Die Zugriffskontrolle regelt die Art und Weise, wie menschlichen und nichtmenschlichen Einheiten in einem bestimmten Netzwerk Zugriff auf Daten, IT-Ressourcen und Anwendungen gewährt wird.
Gemäß den ergänzenden Leitlinien erwähnt Control 5.15 vier verschiedene Arten der Zugangskontrolle (beschränkt sich aber nicht darauf), die grob wie folgt klassifiziert werden können:
5.15 ist eine vorbeugende Kontrolle hält das Risiko aufrecht durch die Verbesserung der grundlegenden Fähigkeiten einer Organisation um den Zugriff auf Daten und Vermögenswerte zu kontrollieren.
In Abschnitt 5.15 heißt es ausdrücklich, dass der Zugriff auf Ressourcen auf der Grundlage konkreter kommerzieller und informationeller Sicherheitsanforderungen gewährt und geändert werden sollte.
Organisationen sollten 5.15 implementieren, um den sicheren Zugriff auf Daten zu erleichtern und das Risiko eines unbefugten Zugriffs auf ihr Netzwerk – sei es physisch oder virtuell – zu minimieren.
| Steuerungsart | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Identitäts- und Zugriffsverwaltung | #Schutz |
Während 5.15 darauf angewiesen ist, dass Führungskräfte aus verschiedenen Teilen einer Organisation genau wissen, wer Zugriff auf welche Ressourcen benötigt (z. B. die Personalabteilung informiert über die Jobrolle eines Mitarbeiters, die wiederum seine RBAC-Parameter diktiert), sind Zugriffsrechte letztendlich eine Wartungsfunktion, die werden von Mitarbeitern mit Administratorrechten für ein bestimmtes Netzwerk gesteuert.
Daher sollte die Verantwortung für 5.15 bei einem Mitglied der Geschäftsleitung liegen, das über die übergreifende technische Autorität für die Domänen, Subdomänen, Anwendungen, Ressourcen und Vermögenswerte einer Organisation verfügt, beispielsweise ein IT-Leiter.
Zur Einhaltung von Control 5.15 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zur Zugangskontrolle (besser bekannt als „problemspezifischer“ Ansatz).
Themenspezifische Ansätze ermutigen Organisationen, Access zu schaffen Kontrollrichtlinien die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine pauschale Zugriffskontrollrichtlinie zu halten, die für den gesamten Daten- und Ressourcenzugriff gilt.
Control 5.15 erfordert Zugriffskontrollrichtlinien in allen themenspezifischen Bereichen, um die folgenden 11 Leitpunkte zu berücksichtigen. Einige der folgenden Leitpunkte überschneiden sich mit verschiedenen anderen Steuerelementen, die als Referenz aufgeführt sind.
Für weitere Informationen sollten Organisationen diese begleitenden Kontrollen im Einzelfall konsultieren.
Compliance – Dies lässt sich leicht erreichen, indem Sie eine genaue Aufzeichnung der Jobrollen und Datenzugriffsanforderungen führen, die Ihrer Organisationsstruktur entspricht.
Compliance – Eine formelle Risikobewertung durchgeführt werden, um die Sicherheitseigenschaften einzelner Anwendungen zu untersuchen.
Compliance – Ihre Organisation muss nachweisen können, dass Sie über solide Gebäude- und Raumzugangskontrollen verfügt, einschließlich verwalteter Zugangssysteme, Sicherheitsbereiche und Besucherverfahren, sofern angemessen.
Compliance – Unternehmen sollten sich an strenge Best-Practice-Richtlinien halten, die keinen pauschalen Zugriff auf Daten in einem Organigramm ermöglichen.
Compliance – Datenzugriffsrechte, die über die eines Standardbenutzers hinausgehen, müssen genau sein überwacht und geprüft.
Compliance – Organisationen passen ihre eigenen Zugriffskontrollrichtlinien an alle externen Verpflichtungen an, die sie in Bezug auf den Daten-, Asset- und Ressourcenzugriff haben.
Compliance – Richtlinien sollten Kontrollen beinhalten, die verhindern, dass eine Person eine umfassendere Zugriffskontrollfunktion gefährden kann, die auf ihren eigenen Zugriffsebenen basiert (z. B. ein Mitarbeiter, der Änderungen an einem Netzwerk anfordern, autorisieren und implementieren kann).
Compliance – Richtlinien zur Zugriffskontrolle müssen anerkennen, dass die Zugriffskontrolle zwar eine eigenständige Funktion ist, aber aus einer Reihe einzelner Schritte besteht, die themenspezifisch ihre eigenen Anforderungen erfüllen.
Compliance – Organisationen sollten einen Autorisierungsprozess implementieren, der eine formelle, dokumentierte Genehmigung eines geeigneten Mitarbeiters erfordert.
