Zugang ist ein Begriff aus dem BSI-Grundschutz und bezeichnet den logischen Zugang zu IT-Systemen, also die Möglichkeit, sich an einem System anzumelden (Login). Er wird im Dreiklang mit Zutritt (physisch) und Zugriff (Daten) verwendet. Im ISMS ist die Kontrolle des Zugangs eine Kernaufgabe: Wer darf sich an welchen Systemen anmelden? Maßnahmen umfassen Benutzer-ID-Management, starke Authentifizierung und die regelmäßige Überprüfung von Zugangsrechten. ISO 27001 Annex A.5.15-A.5.18 decken das Thema Zugangssteuerung ab.
Zugang
Hier verwendet
ISO-27001-Kontrollen 38
- A.5.10 — Akzeptable Nutzung von Informationswerten
- A.5.15 — Zugriffskontrolle
- A.5.17 — Authentifizierungsinformationen
- A.5.18 — Zugriffsrechte
- A.5.19 — IS in Lieferantenbeziehungen
- A.5.23 — IS für Cloud-Dienste
- A.5.24 — Planung des Vorfallmanagements
- A.5.29 — IS während einer Störung
- A.5.32 — Geistige Eigentumsrechte
- A.5.33 — Schutz von Aufzeichnungen
- A.5.37 — Dokumentierte Betriebsverfahren
- A.5.4 — Managementverantwortlichkeiten
- A.5.6 — Kontakt mit Interessengruppen
- A.6.1 — Sicherheitsüberprüfung
- A.6.2 — Beschäftigungsbedingungen
- A.6.6 — Vertraulichkeitsvereinbarungen
- A.6.7 — Telearbeit
- A.7.1 — Physische Sicherheitsgrenzen
- A.7.11 — Unterstützende Versorgungsdienste
- A.7.12 — Sicherheit der Verkabelung
- A.7.2 — Physischer Zugang
- A.7.3 — Sichern von Büros, Räumen und Einrichtungen
- A.7.4 — Physische Sicherheitsüberwachung
- A.7.6 — Arbeiten in sicheren Bereichen
- A.7.8 — Platzierung und Schutz von Geräten
- A.7.9 — Sicherheit von Vermögenswerten außerhalb des Firmengeländes
- A.8.1 — Benutzerendgeräte
- A.8.11 — Datenmaskierung
- A.8.18 — Verwendung privilegierter Dienstprogramme
- A.8.21 — Sicherheit von Netzwerkdiensten
- A.8.22 — Trennung von Netzwerken
- A.8.23 — Web-Filterung
- A.8.3 — Einschränkung des Informationszugriffs
- A.8.30 — Ausgelagerte Entwicklung
- A.8.31 — Trennung von Entwicklungs-, Test- und Produktionsumgebungen
- A.8.32 — Änderungsmanagement
- A.8.34 — Schutz bei Prüfungstests
- A.8.7 — Schutz vor Malware
Bedrohungen 24
- G 0.1 — Feuer
- G 0.13 — Abfangen kompromittierender Strahlung
- G 0.14 — Ausspähen von Informationen (Spionage)
- G 0.15 — Abhören
- G 0.16 — Diebstahl von Geräten, Datenträgern oder Dokumenten
- G 0.18 — Fehlplanung oder fehlende Anpassung
- G 0.19 — Offenlegung schützenswerter Informationen
- G 0.21 — Manipulation von Hard- oder Software
- G 0.23 — Unbefugtes Eindringen in IT-Systeme
- G 0.24 — Zerstörung von Geräten oder Datenträgern
- G 0.28 — Software-Schwachstellen oder -Fehler
- G 0.30 — Unberechtigte Nutzung oder Administration von Geräten und Systemen
- G 0.32 — Missbrauch von Berechtigungen
- G 0.35 — Nötigung, Erpressung oder Korruption
- G 0.36 — Identitätsdiebstahl
- G 0.39 — Schadprogramme
- G 0.41 — Sabotage
- G 0.42 — Social Engineering
- G 0.43 — Einspielen von Nachrichten
- G 0.44 — Unbefugtes Eindringen in Räumlichkeiten
- G 0.46 — Integritätsverlust schützenswerter Informationen
- G 0.47 — Schädliche Seiteneffekte IT-gestützter Angriffe
- G 0.6 — Katastrophen im Umfeld
- G 0.7 — Großereignisse im Umfeld