Een belangrijke manier om controleurs te bewijzen, is door aan te tonen dat het juiste toegangscontrolebeleid is gehandhaafd. Dit gedeelte bevat voornamelijk een lijst met bedieningselementen om ervoor te zorgen dat alleen de juiste mensen toegang hebben tot het netwerk. Hier zijn enkele van de functionaliteiten die beheerders kunnen gebruiken voor controles.

Hoe TUNIX helpt:

A.9.1.2: De TUNIX/Authenticatie Service kan IT-beheerders helpen bij het implementeren van Role-Based Access Control (RBAC). Beheerders kunnen toegangsbeleid per gebruiker of per applicatie definiëren op basis van zakelijke vereisten. Beheerders kunnen extra context gebruiken, zoals de locatie of het netwerk van een gebruiker, voordat ze toegang verlenen.

A.9.2.1: De TUNIX/CloudProxy stelt beheerders in staat om gestuurd vanuit AD/LDAP of een eigen lokale database een lijst te maken van gebruikers die toegang tot bedrijfssystemen nodig hebben. Bovendien helpt TUNIX beheerders om zich te concentreren op hun kritieke verantwoordelijkheden en routinetaken zoals de inschrijving van nieuwe gebruikers te verhuizen naar het reguliere AD onderhoud.

A.9.4.1: Alle TUNIX producten bieden beheerders de mogelijkheid om de toegang tot beschermde applicaties te beperken op basis van het principe van de minste rechten.

Met TUNIX/Authenticatie Service kunnen beheerders bovendien de toegang beperken tot interne informatiesystemen die lokaal of in AWS of Azure worden gehost.

A.9.4.2: Alle TUNIX producten bieden veilige meervoudige authenticatie via meerdere methoden, zoals TUNIX Push-notificatie, sms of spraakoproep. De authenticatie van TUNIX is volledig onafhankelijk van de primaire authenticatieworkflow en biedt een extra beveiligingslaag. Verder kunnen beheerders de procedure voor een 2FA-methode op basis van AD/LDAP-groepen beheren, waardoor het risico van gecompromitteerde inloggegevens wordt verminderd.

A.9.4.4: Met de TUNIX Network Gateway kunnen beheerders de toegang tot interne servers beperken op basis van gebruikersgroepen. TUNIX kan ook worden geïntegreerd met oplossingen voor privileged access management zoals Krontech Single Connect om een authenticatielaag toe te voegen. Ten slotte bevat de oplossing zelf meerdere beheerdersrollen om strikte toegangscontroles af te dwingen.

A.9.4.5: Alle TUNIX producten bieden tweefactorauthenticatie om de toegang tot broncodebronnen te beperken. Bovendien beperkt TUNIX/Authenticatie Service SSH-toegang tot het netwerk als uw organisatie broncode opslaat op interne servers zoals Github.

De bedieningselementen in dit gedeelte van ISO 27001 bieden richtlijnen om ervoor te zorgen dat de juiste bedieningsprocedures worden gevolgd, inclusief hoe event-logboeken worden geregistreerd en beschermd.

Hoe TUNIX helpt:

A.12.4.1, A.12.4.2, A.12.4.3: De TUNIX/CloudProxy produceert gedetailleerde logboeken voor elke gebeurtenis, van inlogactiviteiten van eindgebruikers tot wijzigingen die door beheerders zijn aangebracht. Deze logboeken kunnen voor analyse in uw logboekbeheertools worden geïmporteerd. Bovendien kan TUNIX helpen beschermen tegen ongeautoriseerde toegang tot die logboekbeheertools zoals Splunk.

Dit gedeelte gaat over netwerkbeveiligingsbeheer om ervoor te zorgen dat de organisatie over de juiste systemen beschikt om informatie in hun netwerken te beschermen.

Hoe TUNIX helpt:

A.13.1.1: TUNIX/Authenticatie Service stelt organisaties in staat om zero-trust principes af te dwingen door gebruikers- en apparaatvertrouwen te creëren voor veilige toegang tot services en applicaties in hybride omgevingen.

Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken.

Hoe TUNIX helpt:

A.14.1.2, A.14.2.6, A.14.3.1: De TUNIX Authenticatie Service stelt organisaties in staat om adaptief authenticatiebeleid in te stellen op basis van gebruikersrollen, apparaatstatus, gebruikerslocatie en netwerk. Beheerders kunnen het intellectuele eigendom van de organisatie beter beschermen door belangrijke toegangscontroles te implementeren. Om de toegang tot bepaalde delen van het netwerk, zoals ontwikkel- en testomgevingen, te beperken, kunnen beheerders eenvoudig gebruikersgroepen aanmaken op basis van rollen en verantwoordelijkheden.