Compliance – Datenintegrität und Sicherheitsbereiche müssen durch einen kontinuierlichen Zyklus regelmäßiger Audits, HR-Überwachung (Abgänge usw.) und berufsspezifischer Änderungen (z. B. Abteilungswechsel und Rollenänderungen) aufrechterhalten werden.
Compliance – Die Organisation sollte Daten zu Zugriffsereignissen (z. B. Dateiaktivitäten) sammeln und speichern sowie Sicherheitsereignisprotokolle vor unbefugtem Zugriff schützen und mit einem umfassenden Satz von Maßnahmen arbeiten Vorfallmanagement Verfahren.
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
Wir sind kostengünstig und schnell
Wie wir besprochen haben, werden Zugriffskontrollregeln verschiedenen (menschlichen und nichtmenschlichen) Einheiten gewährt, die in einem bestimmten Netzwerk vorhanden sind, denen wiederum „Rollen“ zugewiesen werden, die ihre Gesamtanforderungen vorgeben.
Während Ihre Organisation ihre eigenen Zugriffskontrollrichtlinien definiert und umsetzt, werden Sie in Version 5.15 aufgefordert, die folgenden vier Punkte zu berücksichtigen:
Control 5.15 verlangt ausdrücklich von Organisationen, sich mit der Dokumentation und einer strukturierten Liste von Verantwortlichkeiten zu befassen. ISO 27002 enthält zahlreiche ähnliche Anforderungen in der gesamten Liste der Kontrollen – hier sind die einzelnen Kontrollen, die für 5.15 am relevantesten sind:
Control 5.15 gibt Unternehmen einen erheblichen Spielraum bei der Auswahl des Granularitätsgrads ihrer Zugriffskontrollregeln.
ISO rät Unternehmen, ihre eigene Beurteilung darüber vorzunehmen, wie detailliert ein bestimmtes Regelwerk für jeden einzelnen Mitarbeiter sein muss und wie viele Zugriffsvariablen auf beliebige Daten angewendet werden.
5.15 erkennt ausdrücklich an, dass je detaillierter die Zugangskontrollrichtlinien eines Unternehmens sind, desto höher sind die Kosten und desto schwieriger wird das gesamte Konzept der Zugangskontrolle über mehrere Standorte, Netzwerktypen und Anwendungsvariablen hinweg.
Das Konzept der Zugangskontrolle kann schnell außer Kontrolle geraten, wenn es nicht sorgfältig verwaltet wird. Es ist fast immer eine gute Idee, die Zugriffskontrollregeln zu vereinfachen, um sie einfacher und kostengünstiger verwalten zu können.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
27002:2013/5.15 ist eine Zusammenführung zweier ähnlicher Kontrollen in 27002:2013 – 9.1.1 (Zugriffskontrollrichtlinie) und 9.1.2 (Zugang zu Netzwerken und Netzwerkdiensten).
Im Allgemeinen befassen sich 9.1.1 und 9.1.2 mit denselben zugrunde liegenden Themen wie 5.15 und folgen im Großen und Ganzen denselben Governance-Richtlinien, mit einigen subtilen betrieblichen Unterschieden.
Sowohl die Kontrollen von 2022 als auch von 2013 befassen sich mit der Verwaltung des Zugriffs auf Informationen, Vermögenswerte und Ressourcen und basieren auf dem „Need-to-know“-Prinzip, bei dem Unternehmensdaten als eine Ware behandelt werden, die sorgfältig verwaltet und geschützt werden muss.
Alle 27002 maßgeblichen Richtlinien von 2013:9.1.1/11 folgen den gleichen allgemeinen Leitlinien wie in 27002:2013/5.15, wobei letztere einen etwas größeren Schwerpunkt auf physischer Sicherheit und Perimetersicherheit legt.
Die unterstützenden Leitlinien zur Implementierung der Zugangskontrolle sind im Großen und Ganzen die gleichen, die Kontrolle von 2022 leistet jedoch viel bessere Arbeit, indem sie präzise, praktische Anleitungen für alle vier Implementierungsrichtlinien bietet.
5.15 erkennt die verschiedenen Arten von Zugangskontrollmethoden an, die in den letzten 9 Jahren entstanden sind (MAC, DAC, ABAC), während 27002:2013/9.1.1 seine Leitlinien auf RBAC beschränkt – die damals gebräuchlichste Methode der kommerziellen Zugangskontrolle .
In Verbindung mit technologischen Veränderungen, die Organisationen eine größere Kontrolle über ihre Daten bieten, enthält keine der Kontrollen von 2013 eine sinnvolle Anleitung, wie eine Organisation an granulare Zugriffskontrollen herangehen sollte, wohingegen 27002:2013/5.15 Organisationen einen erheblichen Spielraum einräumt.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
