ISO 27001:2022 Anhang A 5.15 – Zugangskontrolle

Zugriffskontrollrichtlinie

Um den Zugriff auf Vermögenswerte im Rahmen einer Organisation zu verwalten, muss eine Zugriffskontrollrichtlinie entwickelt, dokumentiert und regelmäßig überprüft werden.

Die Zugriffskontrolle regelt, wie menschliche und nichtmenschliche Einheiten in einem Netzwerk auf Daten, IT-Ressourcen und Anwendungen zugreifen.

Mit den Informationen verbundene Informationssicherheitsrisiken und die Bereitschaft der Organisation, sie zu verwalten, sollten sich in den Regeln, Rechten und Einschränkungen sowie der Tiefe der verwendeten Kontrollen widerspiegeln. Es geht lediglich darum zu entscheiden, wer wie viel Zugriff auf was hat und wer nicht.

Es ist möglich, digitale und physische Zugangskontrollen einzurichten, z. B. die Beschränkung der Benutzerkontoberechtigungen oder die Beschränkung des Zugangs zu bestimmten physischen Standorten (im Einklang mit Anhang A.7 Physische und Umgebungssicherheit). Die Richtlinie sollte die folgenden Überlegungen berücksichtigen:

• Es ist wichtig, die Sicherheitsanforderungen von Geschäftsanwendungen an das verwendete Informationsklassifizierungsschema gemäß Anhang A 5.9, 5.10, 5.11, 5.12, 5.13 und 7.10 in Bezug auf Asset Management anzupassen.
• Identifizieren Sie, wer Zugang zu Informationen, Kenntnis davon und Nutzung von Informationen benötigt – begleitet von klar definierten Verfahren und Verantwortlichkeiten.
• Stellen Sie sicher, dass Zugriffsrechte und Privilegien Zugriffsrechte (mehr Macht – siehe unten) werden effektiv verwaltet, einschließlich der Hinzufügung von Änderungen im Leben (z. B. Kontrollen für Superuser/Administratoren) und regelmäßigen Überprüfungen (z. B. periodisch). interne Audits gemäß Anforderung Anhang A 5.15, 5.16, 5.17, 5.18 und 8.2).
• Ein formelles Verfahren und definierte Verantwortlichkeiten sollten die Zugangskontrollregeln unterstützen.

Es ist wichtig, die Zugangskontrolle zu überprüfen, wenn sich die Rollen ändern, insbesondere beim Verlassen, um Anhang A.7 „Personalsicherheit“ einzuhalten.

Den Benutzern stehen Netzwerk- und Netzwerkdienste zur Verfügung

Ein allgemeiner Schutzansatz ist der des geringsten Zugriffs anstelle von uneingeschränktem Zugriff und Superuser-Rechten ohne sorgfältige Überlegung.

Daher sollte Benutzern lediglich Zugriff auf gewährt werden Netzwerke und Netzwerkdienste zur Erfüllung ihrer Aufgaben verpflichtet sind. Die Politik muss Folgendes ansprechen: Die für den Zugriff vorgesehenen Netzwerke und Netzwerkdienste; Berechtigungsverfahren zur Darstellung, wer (rollenbasiert) wann auf was zugreifen darf; und Managementkontrollen und -verfahren, um den Zugriff zu verhindern und im Falle eines Vorfalls zu überwachen.

Beim Onboarding und Offboarding sollte auch dieser Aspekt berücksichtigt werden, der eng mit der Zugangskontrollrichtlinie zusammenhängt.

Zweck von ISO 27001:2022 Anhang A 5.15

Als vorbeugende Kontrolle verbessert Anhang A 5.15 die grundlegende Fähigkeit einer Organisation, den Zugriff auf Daten und Vermögenswerte zu kontrollieren.

Ein konkreter Satz von kommerzielle und Informationssicherheit Bedürfnisse müssen erfüllt sein, bevor der Zugriff auf Ressourcen gemäß Anhang A Kontrolle 5.15 gewährt und geändert werden kann.

ISO 27001 Anhang A 5.15 bietet Richtlinien zur Erleichterung des sicheren Zugriffs auf Daten und zur Minimierung des Risikos eines unbefugten Zugriffs auf physische und virtuelle Netzwerke.

Eigentum an Anlage A 5.15

Wie in Anhang A 5.15 dargestellt, sind Führungskräfte in verschiedenen Bereichen eines Die Organisation muss ein umfassendes Verständnis aufrechterhalten auf welche Ressourcen zugegriffen werden muss (z. B. Zusätzlich zur Information der Personalabteilung über ihre Jobrollen, die ihre RBAC-Parameter vorgeben, sind Zugriffsrechte letztendlich eine Wartungsfunktion, die von Netzwerkadministratoren gesteuert wird.

