ISO 27002: 2022 - Steuerung 5.15 - Zugangskontrolle

Was ist der Zweck der Kontrolle 5.15

Gemäß den ergänzenden Leitlinien erwähnt Control 5.15 vier verschiedene Arten der Zugangskontrolle (beschränkt sich aber nicht darauf), die grob wie folgt klassifiziert werden können:

• Obligatorische Zugangskontrolle (MAC) – Der Zugriff wird zentral von einer einzigen Sicherheitsbehörde verwaltet.
• Diskretionäre Zugriffskontrolle (DAC) – Die entgegengesetzte Methode zu MAC, bei der Objektbesitzer Berechtigungen an andere Benutzer weitergeben können.
• Rollenbasierte Zugriffskontrolle (RBAC) – Die gebräuchlichste Art der kommerziellen Zugriffskontrolle, basierend auf vordefinierten Jobfunktionen und Privilegien.
• Attributbasierte Zugriffskontrolle (ABAC) – Zugriffsrechte werden Benutzern durch die Verwendung von Richtlinien gewährt, die Attribute miteinander kombinieren.

5.15 ist eine vorbeugende Kontrolle hält das Risiko aufrecht durch die Verbesserung der grundlegenden Fähigkeiten einer Organisation um den Zugriff auf Daten und Vermögenswerte zu kontrollieren.

In Abschnitt 5.15 heißt es ausdrücklich, dass der Zugriff auf Ressourcen auf der Grundlage konkreter kommerzieller und informationeller Sicherheitsanforderungen gewährt und geändert werden sollte.

Organisationen sollten 5.15 implementieren, um den sicheren Zugriff auf Daten zu erleichtern und das Risiko eines unbefugten Zugriffs auf ihr Netzwerk – sei es physisch oder virtuell – zu minimieren.

Kontrollattribute 5.15

Impressum

Während 5.15 darauf angewiesen ist, dass Führungskräfte aus verschiedenen Teilen einer Organisation genau wissen, wer Zugriff auf welche Ressourcen benötigt (z. B. die Personalabteilung informiert über die Jobrolle eines Mitarbeiters, die wiederum seine RBAC-Parameter diktiert), sind Zugriffsrechte letztendlich eine Wartungsfunktion, die werden von Mitarbeitern mit Administratorrechten für ein bestimmtes Netzwerk gesteuert.

Daher sollte die Verantwortung für 5.15 bei einem Mitglied der Geschäftsleitung liegen, das über die übergreifende technische Autorität für die Domänen, Subdomänen, Anwendungen, Ressourcen und Vermögenswerte einer Organisation verfügt, beispielsweise ein IT-Leiter.

Allgemeine Anleitung

Zur Einhaltung von Control 5.15 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zur Zugangskontrolle (besser bekannt als „problemspezifischer“ Ansatz).

Themenspezifische Ansätze ermutigen Organisationen, Access zu schaffen Kontrollrichtlinien die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine pauschale Zugriffskontrollrichtlinie zu halten, die für den gesamten Daten- und Ressourcenzugriff gilt.

Control 5.15 erfordert Zugriffskontrollrichtlinien in allen themenspezifischen Bereichen, um die folgenden 11 Leitpunkte zu berücksichtigen. Einige der folgenden Leitpunkte überschneiden sich mit verschiedenen anderen Steuerelementen, die als Referenz aufgeführt sind.

Für weitere Informationen sollten Organisationen diese begleitenden Kontrollen im Einzelfall konsultieren.

• Bestimmen Sie, welche Entitäten Zugriff auf bestimmte Teile benötigen Informationen und/oder Vermögenswerte.

Compliance – Dies lässt sich leicht erreichen, indem Sie eine genaue Aufzeichnung der Jobrollen und Datenzugriffsanforderungen führen, die Ihrer Organisationsstruktur entspricht.

• Die Integrität und Sicherheit aller relevanten Anwendungen (verknüpft mit Control 8.2)

Compliance – Eine formelle Risikobewertung durchgeführt werden, um die Sicherheitseigenschaften einzelner Anwendungen zu untersuchen.

• Physische Zugangskontrollen (Standort) (verknüpft mit den Kontrollen 7.2, 7.3 und 7.4)

Compliance – Ihre Organisation muss nachweisen können, dass Sie über solide Gebäude- und Raumzugangskontrollen verfügt, einschließlich verwalteter Zugangssysteme, Sicherheitsbereiche und Besucherverfahren, sofern angemessen.

