ISO 27002:2022, Kontrolle 5.15 – Zugangskontrolle

Überarbeitete ISO 27002:2022-Kontrollen

Live-Demo buchen

nahaufnahme,gruppe,jung,mitarbeiter,zusammen,diskutieren,kreativ,projekt,während,arbeit

Die Zugriffskontrolle regelt die Art und Weise, wie menschlichen und nichtmenschlichen Einheiten in einem bestimmten Netzwerk Zugriff auf Daten, IT-Ressourcen und Anwendungen gewährt wird.

Gemäß den ergänzenden Leitlinien erwähnt Control 5.15 vier verschiedene Arten der Zugangskontrolle (beschränkt sich aber nicht darauf), die grob wie folgt klassifiziert werden können:

  • Obligatorische Zugangskontrolle (MAC) – Der Zugriff wird zentral von einer einzigen Sicherheitsbehörde verwaltet.
  • Diskretionäre Zugriffskontrolle (DAC) – Die entgegengesetzte Methode zu MAC, bei der Objektbesitzer Berechtigungen an andere Benutzer weitergeben können.
  • Rollenbasierte Zugriffskontrolle (RBAC) – Die gebräuchlichste Art der kommerziellen Zugriffskontrolle, basierend auf vordefinierten Jobfunktionen und Privilegien.
  • Attributbasierte Zugriffskontrolle (ABAC) – Zugriffsrechte werden Benutzern durch die Verwendung von Richtlinien gewährt, die Attribute miteinander kombinieren.

Sinn

5.15 ist eine vorbeugende Kontrolle hält das Risiko aufrecht durch die Verbesserung der grundlegenden Fähigkeiten einer Organisation um den Zugriff auf Daten und Vermögenswerte zu kontrollieren.

In Abschnitt 5.15 heißt es ausdrücklich, dass der Zugriff auf Ressourcen auf der Grundlage konkreter kommerzieller und informationeller Sicherheitsanforderungen gewährt und geändert werden sollte.

Organisationen sollten 5.15 implementieren, um den sicheren Zugriff auf Daten zu erleichtern und das Risiko eines unbefugten Zugriffs auf ihr Netzwerk – sei es physisch oder virtuell – zu minimieren.

Attributtabelle

SteuerungsartEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit #Integrität #Verfügbarkeit#Schützen#Identitäts- und Zugriffsverwaltung#Schutz

Impressum

Während 5.15 darauf angewiesen ist, dass Führungskräfte aus verschiedenen Teilen einer Organisation genau wissen, wer Zugriff auf welche Ressourcen benötigt (z. B. die Personalabteilung informiert über die Jobrolle eines Mitarbeiters, die wiederum seine RBAC-Parameter diktiert), sind Zugriffsrechte letztendlich eine Wartungsfunktion, die werden von Mitarbeitern mit Administratorrechten für ein bestimmtes Netzwerk gesteuert.

Daher sollte die Verantwortung für 5.15 bei einem Mitglied der Geschäftsleitung liegen, das über die übergreifende technische Autorität für die Domänen, Subdomänen, Anwendungen, Ressourcen und Vermögenswerte einer Organisation verfügt, beispielsweise ein IT-Leiter.

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Allgemeine Anleitung

Zur Einhaltung von Control 5.15 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zur Zugangskontrolle (besser bekannt als „problemspezifischer“ Ansatz).

Themenspezifische Ansätze ermutigen Organisationen, Access zu schaffen Kontrollrichtlinien die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine pauschale Zugriffskontrollrichtlinie zu halten, die für den gesamten Daten- und Ressourcenzugriff gilt.

Control 5.15 erfordert Zugriffskontrollrichtlinien in allen themenspezifischen Bereichen, um die folgenden 11 Leitpunkte zu berücksichtigen. Einige der folgenden Leitpunkte überschneiden sich mit verschiedenen anderen Steuerelementen, die als Referenz aufgeführt sind.

Für weitere Informationen sollten Organisationen diese begleitenden Kontrollen im Einzelfall konsultieren.

  • Bestimmen Sie, welche Entitäten Zugriff auf bestimmte Teile benötigen Informationen und/oder Vermögenswerte.

    Compliance – Dies lässt sich leicht erreichen, indem Sie eine genaue Aufzeichnung der Jobrollen und Datenzugriffsanforderungen führen, die Ihrer Organisationsstruktur entspricht.

  • Die Integrität und Sicherheit aller relevanten Anwendungen (verknüpft mit Control 8.2)

    Compliance – Eine formelle Risikobewertung durchgeführt werden, um die Sicherheitseigenschaften einzelner Anwendungen zu untersuchen.

