאַטור. דעם טייז אין מיט 9.2 פֿאַר ינערלעך אַדאַץ און זאָל זיין דורכגעקאָכט אין מינדסטער אַניואַלי אָדער ווען הויפּט ענדערונגען נעמען אָרט.

א.9.2.6 באַזייַטיקונג אָדער אַדזשאַסטמאַנט פון אַקסעס רעכט

ווי דיסקרייבד אויבן, אַקסעס רעכט פון אַלע עמפּלוייז און פונדרויסנדיק פּאַרטיי יוזערז צו אינפֿאָרמאַציע און אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז דאַרפֿן צו זיין אַוועקגענומען ביי טערמאַניישאַן פון זייער באַשעפטיקונג, קאָנטראַקט אָדער העסקעם, (אָדער אַדזשאַסטיד ביי טוישן פון ראָלע אויב פארלאנגט).

א גוטע עקסיט פאליסי און פראצעדורן איינגעשריבן מיט A.7 וועט אויך פארזיכערן אז דאס איז אגרייכט און דעמאנסטרירט ווערן פאר רעדוקציע צוועקן ווען מענטשן פארלאזן.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.9.3?

אַנעקס אַ.9.3 איז וועגן באַניצער ריספּאַנסאַבילאַטיז. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו מאַכן ניצערס פאַראַנטוואָרטלעך פֿאַר באַוואָרעניש זייער אָטענטאַקיישאַן אינפֿאָרמאַציע.

א.9.3.1 נוצן פון סוד אָטענטאַקיישאַן אינפֿאָרמאַציע

דאָס איז פשוט צו מאַכן זיכער אַז יוזערז נאָכפאָלגן די פּאַלאַסיז און וועט דעריבער פאַרבינדן מיט A7 מענטשנרעכט ריסאָרס סעקוריטי פֿאַר קאַנטראַקץ, באַניצער בילדונג פֿאַר וויסיקייַט און העסקעם, ווי געזונט ווי סייכל פּראַקטיסיז.

די אַרייַננעמען: האַלטן קיין סוד אָטענטאַקיישאַן אינפֿאָרמאַציע קאַנפאַדענשאַל; ויסמיידן בעכעסקעם אַ רעקאָרד פון עס וואָס קענען זיין אַקסעסט דורך אַנאָטערייזד פּאַרטיעס; טוישן עס ווען עס איז קיין פאָרשלאָג פון מעגלעך קאָמפּראָמיס; אויסקלייַבן קוואַליטעט פּאַסווערדז מיט גענוג מינימום לענג און שטאַרקייט צו נאָכפאָלגן ברייטערער פּאַראָל פּאָליטיק קאָנטראָלס אין אַנעקס אַ.9.4.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.9.4?

אַנעקס אַ.9.4 איז וועגן סיסטעם און אַפּלאַקיישאַן אַקסעס קאָנטראָל. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו פאַרמייַדן אַנאָטערייזד אַקסעס צו סיסטעמען און אַפּלאַקיישאַנז.

A.9.4.1 אינפֿאָרמאַציע אַקסעס ריסטריקשאַן

אַקסעס צו אינפֿאָרמאַציע און אַפּלאַקיישאַן סיסטעם פאַנגקשאַנז מוזן זיין טייד אין די אַקסעס קאָנטראָל פּאָליטיק. שליסל קאַנסידעריישאַנז זאָל אַרייַננעמען:

דאס אַרייַננעמען:

• ראָלע-באזירט אַקסעס קאָנטראָל (RBAC);
• לעוועלס פון אַקסעס;
• פּלאַן פון "מעניו" סיסטעמען אין אַפּלאַקיישאַנז;
• לייענען, שרייַבן, ויסמעקן און ויספירן פּערמישאַנז;
• לימיטינג פּראָדוקציע פון ​​אינפֿאָרמאַציע; און
• פיזיש און / אָדער לאַדזשיקאַל אַקסעס קאָנטראָלס צו שפּירעוודיק אַפּלאַקיישאַנז, דאַטן און סיסטעמען.

דער אָדיטאָר וועט קאָנטראָלירן צו זען אַז קאַנסידעריישאַנז זענען געמאכט פֿאַר באַגרענעצן אַקסעס אין סיסטעמען און אַפּלאַקיישאַנז וואָס שטיצן אַקסעס קאָנטראָל פּאַלאַסיז, ​​געשעפט רעקווירעמענץ, ריזיקירן לעוועלס און סעגרעגאַציע פון ​​פליכט.

א.9.4.2 זיכער לאָג-אויף פּראָוסידזשערז

אַקסעס צו סיסטעמען און אַפּלאַקיישאַנז מוזן זיין קאַנטראָולד דורך אַ זיכער קלאָץ-אויף פּראָצעדור צו באַווייַזן די אידענטיטעט פון דער באַניצער.

