Viele Kunden stehen vor der Herausforderung, das Access Management nach ISO 27001 Annex A.9 effektiv umzusetzen. Schließlich ist es oft eine echte Herausforderung, Zugriffskontrollen flächendeckend zu etablieren, Zugriffsrechte zu verwalten und die entsprechenden Zugriffsaktivitäten angemessen zu überwachen.
In diesem Zusammenhang bietet die seit Oktober 2023 bestehende Partnerschaft zwischen SECJUR, der Plattform für Compliance-Automatisierung, und Cakewalk, dem Experten für Access Management, eine komplementäre Lösung. Die Expertise von Cakewalk in Identity Governance ergänzt perfekt die automatisierte ISMS-Lösung von SECJUR.
Access Management: Integraler Bestandteil eines erfolgreichen ISMS
Der Zugriffsverwaltung kommt eine entscheidende Rolle innerhalb eines erfolgreichen Informationssicherheitsmanagementsystems (ISMS) zu. Access Management ist darauf ausgerichtet, den Zugriff auf Ressourcen in einer Organisation zu regulieren und sicherzustellen, dass die Berechtigungen gemäß Grundsätzen wie „Zero Trust“ und „Least Privilege“ korrekt vergeben und beibehalten werden. Diese Best Practices sind essenziell, um die Sicherheit der Informationen und Daten zu gewährleisten.
Was genau ist der Annex A.9 der ISO 27001?
Anhang A.9 oder auch Annex A.9 der ISO 27001 beschäftigt sich mit der Zugangskontrolle. Sein Hauptziel ist, den Zugang zu Informationen zu schützen und sicherzustellen, dass nur befugte Benutzer auf diese zugreifen können, um so das Risiko von Datenschutzverletzungen zu verringern. Annex A.9 legt die Verfahren und Prinzipien fest, um die Sicherheit und Integrität von Daten zu gewährleisten.
Der Annex A.9 verwendet dabei Begriffe wie „Zugangsverwaltung“, „Rechteverwaltung“ und „Identitätsverwaltung“, um die Zugangskontrolle zu beschreiben.
Er ist in vier Abschnitte unterteilt: Zugangskontrollen, Benutzerzugangsverwaltung, Benutzerverantwortlichkeiten und Anwendungszugangskontrollen.
Annex A.9 enthält Vorschriften zur Benutzerauthentifizierung, zur Zuteilung von Zugriffsrechten, zur Verwaltung von Passwörtern und zur Überwachung der Verwendung von Zugriffsrechten.
Was ist das Ziel des Annex A.9?
Zugriffsverwaltung, wie sie in Annex A.9 beschrieben wird, bedeutet, dass nur Personen, denen ausdrücklich Zugriff gewährt wurde, diesen erhalten dürfen. Diese Maßnahme verhindert den unautorisierten Zugriff auf sensible Informationen.
Unbefugte Zugriffe auf Informationen können zu Informationsmissbrauch oder -verlust führen. Annex A.9 bietet Sicherheit gegen verschiedene Bedrohungen, einschließlich versehentlicher Datenverluste, physischer Zugriffskontrolle, Netzwerksicherheit und weiteren Angriffen.
Die Kontrolle und Überwachung von Benutzerzugriffen, einschließlich physischer Zugänge, Netzwerkzugänge und Programmquellcode, ist ein wesentlicher Aspekt dieses Anhangs. Es erfordert klare Richtlinien und Verfahren, um sicherzustellen, dass der Zugang zu Informationen nur von befugten Personen erfolgt.
Indem geeignete Zugangskontrollen etabliert werden, sollen somit unautorisierte Zugriffe, Informationssystem-Angriffe und Datenlecks verhindert oder minimiert werden. Das Ziel besteht darin, die Sicherheit der Informationen innerhalb eines Unternehmens zu gewährleisten.
Annex A.9 als zentraler Bestandteil der ISO 27001-Norm
Viele betrachten den Annex A.9 als den wichtigsten der ISO 27001, da er die Grundlage für das gesamte ISMS bildet. Das korrekte Handling von Zugangskontrollen ist entscheidend, da Fehler schwerwiegende Auswirkungen auf ein Unternehmen haben können, wie beispielsweise den unautorisierten Zugriff auf vertrauliche Mitarbeiterdaten. Daher ist es von großer Bedeutung, diese Aspekte sorgfältig zu planen und umzusetzen.
Anhang A.9 ist somit ein entscheidender Bestandteil des Wegs zur ISO 27001-Zertifizierung und kann aufgrund der Komplexität der Aufgaben, die er an Unternehmen stellt, dazu führen, dass diese Unterstützung bei der Umsetzung seiner Anforderungen benötigen.
Die Zusammenarbeit zwischen SECJUR und Cakewalk bietet Unternehmen hierfür die Unterstützung, die sie brauchen, um die nahtlose Identitätsverwaltung in den Aufbau eines ISMS zu integrieren.
Annex A.9: Was genau ist Access Control?