• Ein unternehmensweites „Need-to-know“-Prinzip, wenn es um Informationsverteilung, Sicherheit und Kategorisierung geht (verknüpft mit 5.10, 5.12 und 5.13)

Compliance – Unternehmen sollten sich an strenge Best-Practice-Richtlinien halten, die keinen pauschalen Zugriff auf Daten in einem Organigramm ermöglichen.

• Einschränkungen privilegierter Zugriffsrechte sicherstellen (verknüpft mit 8.2)

Compliance – Datenzugriffsrechte, die über die eines Standardbenutzers hinausgehen, müssen genau sein überwacht und geprüft.

• Einhaltung aller geltenden Gesetze, branchenspezifischen Regulierungsrichtlinien oder vertraglichen Verpflichtungen im Zusammenhang mit dem Datenzugriff (verknüpft mit 5.31, 5.32, 5.33, 5.34 und 8.3)

Compliance – Organisationen passen ihre eigenen Zugriffskontrollrichtlinien an alle externen Verpflichtungen an, die sie in Bezug auf den Daten-, Asset- und Ressourcenzugriff haben.

• Überwachung potenzieller Pflichtenkonflikte

Compliance – Richtlinien sollten Kontrollen beinhalten, die verhindern, dass eine Person eine umfassendere Zugriffskontrollfunktion gefährden kann, die auf ihren eigenen Zugriffsebenen basiert (z. B. ein Mitarbeiter, der Änderungen an einem Netzwerk anfordern, autorisieren und implementieren kann).

• Die drei Hauptfunktionen einer Zugriffskontrollrichtlinie – Anfragen, Autorisierungen und Verwaltung – sollten isoliert behandelt werden

Compliance – Richtlinien zur Zugriffskontrolle müssen anerkennen, dass die Zugriffskontrolle zwar eine eigenständige Funktion ist, aber aus einer Reihe einzelner Schritte besteht, die themenspezifisch ihre eigenen Anforderungen erfüllen.

• Zugriffsanfragen sollten auf strukturierte und formelle Weise bearbeitet werden (verknüpft mit 5.16 und 5.18).

Compliance – Organisationen sollten einen Autorisierungsprozess implementieren, der eine formelle, dokumentierte Genehmigung eines geeigneten Mitarbeiters erfordert.

• Laufende Verwaltung der Zugriffsrechte (verknüpft mit 5.18)

Compliance – Datenintegrität und Sicherheitsbereiche müssen durch einen kontinuierlichen Zyklus regelmäßiger Audits, HR-Überwachung (Abgänge usw.) und berufsspezifischer Änderungen (z. B. Abteilungswechsel und Rollenänderungen) aufrechterhalten werden.

• Pflege angemessener Protokolle und Kontrolle des Zugriffs darauf

Compliance – Die Organisation sollte Daten zu Zugriffsereignissen (z. B. Dateiaktivitäten) sammeln und speichern sowie Sicherheitsereignisprotokolle vor unbefugtem Zugriff schützen und mit einem umfassenden Satz von Maßnahmen arbeiten Vorfallmanagement Verfahren.

Anleitung zur Implementierung von Zugriffskontrollregeln

Wie wir besprochen haben, werden Zugriffskontrollregeln verschiedenen (menschlichen und nichtmenschlichen) Einheiten gewährt, die in einem bestimmten Netzwerk vorhanden sind, denen wiederum „Rollen“ zugewiesen werden, die ihre Gesamtanforderungen vorgeben.

Während Ihre Organisation ihre eigenen Zugriffskontrollrichtlinien definiert und umsetzt, werden Sie in Version 5.15 aufgefordert, die folgenden vier Punkte zu berücksichtigen:

1. Stellen Sie die Konsistenz zwischen dem Zugriffsrecht und der Art der Daten sicher, für die es gilt.
2. Stellen Sie die Konsistenz zwischen dem Zugriffsrecht und dem sicher physische Sicherheitsanforderungen Ihrer Organisation (Umfang usw.).
3. Wenn Ihre Organisation in einer verteilten Computerumgebung arbeitet, die mehrere unterschiedliche Netzwerke oder Ressourcensätze umfasst (z. B. eine cloudbasierte Umgebung), berücksichtigen Zugriffsrechte die Auswirkungen von Daten, die in einer breiten Palette von Netzwerkdiensten enthalten sind.
4. Bedenken Sie die Auswirkungen dynamischer Zugriffskontrollen (eine granulare Zugriffsmethode, die von Systemadministratoren auf einen detaillierten Satz von Variablen implementiert wird).

