© 2023 Lennart Piper - Framtida ledningssystem
A 9.4 åtkomst system - ISO 27001
Meny 4Certifiering
Framtida ledningssystem
Artikel i Dagens Industri
Integrerade ledningssystem
Fler web sidor
Seminarium via Teams
Kontakt Lennart
Logga in/ut
Meny ISO
Ny ISO standard - ISO 45001:2018
Energi ledn sys ISO 50001:2018
Mall mandagar50003 kalkyl
Mall mandagarEKL_STEMFS kalkyl
Miljö ledn sys ISO 14001:2015
Mall mandagar27006 kalkyl
Meny Revision 27001 annex A
Nya ISO 27001:2022
Säkerhet ledn sys ISO 27001:2017
A 9.1 styrning av åtkomst - ISO 27001
A 9.2 användaråtkomst - ISO 27001
A 9.3 användaransvar - ISO 27001
A 9.4 åtkomst system - ISO 27001
ISO/IEC 27001:2017 Annex A 9.4 Åtkomststyrning system
9.4.1 Begränsning av åtkomst till system och tillämpningar SS-ISO/IEC 27002:2014
Tillgång till information och systemfunktioner skall vara begränsade i enlighet med regler/rutiner för styrning av åtkomst.
Begränsningar i åtkomst baseras på specifika verksamhetskrav och på de definierade åtkomstkontrollprinciperna.(enligt web sida och erbjudna produkter)
Följande kontrolleras för begränsning av åtkomst:
a) tillhandahålls menyer för att styra åtkomsten till systemfunktioner i tillämpningssystem;
b) styrs vilka data som kan nås av en viss användare;
c) styrs åtkomsträttigheter för användare, t.ex. läsa, skriva, radera och exekvera;
d) styrs åtkomsträttigheter för andra tillämpningar;
e) begränsas informationen i utdata;
f) ges fysiska eller logiska åtkomstkontroller för isolering av känsliga tillämpningar, tillämpningsdata eller system.
Invalid Input
9.4.1 åtkomst
(*)
ok
avvikelse
förbättring
välj
9.4.1 anteckn
Invalid Input
9.4.2 Säkra inloggningsrutiner SS-ISO/IEC 27002:2014
Regler/rutiner för styrning av åtkomst kräver att tillgång till system och tillämpningar styrs genom inloggningsrutiner.
En lämplig autentiseringsteknik skall ha valts för att styrka den påstådda identiteten hos en användare.
Styrkan på användarautentiseringen skall motsvara klassningsnivån som informationen har.
Om stark autentisering och identitetsverifiering krävs skall metoder för autentisering som alternativ till lösenord, exempelvis kryptografiska hjälpmedel,
smarta kort, token eller biometriska metoder, kunna redovisas.
Rutiner för att logga in i ett system eller program skall utformas för att minimera möjligheten för obehörig åtkomst.
Inloggningsrutiner skall därför avslöja så lite som möjligt om systemet eller tillämpningen för att undvika att ge en obehörig användare hjälp.
En inloggningsrutin skall:
a) inte visa system- eller programidentitet förrän inloggningsprocessen har slutförts
b) visa ett allmänt varningsmeddelande att datorn endast får användas av behöriga användare
c) inte tillhandahålla hjälpmeddelanden under inloggning som skulle kunna hjälpa en obehörig användare
d) validera inloggningsinformation endast när alla data matats in. Vid fel bör systemet inte ange vilken del av informationen som är rätt eller fel
e) skydda mot ”Brute Force”-inloggningsförsök
f) logga misslyckade inloggningsförsök och lyckade inloggningar
g) registrera en informationssäkerhetshändelse när potentiella obehöriga försök till inloggning eller lyckade obehöriga inloggningar upptäcks
h) information vid slutförandet av en lyckad inloggning skall finnas för, datum och tid för föregående lyckade inloggning och detaljer för misslyckade inloggningsförsök sedan föregående lyckade inloggning
i) inte visa lösenord i klartext
j) inte överföra lösenord i klartext över ett nätverk
k) avsluta inaktiva sessioner efter en definierad tidsperiod av inaktivitet, särskilt på högriskmiljöer som offentliga platser eller områden utanför organisationens säkerhetshantering eller i mobila enheter
l) begränsa uppkopplingstid till högrisktillämpningar och därigenom uppnå ökad säkerhet och minska möjligheterna till obehörig åtkomst
Invalid Input
9.4.2 inloggningsrutiner
(*)
ok
avvikelse
förbättring
välj
9.4.2 anteckn
Invalid Input
9.4.3 System för lösenordshantering SS-ISO/IEC 27002:2014
System för lösenordshantering skall vara interaktiva och skall säkerställa kvalitativa lösenord.