  • Physische Zugangskontrollen (Standort) (verknüpft mit den Kontrollen 7.2, 7.3 und 7.4)

    Compliance – Ihre Organisation muss nachweisen können, dass Sie über solide Gebäude- und Raumzugangskontrollen verfügt, einschließlich verwalteter Zugangssysteme, Sicherheitsbereiche und Besucherverfahren, sofern angemessen.

  • Ein unternehmensweites „Need-to-know“-Prinzip, wenn es um Informationsverteilung, Sicherheit und Kategorisierung geht (verknüpft mit 5.10, 5.12 und 5.13)

    Compliance – Unternehmen sollten sich an strenge Best-Practice-Richtlinien halten, die keinen pauschalen Zugriff auf Daten in einem Organigramm ermöglichen.

  • Einschränkungen privilegierter Zugriffsrechte sicherstellen (verknüpft mit 8.2)

    Compliance – Datenzugriffsrechte, die über die eines Standardbenutzers hinausgehen, müssen genau sein überwacht und geprüft.

  • Einhaltung aller geltenden Gesetze, branchenspezifischen Regulierungsrichtlinien oder vertraglichen Verpflichtungen im Zusammenhang mit dem Datenzugriff (verknüpft mit 5.31, 5.32, 5.33, 5.34 und 8.3)

    Compliance – Organisationen passen ihre eigenen Zugriffskontrollrichtlinien an alle externen Verpflichtungen an, die sie in Bezug auf den Daten-, Asset- und Ressourcenzugriff haben.

  • Überwachung potenzieller Pflichtenkonflikte

    Compliance – Richtlinien sollten Kontrollen beinhalten, die verhindern, dass eine Person eine umfassendere Zugriffskontrollfunktion gefährden kann, die auf ihren eigenen Zugriffsebenen basiert (z. B. ein Mitarbeiter, der Änderungen an einem Netzwerk anfordern, autorisieren und implementieren kann).

  • Die drei Hauptfunktionen einer Zugriffskontrollrichtlinie – Anfragen, Autorisierungen und Verwaltung – sollten isoliert behandelt werden

    Compliance – Richtlinien zur Zugriffskontrolle müssen anerkennen, dass die Zugriffskontrolle zwar eine eigenständige Funktion ist, aber aus einer Reihe einzelner Schritte besteht, die themenspezifisch ihre eigenen Anforderungen erfüllen.

  • Zugriffsanfragen sollten auf strukturierte und formelle Weise bearbeitet werden (verknüpft mit 5.16 und 5.18).

    Compliance – Organisationen sollten einen Autorisierungsprozess implementieren, der eine formelle, dokumentierte Genehmigung eines geeigneten Mitarbeiters erfordert.

  • Laufende Verwaltung der Zugriffsrechte (verknüpft mit 5.18)

    Compliance – Datenintegrität und Sicherheitsbereiche müssen durch einen kontinuierlichen Zyklus regelmäßiger Audits, HR-Überwachung (Abgänge usw.) und berufsspezifischer Änderungen (z. B. Abteilungswechsel und Rollenänderungen) aufrechterhalten werden.

  • Pflege angemessener Protokolle und Kontrolle des Zugriffs darauf

    Compliance – Die Organisation sollte Daten zu Zugriffsereignissen (z. B. Dateiaktivitäten) sammeln und speichern sowie Sicherheitsereignisprotokolle vor unbefugtem Zugriff schützen und mit einem umfassenden Satz von Maßnahmen arbeiten Vorfallmanagement Verfahren.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Anleitung zur Implementierung von Zugriffskontrollregeln

Wie wir besprochen haben, werden Zugriffskontrollregeln verschiedenen (menschlichen und nichtmenschlichen) Einheiten gewährt, die in einem bestimmten Netzwerk vorhanden sind, denen wiederum „Rollen“ zugewiesen werden, die ihre Gesamtanforderungen vorgeben.

Während Ihre Organisation ihre eigenen Zugriffskontrollrichtlinien definiert und umsetzt, werden Sie in Version 5.15 aufgefordert, die folgenden vier Punkte zu berücksichtigen:

  1. Stellen Sie die Konsistenz zwischen dem Zugriffsrecht und der Art der Daten sicher, für die es gilt.
  2. Stellen Sie die Konsistenz zwischen dem Zugriffsrecht und dem sicher physische Sicherheitsanforderungen Ihrer Organisation (Umfang usw.).
  3. Wenn Ihre Organisation in einer verteilten Computerumgebung arbeitet, die mehrere unterschiedliche Netzwerke oder Ressourcensätze umfasst (z. B. eine cloudbasierte Umgebung), berücksichtigen Zugriffsrechte die Auswirkungen von Daten, die in einer breiten Palette von Netzwerkdiensten enthalten sind.
  4. Bedenken Sie die Auswirkungen dynamischer Zugriffskontrollen (eine granulare Zugriffsmethode, die von Systemadministratoren auf einen detaillierten Satz von Variablen implementiert wird).