Access Control beziehungsweise Zugangskontrolle in ISMS kann in vier Hauptkategorien unterteilt werden, je nachdem, wie der Zugriff auf geschützte Ressourcen geregelt wird und welche Bedürfnisse das Unternehmen zum Schutz seiner Informationen mitbringt:
Diskretionäre Zugangskontrolle (DAC):
Bei der DAC entscheidet die Person, die die Kontrolle über das geschützte System, die Daten oder die Ressource hat, wer dazu Zugang erhält. Die Zugriffsberechtigungen werden von den Ressourcenbesitzern oder Administratoren diskretionär vergeben. Dieses Modell bietet Flexibilität, da es den Benutzern die Freiheit gibt, den Zugang zu gewähren oder zu verweigern.
Obligatorische Zugriffskontrolle (MAC):
Im Gegensatz zur DAC erfolgt die Zugriffskontrolle bei MAC nicht nach dem Ermessen des Benutzers oder Administrators. Stattdessen wird der Zugriff auf der Grundlage von vordefinierten Sicherheitsklassifikationen und -richtlinien („Clearings“) geregelt. Eine zentrale Behörde bestimmt, welche Benutzer auf welche Ressourcen zugreifen dürfen. Dieses Modell wird oft in streng regulierten Umgebungen wie Behörden und Militärorganisationen eingesetzt.
Rollenbasierte Zugriffskontrolle (RBAC):
Bei RBAC wird der Zugang basierend auf den Rollen und Verantwortlichkeiten der Benutzer gewährt. Anstatt individuelle Benutzer zu autorisieren, werden vordefinierte Rollen erstellt, die bestimmte Aufgaben oder Funktionen im Unternehmen repräsentieren. Benutzer erhalten dann Berechtigungen entsprechend ihrer zugewiesenen Rolle. Dies fördert die Effizienz und die Einhaltung von Sicherheitsrichtlinien.
Attributbasierte Zugriffskontrolle (ABAC):
ABAC ermöglicht die Steuerung des Zugriffs anhand einer breiten Palette von Attributen und Umgebungsvariablen, darunter Benutzerattribute, Ressourcenattribute, Zeit, Standort und mehr. Die Zugriffsentscheidungen werden aufgrund dieser dynamischen Merkmale getroffen, wodurch die Feinsteuerung und Anpassung des Zugriffs auf unterschiedliche Situationen möglich ist. ABAC bietet eine flexible Methode zur Zugangskontrolle, die auf komplexen Bedingungen basiert.
Die Wahl der geeigneten Zugangskontrollmethode hängt von den spezifischen Anforderungen und der Art der geschützten Informationen ab. Unternehmen können eine oder mehrere dieser Methoden je nach ihrer Sicherheitsstrategie und den Compliance-Anforderungen implementieren, um sicherzustellen, dass der Zugriff auf sensible Daten angemessen gesteuert wird.
Access Management mit Cakewalk – Zugriff einfach smart verwalten
Cakewalk bietet eine umfassende Palette von Funktionen, um den Zugriff von Mitarbeitern auf Software-Anwendungen innerhalb einer Organisation effizient und sicher zu verwalten. Einer der Schlüsselaspekte ist die Möglichkeit, Mitarbeitern die Apps zur Verfügung zu stellen, die sie benötigen, und gleichzeitig die volle Kontrolle zu behalten. Dies geschieht über Selbstbedienungszugriffsanfragen, die über einen maßgeschneiderten App-Katalog abgewickelt werden können.
Cakewalks Lösung zeichnet sich durch die automatische Erkennung jedes Zugriffs von Identitäten auf Applikationen aus und gewährleistet so die Einhaltung des Prinzips „Least Privilege“ (minimale Berechtigungen). Dadurch wird sichergestellt, dass Mitarbeiter nur die erforderlichen Berechtigungen erhalten. Auch automatisierte On- und Offboardings (Provisionierung zu Software) sowie Access Reviews sind Teil des Produktes.
Diese Funktionen werden von den IT-, Sicherheits- und HR-Abteilungen und Mitarbeitern gleichermaßen geschätzt.
Durch die Implementierung dieser automatisierten Identity Governance stellen Unternehmen sicher, dass sie die erforderlichen Access-Management-Kriterien für IT-Audits im Rahmen einer ISO-27001-Zertifizierung erfüllen.
Annex A.9: Intelligente Ergänzung des ISMS mit SECJUR
Cakewalks Access Management unterstützt SECJURs Kunden bei der Umsetzung der ISO 27001-Norm, indem es eine effektive Kontrolle und Verwaltung des Zugriffs auf Informationen und Systeme ermöglicht. Die ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme, der sicherstellt, dass angemessene Sicherheitsmaßnahmen zum Schutz von Informationen und Daten implementiert werden.
Der Anhang A.9 des ISO 27001 Standards bezieht sich demzufolge auf die Verfahren und Richtlinien, die bestimmen, wie Zugriffsrechte von Informationen und Systemen verwaltet werden.
Durch Cakewalks Access-Management-Lösung können SECJURs Kunden den Zugriff auf sensible Informationen sowohl intern als auch extern effizient verwalten und ihr ISMS direkt gemäß den Anforderungen des ISO 27001 Annex A.9 aufbauen.