דאָס קען גיין ווייַטער פון די טיפּיש פּאַראָל צוגאַנג אין מולטי-פאַקטאָר אָטענטאַקיישאַן, ביאָמעטריקס, סמאַרט קאַרדס און אנדערע ענקריפּשאַן מיטל באזירט אויף די ריזיקירן וואָס איז באַטראַכט.

זיכער קלאָץ אויף זאָל זיין דיזיינד אַזוי עס קענען ניט זיין לייכט סערקאַמווענטיד און אַז קיין אָטענטאַקיישאַן אינפֿאָרמאַציע איז טראַנסמיטטעד און סטאָרד ינקריפּטיד צו פאַרמייַדן ינטערסעפּשאַן און מיסיוז.

ISO 27002 גיידאַנס איז באַטייטיק אַרום דעם טעמע, ווי אויך ספּעשאַלייזד ללבער ווי די נאַשאַנאַל סייבער סעקוריטי צענטער (NCSC). נאָך עצות אַרייַננעמען:

• קלאָץ אויף פּראָוסידזשערז זאָל זיין דיזיינד אַזוי אַז זיי קענען ניט זיין לייכט סערקאַמווענטיד און אַז קיין אָטענטאַקיישאַן אינפֿאָרמאַציע איז טראַנסמיטטעד און סטאָרד ינקריפּטיד צו פאַרמייַדן ינטערסעפּשאַן און מיסיוז.
• קלאָץ-אויף פּראָוסידזשערז זאָל אויך אַרייַננעמען אַ ווייַז סטייטינג אַז אַקסעס איז בלויז פֿאַר אָטערייזד יוזערז. דאָס איז דיזיינד צו שטיצן סייבערסעקוריטי געסעצ - געבונג אַזאַ ווי די
• קאָמפּיוטער מיסיוז אקט 1990 (וק).
• ביידע אַ געראָטן און ניט געראָטן קלאָץ אויף און קלאָץ-אַוועק זאָל זיין לאָגד אין אַ זיכער שטייגער צו צושטעלן פאָרענסיק עווידענטשאַל פיייקייט און אַלערץ פֿאַר ניט געראָטן פרווון און מעגלעך לאַק-אַוץ זאָל זיין קאַנסידערד.
• דעפּענדינג אויף די נאַטור פון די סיסטעם, אַקסעס זאָל זיין לימיטעד צו זיכער צייט פון טאָג אָדער צייט און פּאַטענטשאַלי אפילו זיין לימיטעד לויט אָרט.

אין פיר, די געשעפט דאַרף און אינפֿאָרמאַציע אין ריזיקירן זאָל פירן די קלאָץ אויף און קלאָץ אַוועק פּראָוסידזשערז. עס איז ניט ווערט צו האָבן 25 סטעפּס צו קלאָץ אויף, און האָבן גיך צייט אָוץ, עטק אויב דער שטעקן איז נישט ביכולת צו טאָן זייער אַרבעט געזונט און פאַרברענגען אַ דיספּראַפּאָרשאַניט צייט אין דעם שלייף.

א.9.4.3 שפּריכוואָרט מאַנאַגעמענט סיסטעם

דער ציל פון אַ פּאַראָל פאַרוואַלטונג סיסטעם איז צו ענשור קוואַליטעט פּאַסווערדז טרעפן די פארלאנגט מדרגה און זענען קאַנסיסטאַנטלי געווענדט.

שפּריכוואָרט דור און פאַרוואַלטונג סיסטעמען צושטעלן אַ גוט וועג פון סענטראַלייזינג די פּראַוויזשאַנז פון אַקסעס און זיי דינען צו רעדוצירן די ריזיקירן פון מענטשן ניצן די זעלבע לאָגין פֿאַר אַלץ, ווי ילאַסטרייטיד אין דעם ביסל דערציילונג פון וואָס כאַפּאַנז ווען אַ קונה קאָנטאַקט אונדזער מאַנשאַפֿט וועגן אַ פארגעסן פּאַראָל !

ווי מיט קיין קאָנטראָל מעקאַניזאַם, פּאַראָל דור און פאַרוואַלטונג סיסטעמען דאַרפֿן צו זיין קערפאַלי ימפּלאַמענאַד צו ענשור טויגן און פּראַפּאָרשאַנאַל שוץ לעוועלס.

וואוהין מעגלעך ניצערס זאָל קענען צו קלייַבן זייער אייגענע פּאַסווערדז ווייַל דאָס מאכט זיי גרינגער צו געדענקען ווי מאַשין דזשענערייטאַד אָנעס, אָבער, עס דאַרף צו זיין אַרויף צו אַ זיכער מדרגה פון שטאַרקייַט.

עס זענען פילע קאַנפליקטינג מיינונגען אויף פּאַראָל פאַרוואַלטונג סיסטעמען און פּאַראָל פּאַלאַסיז, ​​אַזוי מיר מוטיקן אָרגאַנאַזיישאַנז צו קוקן אין די אָפט טשאַנגינג בעסטער פּראַקטיסיז און אַדאַפּט אַפּראָוטשיז באזירט אויף די ריזיקירן אַפּעטיט און קולטור פון דער אָרגאַניזאַציע.

