ISO 27002, Kontrolle 8.3, Beschränkung des Informationszugriffs

ISO 27002:2022 – Kontrolle 8.3 – Beschränkung des Informationszugriffs

ISO 27002 Control 8.3 – Information Access Restriction unterstreicht die Notwendigkeit für Organisationen, strenge Kontrollen zu implementieren, um unbefugten Zugriff auf Informationen und IKT-Ressourcen zu verhindern. Der Schwerpunkt liegt auf dynamischem Zugriffsmanagement, das eine detaillierte Kontrolle darüber gewährleistet, wer auf Daten zugreifen kann, und gleichzeitig die Sicherheit und Reaktionszeiten verbessert.

Zweck der Kontrolle 8.3

Der Zugriff auf Informationen aus internen und externen Quellen ist der Grundstein einer Informationssicherheitsrichtlinie der Organisation.

Kontrolle 8.3 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Festlegung einer Reihe von Regeln und Verfahren, die dies verhindern unbefugter Zugriff/Missbrauch der Informationen und IKT-Ressourcen einer Organisation.

Attributtabelle der Steuerung 8.3

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Identitäts- und Zugriffsmanagement	#Schutz
	#Integrität
	#Verfügbarkeit

Eigentum an der Kontrolle 8.3

Kontrolle 8.3 befasst sich mit der Fähigkeit einer Organisation den Zugriff auf Informationen kontrollieren.

Als solche, Die Eigentümerschaft sollte beim Chief Information Security Officer liegen (oder eine gleichwertige Organisation), der die Verantwortung für die allgemeinen Informations- und Datensicherheitspraktiken der Organisation trägt.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Allgemeine Leitlinien zur Kontrolle 8.3

Um effektiv zu bleiben Kontrolle über Informationen und IKT-Ressourcen, und zur Unterstützung von Zugangsbeschränkungsmaßnahmen sollten Organisationen Folgendes im Einklang mit a sicherstellen themenspezifisch Ansatz für den Informationszugang:

Verhindern Sie den anonymen Zugriff auf Informationen, einschließlich des weitreichenden öffentlichen Zugriffs.

Wenn öffentlicher Zugriff oder Zugriff Dritter gewährt wird, sollten Organisationen sicherstellen, dass sich der Zugriff nicht auf sensible oder geschäftskritische Daten erstreckt.

Führen Sie angemessene Wartungsmaßnahmen durch, die den Systemzugriff und alle damit verbundenen Geschäftsanwendungen oder -prozesse steuern.
Bestimmen Sie den Datenzugriff für jeden einzelnen Benutzer.
Geben Sie Datenzugriffsrechte zwischen Gruppen an, die bestimmte Datenvorgänge validieren, z. B. Lesen, Schreiben, Löschen und Ausführen.
Behalten Sie die Fähigkeit zur Abschottung bei geschäftskritische Prozesse und Anwendungen mithilfe einer Reihe physischer und digitaler Zugangskontrollen.

Anleitung – Dynamisches Zugriffsmanagement

Control 8.3 befürwortet a dynamisch Ansatz für den Zugang zu Informationen.

Die dynamische Zugriffsverwaltung bietet zahlreiche weitere Vorteile für Organisationsprozesse, bei denen es erforderlich ist, interne Daten mit externen Benutzern zu teilen oder zu nutzen, einschließlich schnellerer Vorfalllösungszeiten.

Dynamischer Zugriff Managementtechniken schützen ein breites Spektrum an Informationen Es können verschiedene Dateitypen verwendet werden, von Standarddokumenten bis hin zu E-Mails und Datenbankinformationen. Sie können auf einer granularen Datei-für-Datei-Basis angewendet werden und ermöglichen so eine strenge Kontrolle der Daten auf Organisationsebene.

Organisationen sollten einen solchen Ansatz in Betracht ziehen, wenn:

Es ist eine detaillierte Kontrolle darüber erforderlich, welche menschlichen und nichtmenschlichen Benutzer zu einem bestimmten Zeitpunkt auf solche Informationen zugreifen können.
Es besteht die Notwendigkeit, Informationen mit externen Parteien (z. B. Lieferanten oder Regulierungsbehörden) zu teilen.
Erwägen Sie einen „Echtzeit“-Ansatz für die Datenverwaltung und -verteilung, der die Überwachung und Verwaltung der Datennutzung während ihres Auftretens umfasst.
Schutz der Informationen vor unbefugter Änderung, Weitergabe oder Ausgabe (Drucken etc.).
Überwachung des Zugriffs auf und der Änderung von Informationen, insbesondere wenn es sich um vertrauliche Informationen handelt.

Die dynamische Zugriffsverwaltung ist insbesondere für Organisationen von Nutzen, die Daten von der Erstellung bis zur Löschung überwachen und schützen müssen, darunter:

Skizzieren eines Anwendungsfalls (oder einer Reihe von Anwendungsfällen), bei dem Datenzugriffsregeln basierend auf den folgenden Variablen angewendet werden:

Identitätsschutz
Gerät
Standort
Antragsprozess

Skizzieren eines Prozesses, der das abdeckt Betrieb und Überwachung der Daten und die Einrichtung eines gründlichen Berichtsprozesses, der wiederum auf einer soliden technischen Infrastruktur basiert.

Alle Bemühungen zur Formulierung eines dynamischen Zugangsverwaltungsansatzes sollten zu einem Ergebnis führen Daten geschützt werden durch:

Sicherstellen, dass der Zugriff auf Daten das Endergebnis eines erfolgreichen Authentifizierungsprozesses ist.
Ein Grad an eingeschränktem Zugriff, basierend auf dem Datentyp und seinen Auswirkungen auf die Fähigkeit Geschäftskontinuität.
Verschlüsselung.
Druckberechtigungen.
Gründlich Audit-Protokolle Darin wird aufgezeichnet, wer auf Daten zugreift und wie diese Daten verwendet werden.
Ein Warnverfahren, das auf unangemessene Datennutzung hinweist, einschließlich (aber nicht beschränkt auf) unbefugten Zugriff und unbefugte Verbreitung sowie versuchte Löschung.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-8.3 replaces 27002:2013-9.4.1 (Beschränkung des Informationszugriffs) und stellt eine wesentliche Veränderung in der Art und Weise dar, wie ISO das Informationszugriffsmanagement gemäß dem oben genannten dynamischen Ansatz betrachtet (eine Technik, die in 27002:2013-9.4.1 nicht erwähnt wird).

27002:2022-8.3 enthält zahlreiche Leitfäden zum dynamischen Zugriffsmanagement, die im Gegenstück aus dem Jahr 2013 fehlen. Organisationen wird empfohlen, diese bei der Beantragung einer Zertifizierung themenspezifisch zu berücksichtigen.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.Online ist die führende ISO 27002-Managementsystemsoftware, die unterstützt Einhaltung der ISO 27002und hilft Unternehmen dabei, ihre Sicherheitsrichtlinien und -verfahren an den Standard anzupassen.

Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Unternehmen bei der Einrichtung unterstützen Informationssicherheits-Managementsystem (ISMS) nach ISO 27002.

Unsere Plattform wurde von Grund auf mit Hilfe von Informationssicherheitsexperten aus der ganzen Welt entwickelt und wir haben es so entwickelt, dass es auch für Menschen ohne technische Kenntnisse über Informationssicherheits-Managementsysteme (ISMS) einfach zu verwenden ist.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet