ISO 27001 - Anhang A.9: Zugangskontrolle

Was ist Anhang A.9?

Anhang A.9 befasst sich ausschließlich mit Zugangskontrollverfahren. Ziel der Anlage A.9 ist es, den Zugang zu Informationen zu sichern und sicherzustellen, dass Mitarbeiter nur Informationen einsehen können, die für ihre Arbeit relevant sind. Dieser Leitfaden führt Sie durch alles, was Sie über Anhang A.9 wissen müssen.

Anhang A.9 ist in vier Abschnitte unterteilt und Sie müssen jeden einzelnen Abschnitt durcharbeiten. Dabei handelt es sich um Zugriffskontrollen, Benutzerzugriffsverwaltung, Benutzerverantwortung und Anwendungszugriffskontrollen.

Was ist das Ziel von Anhang A.9.1?

In Anhang A.9.1 geht es um geschäftliche Anforderungen an die Zugangskontrolle. Das Ziel dieser Anhang-A-Kontrolle besteht darin, den Zugang zu Informationen und Informationsverarbeitungseinrichtungen zu beschränken.

Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten. Lassen Sie uns diese Anforderungen und ihre Bedeutung etwas genauer verstehen.

A.9.1.1 Zugriffskontrollrichtlinie

Unter Berücksichtigung der Anforderungen des Unternehmens an die betreffenden Vermögenswerte muss eine Zugangskontrollrichtlinie erstellt, dokumentiert und regelmäßig überprüft werden.

Zugriffskontrollregeln, -rechte und -beschränkungen sowie die Tiefe der verwendeten Kontrollen sollten die Informationssicherheitsrisiken rund um die Informationen und die Bereitschaft der Organisation, diese zu verwalten, widerspiegeln. Vereinfacht ausgedrückt geht es bei der Zugangskontrolle darum, wer etwas wissen muss, wer es nutzen muss und wie viel Zugriff er erhält.

Zugangskontrollen können digitaler und physischer Natur sein, z. B. Berechtigungsbeschränkungen für Benutzerkonten sowie Beschränkungen, wer auf bestimmte physische Standorte zugreifen darf (im Einklang mit Anhang A.11 Physische und Umgebungssicherheit). Die Richtlinie sollte Folgendes berücksichtigen:

• Sicherheitsanforderungen von Geschäftsanwendungen und Ausrichtung an dem verwendeten Informationsklassifizierungsschema gemäß A.8 Asset Management;
• Klären Sie, wer auf die Informationen zugreifen muss, wissen Sie, wer sie nutzen muss – unterstützt durch dokumentierte Verfahren und Verantwortlichkeiten;
• Verwaltung der Zugriffsrechte und privilegierten Zugriffsrechte (mehr Befugnisse – siehe unten) einschließlich Hinzufügen, Änderungen im Leben (z. B. Superuser-/Administratorkontrollen) und regelmäßiger Überprüfungen (z. B. durch regelmäßige interne Audits gemäß Anforderung 9.2).
• Zutrittskontrollregeln sollten durch formelle Verfahren und definierte Verantwortlichkeiten unterstützt werden;

Die Zugangskontrolle muss auf der Grundlage von Rollenänderungen und insbesondere beim Verlassen überprüft werden, um sie an Anhang A.7 „Personalsicherheit“ anzupassen.

A.9.1.2 Zugang zu Netzwerken und Netzwerkdiensten

Das Prinzip des geringsten Zugriffs ist der allgemeine Ansatz, der zum Schutz bevorzugt wird, anstelle von unbegrenztem Zugriff und Superuser-Rechten ohne sorgfältige Überlegung.

Daher sollten Benutzer nur Zugriff auf das Netzwerk und die Netzwerkdienste erhalten, die sie für ihre Arbeit nutzen oder kennen müssen. Die Politik muss sich daher mit Folgendem befassen: Die für den Zugriff vorgesehenen Netzwerke und Netzwerkdienste; Berechtigungsverfahren zur Darstellung, wer (rollenbasiert) wann auf was zugreifen darf; und Managementkontrollen und -verfahren, um den Zugriff zu verhindern und ihn im Leben zu überwachen.

Dies muss auch beim Onboarding und Offboarding berücksichtigt werden und steht in engem Zusammenhang mit der Zugriffskontrollrichtlinie selbst.

Was ist das Ziel von Anhang A.9.2?

In Anhang A.9.2 geht es um die Benutzerzugriffsverwaltung. Das Ziel dieser Anhang-A-Kontrolle besteht darin, sicherzustellen, dass Benutzer berechtigt sind, auf Systeme und Dienste zuzugreifen, und unbefugten Zugriff zu verhindern.

A.9.2.1 Benutzerregistrierung und -abmeldung

Es muss ein formeller Benutzerregistrierungs- und -abmeldeprozess implementiert werden. Zu einem guten Prozess für die Benutzer-ID-Verwaltung gehört die Möglichkeit, einzelne IDs echten Personen zuzuordnen und gemeinsam genutzte Zugriffs-IDs einzuschränken, die gegebenenfalls genehmigt und aufgezeichnet werden sollten.

Ein guter Ein- und Ausstiegsprozess knüpft an die Personalsicherheit von A7 an, um eine schnelle und klare An-/Abmeldung zu ermöglichen und die Neuausstellung alter Ausweise zu vermeiden. Eine regelmäßige Überprüfung der Ausweise zeigt eine gute Kontrolle und stärkt das laufende Management.

Dies kann mit den oben genannten internen Audits für Zugriffskontrollaudits und regelmäßigen Überprüfungen durch die Eigentümer der Informationsressourcen oder Verarbeitungsanwendungen verknüpft werden.

A.9.2.2 Benutzerzugriffsbereitstellung

Es muss ein Prozess (wie einfach und dokumentiert er auch sein mag) implementiert werden, um allen Benutzertypen Zugriffsrechte auf alle Systeme und Dienste zuzuweisen oder zu entziehen. Wenn es gut gemacht ist, passt es zu den oben genannten Punkten sowie zur umfassenderen HR-Sicherheitsarbeit.

Der Bereitstellungs- und Widerrufsprozess sollte Folgendes umfassen: Genehmigung des Eigentümers des Informationssystems oder -dienstes zur Nutzung des Informationssystems oder -dienstes; Überprüfen, ob der gewährte Zugriff für die ausgeübte Rolle relevant ist; und Schutz davor, dass die Bereitstellung erfolgt, bevor die Autorisierung abgeschlossen ist.

Der Benutzerzugriff sollte immer geschäftsorientiert sein und sich an den Anforderungen des Unternehmens orientieren. Das hört sich vielleicht bürokratisch an, muss es aber nicht sein, und effektive, einfache Verfahren mit rollenbasiertem Zugriff durch Systeme und Dienste können Abhilfe schaffen.

A.9.2.3 Verwaltung privilegierter Zugriffsrechte

In A.9.2.3 geht es um die Verwaltung normalerweise leistungsfähigerer und höherer „privilegierter“ Zugriffsebenen, z. B. Systemadministrationsberechtigungen im Vergleich zu normalen Benutzerrechten.

Die Zuteilung und Nutzung privilegierter Zugriffsrechte muss angesichts der zusätzlichen Rechte, die normalerweise über Informationsressourcen und die sie steuernden Systeme übertragen werden, streng kontrolliert werden. Zum Beispiel die Möglichkeit, Arbeiten zu löschen oder die Integrität der Informationen grundlegend zu beeinträchtigen. Es sollte mit den formellen Autorisierungsprozessen sowie der Zugangskontrollrichtlinie übereinstimmen.

Dazu könnte Folgendes gehören: Systemweise Klarheit über privilegierte Zugriffsrechte (die innerhalb der Anwendung verwaltet werden können); Zuteilung auf Bedarfsbasis, kein pauschales Konzept; Es sollte ein Prozess und eine Aufzeichnung aller zugeteilten Rechte geführt werden (zusammen mit dem Inventar der Informationsbestände oder als Teil des A.9-Nachweises); und die Kompetenz der Benutzer, denen die Rechte gewährt wurden, muss regelmäßig überprüft werden, um sie mit ihren Pflichten in Einklang zu bringen.

Dies ist ein weiterer guter Bereich, der in das interne Audit einbezogen werden sollte, um die Kontrolle nachzuweisen.