Die Eigentumsrechte einer Organisation gemäß Anhang A 5.15 sollten bei einem Mitglied der Geschäftsleitung liegen, das über die übergreifende technische Autorität über die Domänen, Subdomänen, Anwendungen, Ressourcen und Vermögenswerte des Unternehmens verfügt. Das könnte der Leiter der IT sein.

Allgemeine Leitlinien zu ISO 27001:2022, Anhang 5.15

Für die Einhaltung von ISO 27001:2022 Annex A Control 5.15 ist ein themenspezifischer Ansatz zur Zugangskontrolle erforderlich (allgemein bekannt als themenspezifischer Ansatz).

Anstatt sich an eine pauschale Zugriffskontrollrichtlinie zu halten, die für den Ressourcen- und Datenzugriff im gesamten Unternehmen gilt, ermutigen themenspezifische Ansätze Unternehmen, Zugriffskontrollrichtlinien zu erstellen, die auf einzelne Geschäftsfunktionen abzielen.

In allen themenspezifischen Bereichen verlangt Annex A Control 5.15, dass Richtlinien zur Zugriffskontrolle die folgenden 11 Punkte berücksichtigen. Einige dieser Richtlinien überschneiden sich mit anderen Richtlinien.

Als Richtlinie sollten Organisationen von Fall zu Fall die begleitenden Kontrollen konsultieren, um weitere Informationen zu erhalten:

• Identifizieren Sie, welche Unternehmen Zugriff auf bestimmte Vermögenswerte und Informationen benötigen.
• Die einfachste Möglichkeit, Compliance sicherzustellen, besteht darin, eine Aufzeichnung der Aufgabenbereiche und Datenzugriffsanforderungen entsprechend der Organisationsstruktur Ihrer Organisation zu führen.
• Sicherheit und Integrität aller relevanten Anwendungen (verknüpft mit Control 8.2).
• Eine formelle Risikobewertung könnte durchgeführt werden, um die Sicherheitsmerkmale einzelner Anwendungen zu bewerten.
• Die Kontrolle des physischen Zugangs zu einer Site (Links zu den Kontrollen 7.2, 7.3 und 7.4).
• Im Rahmen Ihres Compliance-Programms muss Ihre Organisation über eine Reihe robuster Gebäude- und Raumzugangskontrollen verfügen, einschließlich verwalteter Zugangssysteme, Sicherheitsbereiche und Besucherverfahren, sofern angemessen.
• Wenn es um die Verteilung, Sicherheit und Kategorisierung von Informationen geht, sollte in der gesamten Organisation das „Need-to-know“-Prinzip angewendet werden (verknüpft mit 5.10, 5.12 und 5.13).
• Unternehmen sollten sich an strenge Best-Practice-Richtlinien halten, die keinen pauschalen Zugriff auf Daten über die gesamte Hierarchie einer Organisation hinweg ermöglichen.
• Stellen Sie sicher, dass privilegierte Zugriffsrechte eingeschränkt sind (bezogen auf 8.2).
• Die Zugriffsrechte von Benutzern, denen über die eines Standardbenutzers hinaus Zugriff auf Daten gewährt wird, müssen überwacht und geprüft werden.
• Stellen Sie sicher, dass alle geltenden Gesetze, branchenspezifischen Regulierungsrichtlinien oder vertraglichen Verpflichtungen in Bezug auf den Datenzugriff eingehalten werden (siehe 5.31, 5.32, 5.33, 5.34 und 8.3).
• Die Zugriffskontrollrichtlinien einer Organisation werden an externe Verpflichtungen in Bezug auf Datenzugriff, Vermögenswerte und Ressourcen angepasst.
• Mögliche Interessenkonflikte im Auge behalten.
• Die Richtlinien sollten Kontrollen umfassen, um zu verhindern, dass eine Person eine umfassendere Zugriffskontrollfunktion basierend auf ihren Zugriffsebenen gefährdet (z. B. einen Mitarbeiter, der Änderungen an einem Netzwerk anfordern, autorisieren und implementieren kann).
• Eine Zugriffskontrollrichtlinie sollte die drei Hauptfunktionen – Anfragen, Autorisierungen und Verwaltung – unabhängig voneinander abdecken.
• Eine Richtlinie zur Zugangskontrolle muss anerkennen, dass sie trotz ihres eigenständigen Charakters mehrere Einzelschritte umfasst, von denen jeder seine Anforderungen enthält.
• Um die Einhaltung der Anforderungen von 5.16 und 5.18 sicherzustellen, sollten Zugriffsanfragen auf strukturierte und formelle Weise bearbeitet werden.
• Organisationen sollten formelle Autorisierungsprozesse implementieren, die eine formelle, dokumentierte Genehmigung des entsprechenden Personals erfordern.
• Zugriffsrechte laufend verwalten (verknüpft mit 5.18).
• Um die Datenintegrität und Sicherheitsbereiche aufrechtzuerhalten, sind regelmäßige Audits, HR-Überwachung (Abgänge usw.) und arbeitsplatzspezifische Änderungen (z. B. Abteilungswechsel und Rollenänderungen) erforderlich.
• Aufrechterhaltung angemessener Protokolle und Kontrolle des Zugriffs darauf. Compliance – Organisationen sollten Daten zu Zugriffsereignissen (z. B. Dateiaktivitäten) sammeln und speichern, sich vor unbefugtem Zugriff auf Sicherheitsereignisprotokolle schützen und a befolgen umfassendes Incident-Management Strategie.

