ISO 27002 - Kapitel 5.18 Zugangsrechte
Zugriff auf Informationen und Systeme sollten stets nur autorisierte Personen erhalten. Nach Sicherheitsnorm ISO 27002 kommen dafür einige organisatorische und technische Maßnahmen infrage, wie sie Kapitel 5.18 Zugangsrechte vorsieht.
Technische und organisatorische Maßnahmen bei Zugangsrechten
Erstellung und Umsetzung von Zugangsrichtlinien
Es ist grundlegend wichtig, die Voraussetzungen und den Prozess zu Vergabe, Änderung und Entzug von Zugangsrechten aufzustellen. Hierbei sollte neben den geschäftlichen Anforderungen beispielsweise auch berücksichtigt werden, welche Aufgaben voneinander getrennt sein müssen.
Regelmäßige Überprüfung von Zugangsrechten
Besonders wichtig ist auch die Aktualität der Zugriffsrechte und die Anpassung an die tatsächliche Situation und etwaige Änderungen im Unternehmen (z.B. neue Mitarbeiter, Stellenwechsel, Beförderungen, Kündigungen, etc.). Das schließt beispielsweise die Aufhebung bzw. Entfernung, Änderung, Anpassung des Umfangs und zeitliche Begrenzung von Rechten ein. Voraussetzung ist eine stetige Kontrolle und Überprüfung der Zugriffsrechte und der Unternehmenssituation. Ein regelmäßiger Überprüfungsprozess sollte also implementiert werden, um sicherzustellen, dass Benutzer nur die erforderlichen Rechte besitzen. Dies umfasst die Überprüfung von Benutzerkonten, Berechtigungen, Rollen und Zugriffsprotokollen. Die korrekte und aktuelle Dokumentation aller Zugriffrechte ist wesentliche Voraussetzung, diese Überprüfung überhaupt durchführen zu können.
Umsetzung eines Change-Management-Prozesses
Ein gut durchdachter Change-Management-Prozess ist wichtig, um Änderungen an Zugangsrechten zu überwachen und zu kontrollieren. Jede Änderung an Zugriffsrechten sollte dokumentiert, genehmigt und überwacht werden, um sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden und keine unbefugten Zugriffsrechte entstehen. Dabei sollten Durchführung und Genehmigung durch verschiedene Personen vorgenommen werden (Aufgabentrennung).
Identitäts- und Zugriffsmanagement-System (Identity and Access Management, IAM)
Durch die Implementierung eines IAM-Systems können Zugriffsrechte basierend auf den Rollen und Verantwortlichkeiten der Benutzer effektiv verwaltet werden. Das IAM ermöglicht eine zentrale Verwaltung von Benutzerkonten, Berechtigungen und Passwörtern sowie die Durchführung von Authentifizierungs- und Autorisierungsprozessen. Es gibt verschiedene kommerzielle IAM-Systeme wie Microsoft Azure Active Directory, Okta oder IBM Security Identity Manager.
Berechtigungsmanagement und rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC)
Ein effektives Berechtigungsmanagement in Kombination mit RBAC ermöglicht es, Zugriffsrechte auf Basis von vordefinierten Rollen und Verantwortlichkeiten zu vergeben. Durch die Vergabe von Berechtigungen auf Rollenebene können Zugriffsrechte effizient verwaltet und die Gefahr von Überprivilegierung oder unbefugtem Zugriff reduziert werden.
Zugangsrechte in der ISO 27002
Die Zugangsrechte spielen eine entscheidende Rolle in der Informationssicherheit. Die oben genannten Vorgehensweisen und Maßnahmen tragen den Anforderungen des Abschnitts 5.18 der ISO 27002 Rechnung und ermöglichen einen verantwortungsvollen Umgang mit Daten in einem Unternehmen.