Einer der größten Faktoren, die zu Systemausfällen oder -verletzungen beitragen, ist die unangemessene und pauschale Nutzung von Systemadministrationsrechten, wobei menschliches Versagen zu mehr Schäden oder Verlusten führt, als wenn ein „geringster Zugriff“-Ansatz gewählt würde.

Zu den weiteren bewährten Vorgehensweisen in diesem Bereich gehören die Trennung der Rolle des Systemadministrators von der Rolle des alltäglichen Benutzers und die Einrichtung eines Benutzers mit zwei Konten, wenn dieser unterschiedliche Aufgaben auf derselben Plattform ausführt.

A.9.2.4 Verwaltung geheimer Authentifizierungsinformationen von Benutzern

Geheime Authentifizierungsinformationen sind ein Tor zum Zugriff auf wertvolle Vermögenswerte. Es umfasst in der Regel Passwörter, Verschlüsselungsschlüssel usw. und muss daher durch einen formellen Verwaltungsprozess kontrolliert und gegenüber dem Benutzer vertraulich behandelt werden.

Dies ist in der Regel mit Arbeitsverträgen und Disziplinarverfahren (A.7) sowie Lieferantenpflichten (A13.2.4 und A.15) verbunden, wenn die Daten mit externen Parteien geteilt werden.

Es sollten Verfahren eingerichtet werden, um die Identität eines Benutzers zu überprüfen, bevor neue, Ersatz- oder vorübergehende geheime Authentifizierungsinformationen bereitgestellt werden. Alle standardmäßigen geheimen Authentifizierungsinformationen, die im Rahmen einer neuen Systemnutzung bereitgestellt werden, sollten so schnell wie möglich geändert werden.

A.9.2.5 Überprüfung der Benutzerzugriffsrechte

Asset-Eigentümer müssen die Zugriffsrechte der Benutzer in regelmäßigen Abständen überprüfen, sowohl im Hinblick auf individuelle Änderungen (Einstieg, Rollenwechsel und Ausstieg) als auch umfassendere Prüfungen des Systemzugriffs.

Berechtigungen für privilegierte Zugriffsrechte sollten aufgrund ihres höheren Risikocharakters in kürzeren Abständen überprüft werden. Dies knüpft an 9.2 für interne Audits an und sollte mindestens einmal jährlich oder bei größeren Änderungen durchgeführt werden.

A.9.2.6 Aufhebung oder Anpassung von Zugriffsrechten

Wie oben dargelegt, müssen die Zugriffsrechte aller Mitarbeiter und externen Benutzer auf Informationen und Informationsverarbeitungseinrichtungen bei Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung entfernt werden (oder bei Bedarf bei einem Rollenwechsel angepasst werden).

Eine gute Ausstiegspolitik und -verfahren, die auf A.7 abgestimmt sind, stellen auch sicher, dass dies erreicht und für Prüfungszwecke nachgewiesen wird, wenn Personen aus dem Unternehmen ausscheiden.

Was ist das Ziel von Anhang A.9.3?

In Anhang A.9.3 geht es um die Verantwortlichkeiten des Benutzers. Das Ziel dieser Anhang-A-Kontrolle besteht darin, Benutzer für den Schutz ihrer Authentifizierungsinformationen zur Rechenschaft zu ziehen.

A.9.3.1 Verwendung geheimer Authentifizierungsinformationen

Dabei geht es lediglich darum, sicherzustellen, dass Benutzer die Richtlinien befolgen und sich daher hinsichtlich Verträgen, Benutzerschulung für Bewusstsein und Compliance sowie Praktiken des gesunden Menschenverstands an A7 Human Resource Security halten.

Dazu gehören: Halten Sie alle geheimen Authentifizierungsinformationen vertraulich; Vermeiden Sie es, Aufzeichnungen darüber zu führen, auf die Unbefugte zugreifen können. Ändern Sie es, wann immer es Hinweise auf einen möglichen Kompromiss gibt; Wählen Sie hochwertige Passwörter mit ausreichender Mindestlänge und -stärke aus, um den umfassenderen Passwortrichtlinienkontrollen in Anhang A.9.4 zu folgen.

Was ist das Ziel von Anhang A.9.4?

In Anhang A.9.4 geht es um die System- und Anwendungszugriffskontrolle. Das Ziel dieser Anhang-A-Kontrolle besteht darin, unbefugten Zugriff auf Systeme und Anwendungen zu verhindern.

A.9.4.1 Beschränkung des Informationszugriffs

Der Zugriff auf Informationen und Anwendungssystemfunktionen muss in die Zugriffskontrollrichtlinie eingebunden werden. Zu den wichtigsten Überlegungen sollten gehören:

Diese umfassen:

• Rollenbasierte Zugriffskontrolle (RBAC);
• Zugriffsebenen;
• Design von „Menü“-Systemen innerhalb von Anwendungen;
• Lese-, Schreib-, Lösch- und Ausführungsberechtigungen;
• Einschränkung der Informationsausgabe; Und
• Physische und/oder logische Zugangskontrollen zu sensiblen Anwendungen, Daten und Systemen.

Der Prüfer prüft, ob Überlegungen zur Zugriffsbeschränkung innerhalb von Systemen und Anwendungen angestellt wurden, die Zugriffskontrollrichtlinien, Geschäftsanforderungen, Risikostufen und Aufgabentrennung unterstützen.

A.9.4.2 Sichere Anmeldeverfahren

Der Zugriff auf Systeme und Anwendungen muss durch ein sicheres Anmeldeverfahren kontrolliert werden, um die Identität des Benutzers nachzuweisen.

Dies kann über den typischen Passwortansatz hinausgehen und je nach berücksichtigtem Risiko auch Multi-Faktor-Authentifizierung, Biometrie, Smartcards und andere Verschlüsselungsmethoden umfassen.

Die sichere Anmeldung sollte so konzipiert sein, dass sie nicht einfach umgangen werden kann und dass alle Authentifizierungsinformationen verschlüsselt übertragen und gespeichert werden, um ein Abfangen und Missbrauch zu verhindern.

Die ISO 27002-Leitlinien sind zu diesem Thema von Bedeutung, ebenso wie Fachgremien wie das National Cyber ​​Security Center (NCSC). Weitere Tipps sind:

• Anmeldeverfahren sollten so gestaltet sein, dass sie nicht einfach umgangen werden können und dass etwaige Authentifizierungsinformationen verschlüsselt übertragen und gespeichert werden, um Abhören und Missbrauch zu verhindern.
• Bei den Anmeldevorgängen sollte auch eine Anzeige enthalten sein, die darauf hinweist, dass der Zugriff nur autorisierten Benutzern vorbehalten ist. Dies soll Cybersicherheitsgesetze wie die unterstützen
• Computer Misuse Act 1990 (Vereinigtes Königreich).
• Sowohl erfolgreiche als auch fehlgeschlagene An- und Abmeldungen sollten auf sichere Weise protokolliert werden, um eine forensische Beweisfähigkeit zu gewährleisten, und es sollten Warnungen bei fehlgeschlagenen Versuchen und möglichen Sperrungen berücksichtigt werden.
• Abhängig von der Art des Systems sollte der Zugriff auf bestimmte Tageszeiten oder Zeiträume beschränkt sein und möglicherweise sogar standortabhängig eingeschränkt sein.

In der Praxis sollten die Geschäftsanforderungen und gefährdeten Informationen die Anmelde- und Abmeldevorgänge bestimmen. Es lohnt sich nicht, 25 Schritte für die Anmeldung zu unternehmen, dann kurze Auszeiten zu nehmen usw., wenn die Mitarbeiter dann ihre Arbeit nicht gut machen können und unverhältnismäßig viel Zeit in dieser Schleife verbringen.

A.9.4.3 Passwortverwaltungssystem

Der Zweck eines Passwortverwaltungssystems besteht darin, sicherzustellen, dass hochwertige Passwörter dem erforderlichen Niveau entsprechen und konsistent angewendet werden.

Passwortgenerierungs- und -verwaltungssysteme bieten eine gute Möglichkeit, die Zugriffsbereitstellung zu zentralisieren, und sie dienen dazu, das Risiko zu verringern, dass Personen für alles dasselbe Login verwenden, wie in dieser kleinen Geschichte darüber veranschaulicht, was passiert, wenn ein Kunde unser Team wegen eines vergessenen Passworts kontaktiert !

