Der Zugriff auf Informationen und Informationsverarbeitungssysteme muss gezielt gesteuert werden, um unbefugten Zugriff, Missbrauch oder versehentliche Offenlegung zu verhindern. Unzureichende Zugangsbeschränkungen erhöhen das Risiko von Datenverlust, Manipulation oder Sicherheitsvorfällen. Dieses Control stellt sicher, dass der Zugang zu Informationen auf berechtigte Personen und notwendige Zwecke beschränkt wird.
Zweck des Controls
A 8.3 soll gewährleisten, dass der Zugriff auf Informationen und Systeme entsprechend dem Schutzbedarf gesteuert wird. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen und Risiken durch übermäßige oder unkontrollierte Zugriffsrechte zu minimieren.
Anforderungen und Maßnahmen
1. Definition von Zugriffsrichtlinien
Organisationen müssen klare Richtlinien zur Informationszugangsbeschränkung festlegen, insbesondere:
Grundsätze für Zugriffskontrolle
Rollen- und Berechtigungskonzepte
Anwendung des Need-to-know- und Least-Privilege-Prinzips
Verantwortlichkeiten für Vergabe und Pflege von Zugriffsrechten
Die Richtlinien müssen dokumentiert und bekannt sein.
2. Rollenbasierte Zugriffskontrolle
Zugriffe müssen rollenbasiert gesteuert werden:
Definition von Rollen und zugehörigen Berechtigungen
Zuordnung von Personen zu Rollen
Vermeidung individueller Sonderberechtigungen
regelmäßige Überprüfung der Rollenzuordnung
So wird eine konsistente Zugriffskontrolle ermöglicht.
3. Zugriffsbeschränkung auf Informationsobjekte
Der Zugriff auf Informationen muss gezielt eingeschränkt werden:
Zugriff auf Daten, Anwendungen und Systeme
Berücksichtigung der Informationsklassifizierung
Einschränkung besonders schützenswerter Informationen
technische und organisatorische Maßnahmen
Dies schützt sensible Informationen.
4. Authentifizierung und Autorisierung
Zugriffe müssen durch geeignete Mechanismen abgesichert werden:
sichere Authentifizierungsverfahren
eindeutige Zuordnung von Zugriffen zu Personen
Prüfung der Berechtigungen vor Zugriff
Schutz vor unbefugter Nutzung von Konten
So wird sichergestellt, dass nur Berechtigte Zugriff erhalten.
5. Trennung von Aufgaben und Zugriffsrechten
Zugriffsrechte müssen Aufgaben und Verantwortlichkeiten berücksichtigen:
Trennung kritischer Funktionen
Vermeidung von Interessenkonflikten
Einschränkung kombinierter Rechte
regelmäßige Überprüfung der Trennung
Dies reduziert Missbrauchsrisiken.
6. Überwachung und Protokollierung von Zugriffen
Zugriffe müssen überwacht werden:
Protokollierung von Zugriffen auf kritische Informationen
Überwachung ungewöhnlicher Zugriffsmuster
Auswertung von Protokollen
Integration in Incident-Management-Prozesse
So werden Sicherheitsvorfälle frühzeitig erkannt.
7. Anpassung bei Änderungen
Zugriffsrechte müssen bei Änderungen angepasst werden:
Anpassung bei Rollen- oder Aufgabenänderungen
Entzug von Rechten bei Austritt
regelmäßige Rezertifizierung
zeitnahe Umsetzung der Änderungen
Dies verhindert veraltete Berechtigungen.
8. Dokumentation und Integration ins ISMS
Zugriffsbeschränkungen müssen dokumentiert sein:
Richtlinien und Verfahren
Rollen- und Berechtigungskonzepte
Verantwortlichkeiten
Integration in Risiko- und Sicherheitsprozesse
Die Dokumentation unterstützt Nachvollziehbarkeit und Audits.
Zusammenfassung
A 8.3 fordert, dass Organisationen den Zugang zu Informationen systematisch beschränken. Durch klare Richtlinien, rollenbasierte Zugriffskontrolle, gezielte Zugriffsbeschränkung auf Informationsobjekte, sichere Authentifizierung, Überwachung sowie regelmäßige Anpassung der Zugriffsrechte wird sichergestellt, dass Informationen nur berechtigten Personen zur Verfügung stehen. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
