Je hebt vast wel eens gehoord van de ISO27001-norm voor informatiebeveiligingsbeheersystemen (ISMS). Het implementeren van de ISO27001-norm biedt organisaties veel voordelen, waaronder het helpen naleven van gegevensprivacywetten zoals de General Data Protection Regulation (GDPR) en de Algemene verordening gegevensbescherming (AVG).
De kernvereisten voor ISO27001 staan in clausules 4 tot en met 10, die organisaties helpen bij het identificeren, beoordelen en behandelen van informatiebeveiligingsrisico’s. Met een uitgebreide lijst van beheersmaatregelen kunnen bedrijven de risico’s beheersen. Organisaties zijn vrij om te kiezen welke maatregelen van toepassing zijn op hun specifieke scenario’s.
Organisaties die ISO / IEC 27001: 2013 willen naleven, zijn verplicht om voldoende bewijs aan auditors te tonen dat ze de nodige beveiligingscontroles uit Annex A hebben ingevoerd.
Zoals met veel voorschriften voor dataconformiteit, kost het bereiken van ISO27001-conformiteit tijd en planning. In dit bericht leggen we uit hoe TUNIX-oplossingen je kunnen helpen snel en eenvoudig ISO27001 te behalen om ervoor te zorgen dat uw organisatie aan de regels voldoet en blijft.
Hieronder staan de specifieke beveiligingsmaatregelen waarbij de oplossingen van TUNIX je gemakkelijk kunnen helpen:
A.9 TOEGANGSCONTROLE
Een belangrijke manier om controleurs te bewijzen, is door aan te tonen dat het juiste toegangscontrolebeleid is gehandhaafd. Dit gedeelte bevat voornamelijk een lijst met bedieningselementen om ervoor te zorgen dat alleen de juiste mensen toegang hebben tot het netwerk. Hier zijn enkele van de functionaliteiten die beheerders kunnen gebruiken voor controles.
Hoe TUNIX helpt:
A.9.1.2: De TUNIX/Authenticatie Service kan IT-beheerders helpen bij het implementeren van Role-Based Access Control (RBAC). Beheerders kunnen toegangsbeleid per gebruiker of per applicatie definiëren op basis van zakelijke vereisten. Beheerders kunnen extra context gebruiken, zoals de locatie of het netwerk van een gebruiker, voordat ze toegang verlenen.
A.9.2.1: De TUNIX/CloudProxy stelt beheerders in staat om gestuurd vanuit AD/LDAP of een eigen lokale database een lijst te maken van gebruikers die toegang tot bedrijfssystemen nodig hebben. Bovendien helpt TUNIX beheerders om zich te concentreren op hun kritieke verantwoordelijkheden en routinetaken zoals de inschrijving van nieuwe gebruikers te verhuizen naar het reguliere AD onderhoud.
A.9.4.1: Alle TUNIX producten bieden beheerders de mogelijkheid om de toegang tot beschermde applicaties te beperken op basis van het principe van de minste rechten.
Met TUNIX/Authenticatie Service kunnen beheerders bovendien de toegang beperken tot interne informatiesystemen die lokaal of in AWS of Azure worden gehost.
A.9.4.2: Alle TUNIX producten bieden veilige meervoudige authenticatie via meerdere methoden, zoals TUNIX Push-notificatie, sms of spraakoproep. De authenticatie van TUNIX is volledig onafhankelijk van de primaire authenticatieworkflow en biedt een extra beveiligingslaag. Verder kunnen beheerders de procedure voor een 2FA-methode op basis van AD/LDAP-groepen beheren, waardoor het risico van gecompromitteerde inloggegevens wordt verminderd.
A.9.4.4: Met de TUNIX Network Gateway kunnen beheerders de toegang tot interne servers beperken op basis van gebruikersgroepen. TUNIX kan ook worden geïntegreerd met oplossingen voor privileged access management zoals Krontech Single Connect om een authenticatielaag toe te voegen. Ten slotte bevat de oplossing zelf meerdere beheerdersrollen om strikte toegangscontroles af te dwingen.
A.9.4.5: Alle TUNIX producten bieden tweefactorauthenticatie om de toegang tot broncodebronnen te beperken. Bovendien beperkt TUNIX/Authenticatie Service SSH-toegang tot het netwerk als uw organisatie broncode opslaat op interne servers zoals Github.
A.12 BEVEILIGING VAN DE WERKING
De bedieningselementen in dit gedeelte van ISO 27001 bieden richtlijnen om ervoor te zorgen dat de juiste bedieningsprocedures worden gevolgd, inclusief hoe event-logboeken worden geregistreerd en beschermd.
Hoe TUNIX helpt:
A.12.4.1, A.12.4.2, A.12.4.3: De TUNIX/CloudProxy produceert gedetailleerde logboeken voor elke gebeurtenis, van inlogactiviteiten van eindgebruikers tot wijzigingen die door beheerders zijn aangebracht. Deze logboeken kunnen voor analyse in uw logboekbeheertools worden geïmporteerd. Bovendien kan TUNIX helpen beschermen tegen ongeautoriseerde toegang tot die logboekbeheertools zoals Splunk.
A.13 COMMUNICATIEBEVEILIGING
Dit gedeelte gaat over netwerkbeveiligingsbeheer om ervoor te zorgen dat de organisatie over de juiste systemen beschikt om informatie in hun netwerken te beschermen.