ווי דערמאנט אויבן, NCSC איז אַ גוט אָרט צו אָפּשאַצן די לעצטע פּראַקטיסיז אָדער נאָר פרעגן אונדז צו באַקענען איר צו איינער פון אונדזער פּאַרטנערס פֿאַר הילף.

א.9.4.4 נוצן פון פּריווילעדזשד יוטיליטי מגילה

יוטיליטי קאָמפּיוטער מגילה וואָס קען זיין טויגעוודיק פון אָוווערריידינג סיסטעם און אַפּלאַקיישאַן קאָנטראָלס דאַרפֿן צו זיין קערפאַלי געראטן.

שטאַרק סיסטעם און נעץ נוצן מגילה קענען מאַכן אַ אַטראַקטיוו ציל פֿאַר בייזע אַטאַקערז און אַקסעס צו זיי מוזן זיין לימיטעד צו דער קלענסטער נומער פון מענטשן. ווי אַזאַ נוצן מגילה קענען זיין לייכט ליגן און דאַונלאָודיד פון דער אינטערנעץ, עס איז אויך וויכטיק אַז יוזערז זענען ריסטריקטיד אין זייער פיייקייט צו ינסטאַלירן קיין ווייכווארג ווי פיל ווי מעגלעך ווי די געשעפט רעקווירעמענץ און ריזיקירן אַסעסמאַנט. די נוצן פון נוצן מגילה זאָל זיין לאָגד און מאָניטאָרעד / ריוויוד פּיריאַדיקלי צו באַפרידיקן די רעקווירעמענץ פון די אַדאַטערז.

א.9.4.5 אַקסעס קאָנטראָל צו פּראָגראַם מקור קאָד

אַקסעס צו פּראָגראַם מקור קאָד מוזן זיין ריסטריקטיד. אַקסעס צו פּראָגראַם מקור קאָד און פֿאַרבונדן ייטאַמז (אַזאַ ווי דיזיינז, ספּעסאַפאַקיישאַנז, וועראַפאַקיישאַן פּלאַנז און וואַלאַדיישאַן פּלאַנז) זאָל זיין שטרענג קאַנטראָולד.

פּראָגראַם מקור קאָד קענען זיין שפּירעוודיק צו באַפאַלן אויב נישט אַדאַקוואַטלי פּראָטעקטעד און קענען צושטעלן אַ אַטאַקער מיט אַ גוט מיטל צו קאָמפּראָמיס סיסטעמען אין אַ אָפט געהיים שטייגער. אויב דער מקור קאָד איז צענטראל אין די געשעפט הצלחה, די אָנווער קען אויך געשווינד צעשטערן די געשעפט ווערט.

קאָנטראָלס זאָל אַרייַננעמען באַטראַכטונג פֿאַר:

• ווי ווייניק מענטשן ווי מעגלעך האָבן צוטריט
• בעכעסקעם מקור קאָד אַוועק אַפּעריישאַנאַל סיסטעמען (בלויז קאַמפּיילד קאָד)
• אַקסעס צו מקור קאָד איז ווי ריסטריקטיד ווי מעגלעך (לייקענען-דורך-פעליקייַט)
• אַקסעס צו מקור קאָד איז לאָגד און די לאָגס פּיריאַדיקלי ריוויוד
• שטאַרק און שטרענג טוישן קאָנטראָל פּראָוסידזשערז
• אָפט אַדאַץ און באריכטן

פארוואס איז אַנעקס אַ.9 וויכטיק?

אַנעקס אַ.9 איז מיסטאָמע די מערסט גערעדט וועגן פּונקט אין דער גאנצער אַנעקס א, און עטלעכע וואָלט טענהן אַז עס איז די מערסט וויכטיק.

דאָס איז ווייַל דיין גאנצע אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם (ISMS) איז באזירט אויף מאַכן זיכער אַז די רעכט מענטשן האָבן אַקסעס צו די רעכט אינפֿאָרמאַציע אין די רעכט צייט. באַקומען אַז רעכט איז איינער פון די שליסלען צו הצלחה, אָבער באַקומען עס פאַלש קענען האָבן אַ ריזיק פּראַל אויף דיין געשעפט.

ימאַדזשאַן אויב איר אַקסאַדענאַלי געגעבן אַקסעס צו קאַנפאַדענשאַל אָנגעשטעלטער אינפֿאָרמאַציע צו די אומרעכט מענטשן, ווי ריווילינג וואָס אַלעמען אין די געשעפט באַקומען באַצאָלט פֿאַר בייַשפּיל.

די קאַנסאַקווענסאַז פון באַקומען דעם טייל פאַלש קענען זיין באַטייטיק, אַזוי עס איז ווערט צו פאַרברענגען גענוג צייט צו טראַכטן עס אַלע.