ISO 27001:2022 Anhang A 8.2 – Privilegierte Zugriffsrechte

• Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 8.2 .
• Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 9.2.3 .

Was ist der Zweck von ISO 27001:2022 Anhang A 8.2?

In kommerziellen Netzwerken auf der ganzen Welt ist der Missbrauch oder Missbrauch erhöhter Systemadministratorrechte eine wesentliche Ursache für IKT-Störungen.

Durch die Verwendung privilegierter Zugriffsrechte können Organisationen Zugriff kontrollieren auf ihre Infrastruktur, Anwendungen, Assets und Daten.

ISO 27001:2022 Anhang A 8.2 legt einen Autorisierungsprozess zur Bearbeitung aller Zugriffsanfragen auf die IKT-Netzwerke und -Ressourcen einer Organisation fest. es ist ein vorbeugende Kontrolle entwickelt, um Risiko aufrechterhalten.

Wem gehört Anhang A 8.2?

Eine Organisation kann den Zugriff auf Daten durch erweiterte Zugriffsrechte steuern, die mit Benutzerkonten verknüpft sind, wie in Anhang A 8.6 beschrieben.

Dies bedeutet, dass die Fähigkeit der Organisation, privilegierte Domänen- oder Anwendungsbenutzerkonten zu verwalten und zu überwachen, in der Verantwortung der Organisation liegen sollte Leiter Informationstechnologie (oder gleichwertig).

Allgemeine Leitlinien zu ISO 27001:2022 Anhang A 8.2

ISO 27001:2022 Anhang A 8.2 beschreibt 12 Hauptleitpunkte, die Unternehmen auf der Grundlage einer „themenspezifischen“ Richtlinie zur Zugangskontrolle (siehe Anhang A 5.15) befolgen sollten, die auf bestimmte Geschäftsfunktionen abzielen.

Für Organisationen ist es von entscheidender Bedeutung:

1. Erstellen Sie eine Liste der Benutzer, die einen beliebigen Grad an privilegiertem Zugriff benötigen – sei es auf ein einzelnes System, eine Anwendung oder das zugrunde liegende Betriebssystem.
2. Stellen Sie sicher, dass Benutzern privilegierte Zugriffsrechte „Ereignis für Ereignis“ zugewiesen werden – Benutzern sollten Zugriffsrechte auf der Grundlage des absoluten Minimums gewährt werden, das sie zur Erfüllung ihrer Aufgaben benötigen.
3. Führen Sie eine Aufzeichnung aller gewährten Zugriffsrechte und legen Sie einen unkomplizierten Autorisierungsprozess für alle Anfragen nach privilegiertem Zugriff fest.
4. Zugriffsrechte müssen mit entsprechenden Ablaufdaten versehen sein.
5. Benutzer sollten ausdrücklich darauf hingewiesen werden, wenn sie mit privilegiertem Zugriff auf ein System arbeiten.
6. Gegebenenfalls werden Benutzer gebeten, sich erneut zu authentifizieren, bevor sie privilegierte Zugriffsrechte nutzen, um die Sicherheit von Informationen und Daten zu erhöhen.
7. Regelmäßige Prüfung privilegierte Zugriffsrechte, insbesondere nach einer Zeit organisatorischer Veränderungen. Die Zugriffsrechte sollten anhand der „Pflichten, Rollen, Verantwortlichkeiten und Kompetenzen“ der Benutzer überprüft werden (siehe Anhang A 5.18).
8. Erwägen Sie ein „Break-Glass“-Verfahren, also die Gewährung privilegierter Zugriffsrechte innerhalb streng kontrollierter Zeitrahmen, die die Mindestanforderungen für die Durchführung eines Vorgangs erfüllen (kritische Änderungen, Systemadministration usw.).
9. Stellen Sie sicher, dass alle Aktivitäten mit privilegiertem Zugriff protokolliert werden.
10. Standardisierte Benutzernamen und Passwörter (siehe Anhang A 5.17) sollten für die Systemanmeldung nicht verwendet werden.
11. Behalten Sie eine Richtlinie bei, Benutzern separate Identitäten zuzuweisen, um privilegierte Zugriffsrechte besser zu kontrollieren. Dadurch können diese Identitäten gruppiert werden, wobei der zugehörigen Gruppe unterschiedliche Zugriffsebenen gewährt werden.
12. Stellen Sie sicher, dass privilegierte Zugriffsrechte für Aufgaben reserviert sind, die für das ordnungsgemäße Funktionieren eines IKT-Netzwerks von entscheidender Bedeutung sind, wie z. B. Netzwerkverwaltung und -wartung.

Begleitende Anhang-A-Kontrollen

• ISO 27001:2022 Anhang A 5.15

Was sind die Änderungen gegenüber ISO 27001:2013?

ISO 27001:2022 Anhang A 8.2 ersetzt ISO 27001:2013 Anhang A 9.2.3 („Verwaltung privilegierter Zugriffsrechte“).

Anhang A 8.2 der ISO 27001:2022 enthält fünf wichtige Leitpunkte, die im Gegenstück von 2013 nicht enthalten waren:

1. In Anhang A 8.2 wird für den privilegierten Zugriff nicht ausdrücklich eine andere Benutzerkennung gefordert.
2. Anhang A 8.2 betont die Notwendigkeit einer erneuten Authentifizierung vor dem Erhalt privilegierter Zugriffsrechte.
3. Bei der Durchführung kritischer Wartungsaufgaben auf der Grundlage streng kontrollierter Zeitfenster in Anhang A 8.2 wird ein Ansatz zur Glasbruchsicherung empfohlen.
4. Anhang A 8.2 verlangt von Organisationen, zu Prüfzwecken detaillierte Protokolle über den privilegierten Zugriff zu führen.
5. Anhang A 8.2 verlangt von Organisationen, privilegierte Zugriffsrechte auf Verwaltungsaufgaben zu beschränken.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

Wie ISMS.online hilft

Mithilfe unserer cloudbasierten Plattform und Tools können Unternehmen eine einrichten Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001:2022.

Zu diesen Tools gehören:

1. Vorlagen für gängige Unternehmensdokumente.
2. Vordefinierte Richtlinien und Verfahren.
3. Unterstützung interner Audits mit einem Audit-Tool.
4. Ein Genehmigungsworkflow für alle an Richtlinien und Verfahren vorgenommenen Änderungen.
5. Checkliste, um sicherzustellen, dass Ihre Informationssicherheitsrichtlinien und Prozesse folgen internationalen Standards.

Bitte informieren Sie sich über den gesamten Funktionsumfang unseres Toolkits unter eine Demo buchen.