Vissa tillämpningar kräver att lösenord tilldelas av en oberoende funktion. I sådana fall gäller inte punkt b), d)
och e) av den ovanstående vägledningen. I de flesta fall väljs och underhålls lösenord av användare.
Ett system för lösenordshantering skall:
a) framtvinga användning av individuella användarkonton och lösenord så att individuellt ansvar kan utkrävas;
b) låta användare välja och ändra sina egna lösenord och innehålla en rutin som ger meddelande om inmatningsfel;
c) säkerställa att lösenord av hög kvalitet väljs;
d) tvinga användarna att ändra sina lösenord vid den första inloggningen;
e) kräva ändring av lösenord regelbundet samt vid behov;
f) upprätthålla ett register över tidigare använda lösenord och förhindra användning av tidigare lösenord;
g) inte visa lösenord på skärmen vid inmatning;
h) lagra lösenordsfiler åtskilt från data för tillämpningssystem;
i) lagra och överföra lösenorden på ett säkert sätt.
Invalid Input
9.4.3 lösenordshantering
(*)
ok
avvikelse
förbättring
välj
9.4.3 anteckn
Invalid Input
9.4.4 Användning av privilegierade verktygsprogram SS-ISO/IEC 27002:2014
Användning av verktygsprogram som kan ha förmåga att kringgå säkerhetsåtgärder i system och tillämpningar skall begränsas och styras strikt.
De flesta datorinstallationer har ett eller flera program som kan ha förmåga att åsidosätta säkerhetsåtgärder för system och tillämpningar.
För användning av verktygsprogram som kan ha förmåga att kringgå säkerhetsåtgärder för system och program skall det finnas:
a) rutiner för identifiering, autentisering och auktorisering för verktygsprogram;
b) en segregering av verktygsprogram från tillämpningar;
c) en begränsad användningen av verktygsprogram till minsta möjliga antal betrodda och godkända användare (se 9.2.2);
d) ett tillstånd för ad hoc-användning av verktygsprogram;
e) en begränsning av tillgången till program, t.ex. av tiden för auktoriserad ändring;
f) en loggning av all användning av verktygsprogram;
g) definierade och dokumenterade åtkomstnivåer för verktygsprogram;
h) en borttagning eller avaktivering av alla onödiga program, jfr även https://sv.wikipedia.org/wiki/ISO/IEC_19770;
i) ej tillgängliga verktygsprogram för användare som har åtkomst till tillämpningar i system där separering av ansvar krävs.
Invalid Input
9.4.4 verktygsprogram
(*)
ok
avvikelse
förbättring
https://sv.wikipedia.org/wiki/ISO/IEC_19770
välj
9.4.4 anteckn
Invalid Input
9.4.5 Åtkomstkontroll till källkod för program
Tillgång till källkod och relaterade objekt (t.ex. designspecifikationer, kravspecifikationer, planer för verifiering och validering) skall begränsas och
styras noggrant för att förhindra införandet av obehörig funktionalitet och undvika oavsiktliga ändringar.
De skall även granskas för att upprätthålla konfidentialitet gällande immateriella rättigheter.
För källkod till program skall detta uppnås genom styrd central lagring av sådan kod i särskilda källkodsbibliotek.
Följande skall styra tillgången till sådana källkodsbibliotek i syfte att minska risken för korrupt kod:
a) källkodsbibliotek skall inte förekomma i produktionssystem;
b) källkod och källkodsbibliotek skall förvaltas enligt fastställda rutiner;
c) supportpersonalens tillgång till källkodsbibliotek skall begränsas;
d) uppdatering av bibliotek för källkod och relaterade objekt samt utlämning av källkod till programmerare skall endast göras efter godkännande;
e) förteckningar över program skall förvaras i en säker miljö;
f) en granskningslogg för all åtkomst till källkodsbibliotek skall upprätthållas;
g) underhåll och kopiering av källkodsbibliotek skall styras genom formell ändringshantering (se 14.2.2).
Om källkoden för program är avsedd att offentliggöras skall ytterligare säkerhetsåtgärder övervägas för att säkerställa dess riktighet (t.ex. digital signatur).
Invalid Input
9.4.5 källkod
(*)
ok
avvikelse
förbättring
välj
9.4.5 anteckn
Invalid Input
Skickas till Lennart
Meny Revision
Rev anteckn - förutsättn
Rev anteckn - ledarskap
Rev anteckn - planering
Rev anteckn - stöd
Rev anteckn - processerna
Rev anteckn - prestanda
Rev anteckn - avvik-förb
Ändring revisionsplan
Deltagare i dagens revision
Meny Brev
Brev - vägledning 2023
Brev 1 - Integr ledn sys - fragment
Brev 2 - Integr ledn sys - intro
Brev 3 - Integr ledn sys - analys
Brev 4 - Integr ledn sys - ett exempel
Brev 5 - Integr ledn sys - kommunikation
Seminarier Teams