Dokumentation und definierte Verantwortlichkeiten

Control 5.15 verlangt ausdrücklich von Organisationen, sich mit der Dokumentation und einer strukturierten Liste von Verantwortlichkeiten zu befassen. ISO 27002 enthält zahlreiche ähnliche Anforderungen in der gesamten Liste der Kontrollen – hier sind die einzelnen Kontrollen, die für 5.15 am relevantesten sind:

Dokumentation

• 5.16
• 5.17
• 5.18
• 8.2
• 8.3
• 8.4
• 8.5
• 8.18

Aufgaben

• 5.2
• 5.17

Körnung

Control 5.15 gibt Unternehmen einen erheblichen Spielraum bei der Auswahl des Granularitätsgrads ihrer Zugriffskontrollregeln.

ISO rät Unternehmen, ihre eigene Beurteilung darüber vorzunehmen, wie detailliert ein bestimmtes Regelwerk für jeden einzelnen Mitarbeiter sein muss und wie viele Zugriffsvariablen auf beliebige Daten angewendet werden.

5.15 erkennt ausdrücklich an, dass je detaillierter die Zugangskontrollrichtlinien eines Unternehmens sind, desto höher sind die Kosten und desto schwieriger wird das gesamte Konzept der Zugangskontrolle über mehrere Standorte, Netzwerktypen und Anwendungsvariablen hinweg.

Das Konzept der Zugangskontrolle kann schnell außer Kontrolle geraten, wenn es nicht sorgfältig verwaltet wird. Es ist fast immer eine gute Idee, die Zugriffskontrollregeln zu vereinfachen, um sie einfacher und kostengünstiger verwalten zu können.

Änderungen gegenüber ISO 27002:2013

27002:2013/5.15 ist eine Zusammenführung zweier ähnlicher Kontrollen in 27002:2013 – 9.1.1 (Zugriffskontrollrichtlinie) und 9.1.2 (Zugang zu Netzwerken und Netzwerkdiensten).

Im Allgemeinen befassen sich 9.1.1 und 9.1.2 mit denselben zugrunde liegenden Themen wie 5.15 und folgen im Großen und Ganzen denselben Governance-Richtlinien, mit einigen subtilen betrieblichen Unterschieden.

Sowohl die Kontrollen von 2022 als auch von 2013 befassen sich mit der Verwaltung des Zugriffs auf Informationen, Vermögenswerte und Ressourcen und basieren auf dem „Need-to-know“-Prinzip, bei dem Unternehmensdaten als eine Ware behandelt werden, die sorgfältig verwaltet und geschützt werden muss.

Alle 27002 maßgeblichen Richtlinien von 2013:9.1.1/11 folgen den gleichen allgemeinen Leitlinien wie in 27002:2013/5.15, wobei letztere einen etwas größeren Schwerpunkt auf physischer Sicherheit und Perimetersicherheit legt.

Die unterstützenden Leitlinien zur Implementierung der Zugangskontrolle sind im Großen und Ganzen die gleichen, die Kontrolle von 2022 leistet jedoch viel bessere Arbeit, indem sie präzise, ​​praktische Anleitungen für alle vier Implementierungsrichtlinien bietet.

Änderungen in den Arten der Zugangskontrolle ab 9.1.1

5.15 erkennt die verschiedenen Arten von Zugangskontrollmethoden an, die in den letzten 9 Jahren entstanden sind (MAC, DAC, ABAC), während 27002:2013/9.1.1 seine Leitlinien auf RBAC beschränkt – die damals gebräuchlichste Methode der kommerziellen Zugangskontrolle .

Körnung

In Verbindung mit technologischen Veränderungen, die Organisationen eine größere Kontrolle über ihre Daten bieten, enthält keine der Kontrollen von 2013 eine sinnvolle Anleitung, wie eine Organisation an granulare Zugriffskontrollen herangehen sollte, wohingegen 27002:2013/5.15 Organisationen einen erheblichen Spielraum einräumt.

Neue ISO 27002-Kontrollen