Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Table des matières C001 Établir les exigences d'accès au système...............

Table des matières C001 Établir les exigences d'accès au système...................................................................................3 AC.1.001 Limiter l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux dispositifs (y compris d'autres systèmes d'information).................................................................................................................................3 AC.2.005 Fournir des avis de confidentialité et de sécurité conformes aux règles CUI applicables. ......................................................................................................................................................17 AC.2.006 Limiter l'utilisation des périphériques de stockage portables sur les systèmes externes. ......................................................................................................................................................19 C002 Contrôler l'accès au système interne.......................................................................................23 AC.1.002 Limiter l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés sont autorisés à exécuter.........................................................................23 AC.2.007 Employer le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés..........................................................................................37 AC.2.008 Utilisez des comptes ou des rôles non privilégiés lors de l'accès à des fonctions non liées à la sécurité...........................................................................................................................41 AC.2.009 Limitez les tentatives de connexion infructueuses........................................................43 AC.2.010 Utilisez le verrouillage de session avec des affichages masquant les motifs pour empêcher l'accès et la visualisation des données après une période d'inactivité...........................46 AC.2.011 Autoriser l'accès sans fil avant d'autoriser de telles connexions...................................48 AC.3.012 Protégez l'accès sans fil à l'aide de l'authentification et du cryptage.............................54 AC.3.017 Séparer les obligations des individus pour réduire le risque d'activités malveillantes sans collusion...............................................................................................................................57 AC.3.018 Empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et capturer l'exécution de ces fonctions dans les journaux d'audit....................................................60 AC.3.019 Mettre fin (automatiquement) aux sessions utilisateur après une condition définie......63 AC.3.020 Contrôle de la connexion des appareils mobiles...........................................................66 AC.4.023 Contrôler les flux d'informations entre les domaines de sécurité sur les systèmes connectés......................................................................................................................................71 AC.4.025 Revoir et mettre à jour périodiquement les autorisations d'accès au programme CUI..80 AC.5.024 Identifier et atténuer les risques associés aux points d'accès sans fil non identifiés connectés au réseau......................................................................................................................80 C003 Contrôler l'accès au système à distance...................................................................................84 AC.2.013 Surveiller et contrôler les sessions d'accès à distance...................................................84 AC.2.015 Acheminer l'accès à distance via des points de contrôle d'accès gérés.........................87 AC.3.014 Employer des mécanismes cryptographiques pour protéger la confidentialité des sessions d'accès à distance............................................................................................................89 AC.3.021 Autoriser l'exécution à distance de commandes privilégiées et l'accès à distance aux informations relatives à la sécurité...............................................................................................93 AC.4.032 Restreindre l'accès au réseau à distance en fonction de facteurs de risque définis par l'organisation tels que l'heure de la journée, l'emplacement de l'accès, l'emplacement physique, l'état de la connexion au réseau et les propriétés mesurées de l'utilisateur et du rôle actuels........99 C004 Limiter l'accès aux données aux utilisateurs et processus autorisés.......................................101 AC.1.003 Vérifier et contrôler / limiter les connexions et l'utilisation des systèmes d'information externes.......................................................................................................................................101 AC.1.004 Contrôler les informations publiées ou traitées sur des systèmes d'information accessibles au public...................................................................................................................104 AC.2.016 Contrôler le flux des CUI conformément aux autorisations approuvées.....................105 AC.3.022 Crypter les CUI sur les appareils mobiles et les plates-formes informatiques mobiles. ....................................................................................................................................................124 C001 Établir les exigences d'accès au système AC.1.001 Limiter l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux dispositifs (y compris d'autres systèmes d'information) • Clause FAR 52.204-21 b.1.i • NIST SP 800-171 Rev 1 3.1.1 • CIS Controls v7.1 1.4, 1.6, 5.1, 14.6, 15.10, 16.8, 16.9, 16.11 • NIST CSF v1.1 PR.AC-1, PR.AC-3, PR.AC-4, PR.AC-6, PR.PT-3, PR.PT-4 • CERT RMM v1.2 TM: SG4.SP1 • NIST SP 800-53 Rev 4 AC-2, AC-3, AC-17 • AU ACSC Essential Eight DISCUSSION [PROJET NIST SP 800-171R2] Les politiques de contrôle d'accès (par exemple, les politiques basées sur l'identité ou les rôles, les matrices de contrôle et la cryptographie) contrôlent l'accès entre les entités ou sujets