Wie bei jedem Kontrollmechanismus müssen Systeme zur Passwortgenerierung und -verwaltung sorgfältig implementiert werden, um ein angemessenes und verhältnismäßiges Schutzniveau zu gewährleisten.

Wo immer möglich, sollten Benutzer ihre Passwörter selbst wählen können, da sie dadurch einfacher zu merken sind als maschinell generierte Passwörter. Allerdings muss es über eine gewisse Stärke verfügen.

Es gibt viele widersprüchliche Ansichten zu Passwortverwaltungssystemen und Passwortrichtlinien. Daher ermutigen wir Unternehmen, sich die sich häufig ändernden Best Practices anzusehen und Ansätze zu übernehmen, die auf der Risikobereitschaft und Kultur des Unternehmens basieren.

Wie oben erwähnt, ist NCSC ein guter Ort, um sich über die neuesten Praktiken zu informieren oder uns einfach zu bitten, Ihnen einen unserer Partner vorzustellen, der Ihnen Hilfe bietet.

A.9.4.4 Verwendung von Privileged Utility-Programmen

Computer-Hilfsprogramme, die möglicherweise System- und Anwendungskontrollen außer Kraft setzen können, müssen sorgfältig verwaltet werden.

Leistungsstarke System- und Netzwerkdienstprogramme können ein attraktives Ziel für böswillige Angreifer darstellen und der Zugriff darauf muss auf die kleinste Anzahl von Personen beschränkt werden. Da solche Hilfsprogramme leicht aus dem Internet gefunden und heruntergeladen werden können, ist es auch wichtig, dass die Möglichkeiten der Benutzer zur Installation jeglicher Software unter Abwägung der geschäftlichen Anforderungen und der Risikobewertung so weit wie möglich eingeschränkt werden. Die Verwendung von Hilfsprogrammen sollte regelmäßig protokolliert und überwacht/überprüft werden, um Prüferanforderungen zu erfüllen.

A.9.4.5 Zugriffskontrolle auf Programmquellcode

Der Zugriff auf den Programmquellcode muss eingeschränkt werden. Der Zugriff auf Programmquellcode und zugehörige Elemente (wie Designs, Spezifikationen, Verifizierungspläne und Validierungspläne) sollte streng kontrolliert werden.

Der Programmquellcode kann anfällig für Angriffe sein, wenn er nicht ausreichend geschützt ist, und kann einem Angreifer eine gute Möglichkeit bieten, Systeme auf häufig verdeckte Weise zu kompromittieren. Wenn der Quellcode für den Geschäftserfolg von zentraler Bedeutung ist, kann sein Verlust auch schnell den Geschäftswert zerstören.

Bei den Kontrollen sollte Folgendes berücksichtigt werden:

• So wenig Menschen wie möglich Zugang haben
• Quellcode von Betriebssystemen fernhalten (nur kompilierter Code)
• Der Zugriff auf den Quellcode wird so eingeschränkt wie möglich (deny-by-default)
• Der Zugriff auf den Quellcode wird protokolliert und die Protokolle werden regelmäßig überprüft
• Starke und strenge Änderungskontrollverfahren
• Regelmäßige Audits und Überprüfungen

Warum ist Anhang A.9 wichtig?

Anhang A.9 ist wahrscheinlich die Klausel, über die im gesamten Anhang A am meisten gesprochen wird, und einige würden behaupten, sie sei die wichtigste.

Denn Ihr gesamtes Informationssicherheits-Managementsystem (ISMS) basiert darauf, sicherzustellen, dass die richtigen Personen zur richtigen Zeit Zugriff auf die richtigen Informationen haben. Das Richtige zu tun ist einer der Schlüssel zum Erfolg, aber wenn man es falsch macht, kann es enorme Auswirkungen auf Ihr Unternehmen haben.

Stellen Sie sich vor, Sie hätten versehentlich den falschen Personen Zugriff auf vertrauliche Mitarbeiterinformationen gewährt, indem Sie beispielsweise preisgegeben hätten, was jeder im Unternehmen verdient.

Die Konsequenzen, wenn dieser Teil falsch gemacht wird, können erheblich sein, daher lohnt es sich, ausreichend Zeit damit zu verbringen, alles gründlich zu durchdenken.