Ergänzende Anleitung zu Anhang 5.15

Gemäß der ergänzenden Anleitung erwähnt ISO 27001:2022 Annex A Control 5.15 (ohne sich darauf zu beschränken) vier verschiedene Arten der Zugangskontrolle, die grob wie folgt klassifiziert werden können:

• Mandatory Access Control (MAC) – Der Zugriff wird zentral von einer einzigen Sicherheitsbehörde verwaltet.
• Eine Alternative zu MAC ist die diskretionäre Zugriffskontrolle (DAC), bei der der Eigentümer des Objekts anderen Berechtigungen innerhalb des Objekts gewähren kann.
• Ein Zugriffskontrollsystem, das auf vordefinierten Jobfunktionen und Berechtigungen basiert, wird als rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC) bezeichnet.
• Mithilfe der attributbasierten Zugriffskontrolle (ABAC) werden Benutzerzugriffsrechte auf der Grundlage von Richtlinien gewährt, die Attribute kombinieren.

Richtlinien zur Implementierung von Zugriffskontrollregeln

Wir haben besprochen, dass Zugriffskontrollregeln verschiedenen in einem Netzwerk agierenden (menschlichen und nichtmenschlichen) Einheiten gewährt werden, denen Rollen zugewiesen werden, die ihre Gesamtfunktion definieren.

Bei der Definition und Umsetzung der Zugangskontrollrichtlinien Ihrer Organisation werden Sie in Anhang A 5.15 aufgefordert, die folgenden vier Faktoren zu berücksichtigen:

1. Die Konsistenz zwischen den Daten, für die das Zugriffsrecht gilt, und der Art des Zugriffsrechts muss gewahrt bleiben.
2. Es ist wichtig, die Konsistenz zwischen den Zugriffsrechten Ihrer Organisation und den physischen Sicherheitsanforderungen (Perimeter usw.) sicherzustellen.
3. Zugriffsrechte in einer verteilten Computerumgebung (z. B. einer Cloud-basierten Umgebung) berücksichtigen die Auswirkungen von Daten, die sich in einem breiten Spektrum von Netzwerken befinden.
4. Berücksichtigen Sie die Auswirkungen dynamischer Zugriffskontrollen (eine granulare Methode zum Zugriff auf einen detaillierten Satz von Variablen, die von einem Systemadministrator implementiert wird).

Verantwortlichkeiten festlegen und den Prozess dokumentieren

Gemäß ISO 27001:2022 Annex A Control 5.15 müssen Organisationen eine strukturierte Liste von Verantwortlichkeiten und Dokumentationen entwickeln und pflegen. Es gibt zahlreiche Ähnlichkeiten in der gesamten Liste der Kontrollen der ISO 27001:2022, wobei Anhang A 5.15 die relevantesten Anforderungen enthält:

Dokumentation

• ISO 27001:2022 Anhang A 5.16
• ISO 27001:2022 Anhang A 5.17
• ISO 27001:2022 Anhang A 5.18
• ISO 27001:2022 Anhang A 8.2
• ISO 27001:2022 Anhang A 8.3
• ISO 27001:2022 Anhang A 8.4
• ISO 27001:2022 Anhang A 8.5
• ISO 27001:2022 Anhang A 8.18

Aufgaben

• ISO 27001:2022 Anhang A 5.2
• ISO 27001:2022 Anhang A 5.17

Körnung

Control 5.15 von Anhang A bietet Organisationen erhebliche Freiheit bei der Festlegung der Granularität ihrer Zugriffskontrollrichtlinien.

Im Allgemeinen empfiehlt die ISO Unternehmen, ihr eigenes Urteilsvermögen hinsichtlich der Detailliertheit eines bestimmten Regelwerks für jeden einzelnen Mitarbeiter zu nutzen und wie viele Variablen auf eine bestimmte Information angewendet werden sollten.