actifs (c'est-à-dire les utilisateurs ou processus agissant au nom des utilisateurs) et les entités ou objets passifs (par exemple, les appareils, les fichiers, enregistrements et domaines) dans les systèmes. Des mécanismes d'application de l'accès peuvent être utilisés au niveau de l'application et du service pour améliorer la sécurité des informations. D'autres systèmes comprennent des systèmes internes et externes à l'organisation. Cette exigence se concentre sur la gestion des comptes pour les systèmes et les applications. La définition et l'application des autorisations d'accès, autres que celles déterminées par le type de compte (par exemple, privilégiés vers non privilégiés) sont traités dans l'exigence 3.1.2 . CLARIFICATION Contrôlez qui peut utiliser les ordinateurs de l'entreprise et qui peut se connecter au réseau de l'entreprise. Limitez les services et les périphériques, tels que les imprimantes, auxquels les ordinateurs de l'entreprise peuvent accéder. Configurez votre système afin que les utilisateurs et appareils non autorisés ne puissent pas accéder au réseau de l'entreprise . Exemple 1 Vous êtes en charge de l'informatique de votre entreprise. Vous donnez un nom d'utilisateur et un mot de passe à chaque employé qui utilise un ordinateur de l'entreprise pour son travail. Personne ne peut utiliser un ordinateur d'entreprise sans nom d'utilisateur et mot de passe. Vous ne donnez un nom d'utilisateur et un mot de passe qu'aux employés dont vous savez qu'ils sont autorisés à faire partie du système. Lorsqu'un employé quitte l'entreprise, vous désactivez immédiatement son nom d'utilisateur et son mot de passe . Exemple 2 Un collègue du service marketing vous informe que son patron souhaite acheter une nouvelle imprimante / scanner / télécopieur multifonction et la rendre disponible sur le réseau de l'entreprise. Vous expliquez que l'entreprise contrôle l'accès au système et aux appareils au réseau, et arrêtera les systèmes et appareils n'appartenant pas à l'entreprise à moins qu'ils ne soient déjà autorisés à accéder au réseau. Vous travaillez avec le service marketing pour autoriser la nouvelle imprimante / scanner / télécopieur à se connecter au réseau, puis installez-le . • Clause FAR 52.204-21 b.1.i ( i ) Limiter l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris d'autres systèmes d'information) . • NIST SP 800-171 Rev 1 3.1.1 EXIGENCE DE SÉCURITÉ Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes) . DISCUSSION Les politiques de contrôle d'accès (par exemple, les politiques basées sur l'identité ou les rôles, les matrices de contrôle et la cryptographie) contrôlent l'accès entre les entités ou sujets actifs (c'est-à-dire les utilisateurs ou processus agissant au nom des utilisateurs) et les entités ou objets passifs (par exemple, les appareils, les fichiers , enregistrements et domaines) dans les systèmes. Des mécanismes d'application de l'accès peuvent être utilisés au niveau de l'application et du service pour améliorer la sécurité des informations. D'autres systèmes comprennent des systèmes internes et externes à l'organisation. Cette exigence se concentre sur la gestion des comptes pour les systèmes et les applications. La définition et l'application des autorisations d'accès, autres que celles déterminées par le type de compte (par exemple, versets privilégiés non privilégiés) sont traitées dans l'exigence • CIS Controls v7.1 1.4, 1.6, 5.1, 14.6, 15.10, 16.8, 16.9, 16.11 Maintenir un inventaire détaillé des actifs: Maintenez un inventaire précis et à jour de tous les actifs technologiques susceptibles de stocker ou de traiter des informations. Cet inventaire doit inclure tous les actifs, qu'ils soient connectés ou non au réseau de l'organisation . Traiter les actifs non autorisés: assurez-vous que les actifs non autorisés sont supprimés du réseau, mis en quarantaine ou que l'inventaire est mis à jour en temps opportun . Applications Protéger, établir des configurations sécurisées: Maintenir des normes de configuration de sécurité documentées pour tous les systèmes d'exploitation et logiciels autorisés . Protection des données, protection des informations via des listes de contrôle d'accès: Protégez toutes les informations stockées sur des systèmes avec des listes de contrôle d'accès spécifiques au système de fichiers, au partage réseau, aux revendications, aux applications ou aux bases de données. Ces contrôles appliqueront le principe selon lequel seules les personnes autorisées devraient avoir accès aux informations en fonction de leur besoin d'accéder aux informations dans le cadre de leurs responsabilités . Protection du réseau, création d'un réseau sans fil distinct pour les appareils personnels et non approuvés: créez un réseau sans fil distinct pour les appareils personnels ou non approuvés. L'accès d'entreprise à partir de ce réseau doit être traité comme non approuvé et filtré et audité en conséquence . Les utilisateurs répondent, désactivent tous les comptes non associés: désactivez tout compte qui ne peut pas être associé à un processus métier ou à un propriétaire d'entreprise . Les utilisateurs répondent, désactivent les comptes dormants: désactivez automatiquement les comptes dormants après une période d'inactivité définie . Les utilisateurs protègent et verrouillent les sessions du poste de travail après l'inactivité: Verrouillez automatiquement les sessions du poste de travail après une période d'inactivité standard . • NIST CSF v1.1 PR.AC-1, PR.AC-3, PR.AC-4, PR.AC-6, PR.PT-3, PR.PT-4 Gestion des identités, authentification et contrôle d'accès (PR.AC) Faible impact : Établir et gérer des mécanismes d'identification et des informations d'identification pour les utilisateurs du système de fabrication . Impact modéré : Établir et gérer les mécanismes d'identification et les informations d'identification pour les utilisateurs et les appareils du système de fabrication. Mettre en œuvre des mécanismes automatisés lorsque cela est possible pour soutenir la gestion et l'audit des informations d'identification du système d'information . Fort impact : Désactivez les informations d'identification du système après une période d'inactivité spécifiée, à moins uploads/Management/ access-control-ac 1 .pdf