In het nalevingsgedeelte worden de controles vermeld die nodig zijn om te voldoen aan wettelijke en contractuele vereisten, zoals het beschermen van klantinformatie.

Hoe TUNIX helpt:

A.18.1.3, A.18.1.4: Alle TUNIX producten beschermen gevoelige gegevens zoals klantrecords en tot personen herleidbare informatie (PII) door de identiteit van de gebruikers die toegang zoeken en de “system health” van de apparaten van de gebruikers te verifiëren. De oplossing biedt een krachtige combinatie van contextueel gebruikerstoegangsbeleid en apparaatgebaseerd toegangsbeleid waarmee beheerders eenvoudig ongeautoriseerde toegang kunnen voorkomen.

Naleving van ISO 27001 kan een organisatie veel voordelen bieden. TUNIX Security helpt u snel en gemakkelijk aan de compliance te voldoen door te voldoen aan de controles die nodig zijn om de toegang tot uw informatiesystemen te beveiligen. Probeer het hier GRATIS zelf uit om te begrijpen hoe TUNIX werkt.

A.9.2.1

Gebruikersregistratie en uitschrijving – Er zal een formeel gebruikersregistratie- en uitschrijvingsproces worden geïmplementeerd om de toewijzing van toegangsrechten mogelijk te maken.

A.9.4.1

Beperking van de toegang tot informatie – Toegang tot informatie en functies van het applicatiesysteem zal worden beperkt in overeenstemming met het toegangscontrolebeleid.

A.9.4.2

Veilige inlogprocedures – Waar vereist door het toegangscontrolebeleid, wordt de toegang tot systemen en applicaties gecontroleerd door een veilige inlogprocedure.

A.9.4.4

Gebruik van geprivilegieerde hulpprogramma’s – Het gebruik van hulpprogramma’s die mogelijk systeem- en applicatiecontroles kunnen overschrijven, moet worden beperkt en strikt worden gecontroleerd.

A.9.4.5

Toegangscontrole tot de programmabroncode – Toegang tot de programmabroncode is beperkt.

A.12.4.1

Gebeurtenisregistratie – Gebeurtenislogboeken waarin gebruikersactiviteiten, uitzonderingen, fouten en informatiebeveiligingsgebeurtenissen worden geregistreerd, worden bijgehouden en regelmatig beoordeeld.

A.12.4.2

Bescherming van logboekinformatie – Loggingfaciliteiten en logboekinformatie moeten worden beschermd tegen manipulatie en ongeoorloofde toegang.

A.12.4.3

Logboeken van beheerders en operators – De activiteiten van de systeembeheerder en de systeembeheerder worden gelogd en de logboeken worden beschermd en regelmatig herzien.

A.13.1.1

Netwerkcontroles – Netwerken worden beheerd en gecontroleerd om informatie in systemen en applicaties te beschermen.

A.14.1.2

Beveiliging van toepassingsdiensten op openbare netwerken – Informatie die betrokken is bij toepassingsdiensten die via openbare netwerken worden doorgegeven, wordt beschermd tegen frauduleuze activiteiten, contractgeschillen en ongeoorloofde openbaarmaking en wijziging.

A.14.2.6

Veilige ontwikkelomgeving – Organisaties moeten veilige ontwikkelomgevingen opzetten en op passende wijze beschermen voor systeemontwikkeling en integratie-inspanningen die de gehele levenscyclus van systeemontwikkeling bestrijken.

A.14.3.1

Bescherming van testgegevens – Testgegevens moeten zorgvuldig worden geselecteerd, beschermd en gecontroleerd.

A.18.1.3

Bescherming van gegevens – Gegevens worden beschermd tegen verlies, vernietiging, vervalsing, ongeoorloofde toegang en ongeoorloofde vrijgave, in overeenstemming met wetgevende, regelgevende, contractuele en zakelijke vereisten.

A.18.1.4

Privacy en bescherming van persoonlijk identificeerbare informatie – De privacy en bescherming van persoonlijk identificeerbare informatie zal worden gegarandeerd zoals vereist in relevante wet- en regelgeving, waar van toepassing.

A.9.1.2

Toegang tot netwerken en netwerkdiensten – Gebruikers krijgen alleen toegang tot het netwerk en netwerkdiensten waarvoor ze specifiek geautoriseerd zijn om te gebruiken.