Hoe TUNIX helpt:
A.13.1.1: TUNIX/Authenticatie Service stelt organisaties in staat om zero-trust principes af te dwingen door gebruikers- en apparaatvertrouwen te creëren voor veilige toegang tot services en applicaties in hybride omgevingen.
A.14 ACQUISITIE, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN
Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken.
Hoe TUNIX helpt:
A.14.1.2, A.14.2.6, A.14.3.1: De TUNIX Authenticatie Service stelt organisaties in staat om adaptief authenticatiebeleid in te stellen op basis van gebruikersrollen, apparaatstatus, gebruikerslocatie en netwerk. Beheerders kunnen het intellectuele eigendom van de organisatie beter beschermen door belangrijke toegangscontroles te implementeren. Om de toegang tot bepaalde delen van het netwerk, zoals ontwikkel- en testomgevingen, te beperken, kunnen beheerders eenvoudig gebruikersgroepen aanmaken op basis van rollen en verantwoordelijkheden.
A.18 NALEVING
In het nalevingsgedeelte worden de controles vermeld die nodig zijn om te voldoen aan wettelijke en contractuele vereisten, zoals het beschermen van klantinformatie.
Hoe TUNIX helpt:
A.18.1.3, A.18.1.4: Alle TUNIX producten beschermen gevoelige gegevens zoals klantrecords en tot personen herleidbare informatie (PII) door de identiteit van de gebruikers die toegang zoeken en de “system health” van de apparaten van de gebruikers te verifiëren. De oplossing biedt een krachtige combinatie van contextueel gebruikerstoegangsbeleid en apparaatgebaseerd toegangsbeleid waarmee beheerders eenvoudig ongeautoriseerde toegang kunnen voorkomen.
Naleving van ISO 27001 kan een organisatie veel voordelen bieden. TUNIX Security helpt u snel en gemakkelijk aan de compliance te voldoen door te voldoen aan de controles die nodig zijn om de toegang tot uw informatiesystemen te beveiligen. Probeer het hier GRATIS zelf uit om te begrijpen hoe TUNIX werkt.
Bijlage: Tabel met beheerdoelstellingen en beheersmaatregelen
A.9.2.1
Gebruikersregistratie en uitschrijving – Er zal een formeel gebruikersregistratie- en uitschrijvingsproces worden geïmplementeerd om de toewijzing van toegangsrechten mogelijk te maken.
A.9.4.1
Beperking van de toegang tot informatie – Toegang tot informatie en functies van het applicatiesysteem zal worden beperkt in overeenstemming met het toegangscontrolebeleid.
A.9.4.2
Veilige inlogprocedures – Waar vereist door het toegangscontrolebeleid, wordt de toegang tot systemen en applicaties gecontroleerd door een veilige inlogprocedure.
A.9.4.4
Gebruik van geprivilegieerde hulpprogramma’s – Het gebruik van hulpprogramma’s die mogelijk systeem- en applicatiecontroles kunnen overschrijven, moet worden beperkt en strikt worden gecontroleerd.
A.9.4.5
Toegangscontrole tot de programmabroncode – Toegang tot de programmabroncode is beperkt.
A.12.4.1
Gebeurtenisregistratie – Gebeurtenislogboeken waarin gebruikersactiviteiten, uitzonderingen, fouten en informatiebeveiligingsgebeurtenissen worden geregistreerd, worden bijgehouden en regelmatig beoordeeld.
A.12.4.2
Bescherming van logboekinformatie – Loggingfaciliteiten en logboekinformatie moeten worden beschermd tegen manipulatie en ongeoorloofde toegang.
A.12.4.3
Logboeken van beheerders en operators – De activiteiten van de systeembeheerder en de systeembeheerder worden gelogd en de logboeken worden beschermd en regelmatig herzien.
A.13.1.1
Netwerkcontroles – Netwerken worden beheerd en gecontroleerd om informatie in systemen en applicaties te beschermen.
A.14.1.2
Beveiliging van toepassingsdiensten op openbare netwerken – Informatie die betrokken is bij toepassingsdiensten die via openbare netwerken worden doorgegeven, wordt beschermd tegen frauduleuze activiteiten, contractgeschillen en ongeoorloofde openbaarmaking en wijziging.
A.14.2.6
Veilige ontwikkelomgeving – Organisaties moeten veilige ontwikkelomgevingen opzetten en op passende wijze beschermen voor systeemontwikkeling en integratie-inspanningen die de gehele levenscyclus van systeemontwikkeling bestrijken.
A.14.3.1
Bescherming van testgegevens – Testgegevens moeten zorgvuldig worden geselecteerd, beschermd en gecontroleerd.
A.18.1.3
Bescherming van gegevens – Gegevens worden beschermd tegen verlies, vernietiging, vervalsing, ongeoorloofde toegang en ongeoorloofde vrijgave, in overeenstemming met wetgevende, regelgevende, contractuele en zakelijke vereisten.
A.18.1.4
Privacy en bescherming van persoonlijk identificeerbare informatie – De privacy en bescherming van persoonlijk identificeerbare informatie zal worden gegarandeerd zoals vereist in relevante wet- en regelgeving, waar van toepassing.
A.9.1.2
Toegang tot netwerken en netwerkdiensten – Gebruikers krijgen alleen toegang tot het netwerk en netwerkdiensten waarvoor ze specifiek geautoriseerd zijn om te gebruiken.