Insbesondere wird in Anhang A 5.15 anerkannt, dass die Kosten umso höher sind und das Konzept der Zugangskontrolle über mehrere Standorte, Netzwerktypen und Anwendungsvariablen hinweg umso anspruchsvoller wird, je detaillierter die Zugangskontrollrichtlinien eines Unternehmens sind.

Wenn die Zugangskontrolle nicht sorgfältig verwaltet wird, kann sie sehr schnell außer Kontrolle geraten. Es ist ratsam, die Zugangskontrollregeln zu vereinfachen, um sicherzustellen, dass sie einfacher zu verwalten und kosteneffizienter sind.

Portfolio

Mit der ISO 27001-Zertifizierung verwandelt MIRACL Vertrauen in einen Wettbewerbsvorteil

Case Study lesen

Portfolio

Xergys Tool Proteus generiert Wachstum durch ISO 27001-Konformität mit ISMS.online

Case Study lesen

← →

Was sind die Änderungen gegenüber ISO 27001:2013?

Anhang A 5.15 in 27001:2022 ist eine Zusammenführung zweier ähnlicher Kontrollen in 27001:2013 – Anhang A 9.1.1 (Zugriffskontrollrichtlinie) und Anhang A 9.1.2 (Zugang zu Netzwerken und Netzwerkdiensten).

Die zugrunde liegenden Themen von A.9.1.1 und A.9.1.2 ähneln denen in Anhang A 5.15, abgesehen von einigen subtilen betrieblichen Unterschieden.

Wie im Jahr 2022 beziehen sich beide Kontrollen auf die Verwaltung des Zugriffs auf Informationen, Vermögenswerte und Ressourcen und basieren auf dem „Need-to-know“-Prinzip, bei dem Unternehmensdaten als eine Ware behandelt werden, die sorgfältig verwaltet und geschützt werden muss.

Es gibt 11 maßgebliche Richtlinien in 27001:2013 Anhang A 9.1.1, die alle denselben allgemeinen Grundsätzen folgen wie 27001:2022 Anhang A Kontrolle 5.15 mit einem etwas stärkeren Schwerpunkt auf Perimetersicherheit und physischer Sicherheit.

Im Allgemeinen gelten dieselben Implementierungsrichtlinien für die Zugangskontrolle, aber die Kontrolle von 2022 bietet in ihren vier Implementierungsrichtlinien viel prägnantere und praktischere Anleitungen.

Die in ISO 27001:2013 Anhang A 9.1.1 verwendeten Arten von Zugangskontrollen haben sich geändert

Wie in ISO 27001 Anhang A 5.15 dargelegt, sind in den letzten neun Jahren verschiedene Formen der Zugangskontrolle entstanden (MAC, DAC, ABAC), während in 27001:2013 Anhang A Kontrolle 9.1.1 die primäre Methode der kommerziellen Zugangskontrolle darstellt Zeit war RBAC.

Granularitätsgrad

Die Kontrollen von 2013 müssen aussagekräftige Richtlinien dafür enthalten, wie eine Organisation angesichts technologischer Veränderungen, die Organisationen eine verbesserte Kontrolle über ihre Daten ermöglichen, an detaillierte Zugriffskontrollen herangehen sollte.

Im Gegensatz dazu bietet Anhang A 5.15 der 27001:2022 Organisationen erhebliche Flexibilität.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

Wie kann ISMS.online helfen?

Anhang A 5.15 von ISO 27001:2022 ist wahrscheinlich der am meisten diskutierte Abschnitt in Anhang A, und einige behaupten, er sei der wichtigste.

Ihr Informationssicherheits-Managementsystem (ISMS) soll sicherstellen, dass die entsprechenden Personen zur richtigen Zeit Zugriff auf die richtigen Informationen haben. Einer der Schlüssel zum Erfolg liegt darin, es richtig zu machen, aber wenn man es falsch macht, kann es sich negativ auf Ihr Unternehmen auswirken.

Stellen Sie sich das Szenario vor, in dem Sie versehentlich vertrauliche Mitarbeiterinformationen an die falschen Personen weitergegeben haben, beispielsweise die Bezahlung aller Mitarbeiter im Unternehmen.

Wenn Sie nicht aufpassen, kann es schwerwiegende Folgen haben, wenn Sie dieses Teil falsch ausführen. Daher ist es unbedingt erforderlich, dass Sie sich die Zeit nehmen, alle Aspekte sorgfältig zu prüfen, bevor Sie fortfahren.

In dieser Hinsicht unsere Plattform kann eine echte Bereicherung sein. Denn es folgt der gesamten Struktur der ISO 27001 und ermöglicht Ihnen die Übernahme, Anpassung und Bereicherung der von uns für Sie bereitgestellten Inhalte, was Ihnen einen erheblichen Vorsprung verschafft.

Holen Sie sich einen Holen Sie sich noch heute die kostenlose Demo von ISMS.online.