TISAX® Kapitel 4.2.1
Inwieweit werden Zugriffsrechte vergeben und verwaltet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Das Management von Zugriffsrechten stellt sicher, dass nur berechtigte (autorisierte) Benutzer Zugriff auf Informationen und IT-Services haben. Zu diesem Zweck werden den Benutzerkonten Zugriffsrechte zugewiesen.
Anforderungen
- Muss
- Die Anforderungen an das Management von Zugriffsrechten (Autorisierung) sind ermittelt und erfüllt. Die folgenden Aspekte werden berücksichtigt:
- Muss
- Verfahren zur Beantragung, Verifizierung und Genehmigung
- Muss
- Anwendung des Minimal, Need-to-know Least-Privilege-Prinzips.
- Muss
- Zugriffsrechte werden widerrufen, wenn sie nicht mehr benötigt werden
- Muss
- Die erteilten Zugriffsrechte für normale und privilegierte Benutzerkonten sowie technische Konten werden in regelmäßigen Abständen auch in IT-Systemen von Kunden überprüft.
- Sollte
- Berechtigungskonzepte für den Zugriff auf Informationen sind erstellt.
- Sollte
- Berechtigungs-Rollen werden verwendet.
- Sollte
- Die Vergabe von Rechten erfolgt bedarfsorientiert und entsprechend der Rolle und/oder dem Verantwortungsbereich.
- Sollte
- Normalen Benutzerkonten werden keine privilegierten Zugriffsrechte erteilt.
- Sollte
- Die Zugriffsrechte eines Benutzerkontos eines Anwenders werden nach dessen Wechsel (z.B. in einen anderen Verantwortungsbereich) angepasst.
- Schutzbedarf hoch
- Die Zugriffsrechte sind durch den internen Informationsverantwortlichen freigegeben. (C, I, A)
- Bei Sehr Hoch
- Verhinderung von Zugriff und Kenntnisnahme durch nicht autorisierte Personen (privilegierte Benutzer): (C)
- Bei Sehr Hoch
- Informationen werden auf inhaltlicher Ebene (z.B. Dateiebene) verschlüsselt gespeichert.
- Bei Sehr Hoch
- Wenn eine Verschlüsselung praktisch nicht durchführbar ist, müssen Informationen durch vergleichbar wirksame Maßnahmen geschützt werden.
- Bei Sehr Hoch
- Bestehende Zugriffsrechte werden in kürzeren Abständen regelmäßig überprüft (z.B. vierteljährlich) (C)
Umsetzung
Umsetzung der TISAX Anforderungen zum Management von Zugriffsrechten
Um den stringenten Anforderungen des TISAX Standards im Bereich des Zugriffsrechtenmanagements gerecht zu werden, sollten Unternehmen eine klare Strategie zur Vergabe, Verwaltung und Überprüfung der Zugriffsrechte etablieren. Zunächst ist es essentiell, dass Verfahren für die Beantragung, Verifizierung und Genehmigung von Zugriffsrechten implementiert werden. Dies beinhaltet die Einrichtung eines formellen Antragsprozesses, bei dem alle Anträge auf Zugriff penibel dokumentiert und durch autorisiertes Personal genehmigt werden.
Die Anwendung des Minimalprinzips („Need-to-know“- bzw. „Least-Privilege“-Prinzip) ist dabei grundlegend. Jeder Mitarbeiter erhält nur diejenigen Rechte, die unbedingt notwendig sind, um seine Aufgaben zu erfüllen. Dies vermindert das Risiko eines internen Missbrauchs sowie externer Sicherheitsverletzungen. Ebenfalls muss gewährleistet sein, dass Zugriffsrechte umgehend widerrufen werden, sobald sie nicht mehr benötigt werden, um die Sicherheit weiterhin zu gewährleisten.
Die Überprüfung der Zugriffsrechte sollte regelmäßig erfolgen, nicht nur in den eigenen IT-Systemen, sondern auch in denen von Kunden, um sicherzustellen, dass keine veralteten oder unnötigen Zugriffsrechte bestehen. Die Einführung von Berechtigungskonzepten und Berechtigungsrollen kann hierbei unterstützen und eine strukturierte Vergabe von Zugriffsrechten ermöglichen. Benutzerkonten sollten zudem rollenbasierte Zugriffsrechte erhalten, die ihrem Verantwortungsbereich entsprechen und nach Veränderungen im Verantwortungsbereich des Anwenders angepasst werden. Es ist strikt darauf zu achten, dass normalen Benutzerkonten keine privilegierten Zugriffsrechte erteilt werden.
Bei einem hohen Schutzbedarf ist zusätzlich erforderlich, dass die Zugriffsrechte durch einen internen Informationsverantwortlichen freigegeben werden. In einem Umfeld mit sehr hohem Schutzbedarf müssen die Maßnahmen noch intensiviert werden. Dazu gehört die Verschlüsselung von Informationen auf inhaltlicher Ebene, wie zum Beispiel auf Dateiebene, um den Zugriff durch nicht autorisierte Personen, einschließlich privilegierter Benutzer, zu verhindern. Sollte eine Verschlüsselung nicht praktikabel sein, müssen gleichwertige Schutzmaßnahmen etabliert werden. Zudem sind die Zugriffsrechte in solchen Fällen in noch kürzeren Intervallen, beispielsweise vierteljährlich, zu überprüfen.
Durch die Implementierung dieser Maßnahmen können Unternehmen den TISAX Anforderungen entsprechen und einen zuverlässigen Schutz ihrer Informationen gewährleisten.