Dokumentation und definierte Verantwortlichkeiten

Control 5.15 verlangt ausdrücklich von Organisationen, sich mit der Dokumentation und einer strukturierten Liste von Verantwortlichkeiten zu befassen. ISO 27002 enthält zahlreiche ähnliche Anforderungen in der gesamten Liste der Kontrollen – hier sind die einzelnen Kontrollen, die für 5.15 am relevantesten sind:

Dokumentation

  • 5.16
  • 5.17
  • 5.18
  • 8.2
  • 8.3
  • 8.4
  • 8.5
  • 8.18

Aufgaben

  • 5.2
  • 5.17

Körnung

Control 5.15 gibt Unternehmen einen erheblichen Spielraum bei der Auswahl des Granularitätsgrads ihrer Zugriffskontrollregeln.

ISO rät Unternehmen, ihre eigene Beurteilung darüber vorzunehmen, wie detailliert ein bestimmtes Regelwerk für jeden einzelnen Mitarbeiter sein muss und wie viele Zugriffsvariablen auf beliebige Daten angewendet werden.

5.15 erkennt ausdrücklich an, dass je detaillierter die Zugangskontrollrichtlinien eines Unternehmens sind, desto höher sind die Kosten und desto schwieriger wird das gesamte Konzept der Zugangskontrolle über mehrere Standorte, Netzwerktypen und Anwendungsvariablen hinweg.

Das Konzept der Zugangskontrolle kann schnell außer Kontrolle geraten, wenn es nicht sorgfältig verwaltet wird. Es ist fast immer eine gute Idee, die Zugriffskontrollregeln zu vereinfachen, um sie einfacher und kostengünstiger verwalten zu können.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Änderungen gegenüber ISO 27002:2013

27002:2013/5.15 ist eine Zusammenführung zweier ähnlicher Kontrollen in 27002:2013 – 9.1.1 (Zugriffskontrollrichtlinie) und 9.1.2 (Zugang zu Netzwerken und Netzwerkdiensten).

Im Allgemeinen befassen sich 9.1.1 und 9.1.2 mit denselben zugrunde liegenden Themen wie 5.15 und folgen im Großen und Ganzen denselben Governance-Richtlinien, mit einigen subtilen betrieblichen Unterschieden.

Sowohl die Kontrollen von 2022 als auch von 2013 befassen sich mit der Verwaltung des Zugriffs auf Informationen, Vermögenswerte und Ressourcen und basieren auf dem „Need-to-know“-Prinzip, bei dem Unternehmensdaten als eine Ware behandelt werden, die sorgfältig verwaltet und geschützt werden muss.

Alle 27002 maßgeblichen Richtlinien von 2013:9.1.1/11 folgen den gleichen allgemeinen Leitlinien wie in 27002:2013/5.15, wobei letztere einen etwas größeren Schwerpunkt auf physischer Sicherheit und Perimetersicherheit legt.

Die unterstützenden Leitlinien zur Implementierung der Zugangskontrolle sind im Großen und Ganzen die gleichen, die Kontrolle von 2022 leistet jedoch viel bessere Arbeit, indem sie präzise, ​​praktische Anleitungen für alle vier Implementierungsrichtlinien bietet.

Änderungen in den Arten der Zugangskontrolle ab 9.1.1

5.15 erkennt die verschiedenen Arten von Zugangskontrollmethoden an, die in den letzten 9 Jahren entstanden sind (MAC, DAC, ABAC), während 27002:2013/9.1.1 seine Leitlinien auf RBAC beschränkt – die damals gebräuchlichste Methode der kommerziellen Zugangskontrolle .

Körnung

In Verbindung mit technologischen Veränderungen, die Organisationen eine größere Kontrolle über ihre Daten bieten, enthält keine der Kontrollen von 2013 eine sinnvolle Anleitung, wie eine Organisation an granulare Zugriffskontrollen herangehen sollte, wohingegen 27002:2013/5.15 Organisationen einen erheblichen Spielraum einräumt.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeueBedrohungsinformationen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
7.4NeuePhysische Sicherheitsüberwachung
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.16NeueÜberwachungsaktivitäten
8.23NeueWeb-Filter
8.28NeueSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeueBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuePhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeueÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeueWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeueSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
Emmie Cooney
Operations Manager Amigo
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.