Zugriff ist ein Begriff aus dem BSI-Grundschutz und bezeichnet die Möglichkeit, innerhalb eines Systems auf Daten und Funktionen zuzugreifen. Er unterscheidet sich von Zugang (Login) und Zutritt (physisch). Im ISMS steuerst Du den Zugriff über Berechtigungskonzepte, rollenbasierte Zugriffsmodelle (RBAC) und das Least-Privilege-Prinzip. Zugriffsrechte sollten regelmäßig überprüft werden, insbesondere bei Rollenwechseln oder Austritten. ISO 27001 Annex A.8.3 fordert die Einschränkung des Informationszugriffs.
Zugriff
Hier verwendet
ISO-27001-Kontrollen 35
- A.5.14 — Informationsübertragung
- A.5.15 — Zugriffskontrolle
- A.5.18 — Zugriffsrechte
- A.5.19 — IS in Lieferantenbeziehungen
- A.5.25 — Bewertung von IS-Ereignissen
- A.5.26 — Reaktion auf IS-Vorfälle
- A.5.28 — Sammlung von Beweismitteln
- A.5.3 — Aufgabentrennung
- A.5.33 — Schutz von Aufzeichnungen
- A.5.36 — Einhaltung von IS-Richtlinien
- A.6.7 — Telearbeit
- A.7.1 — Physische Sicherheitsgrenzen
- A.7.10 — Speichermedien
- A.7.11 — Unterstützende Versorgungsdienste
- A.7.12 — Sicherheit der Verkabelung
- A.7.3 — Sichern von Büros, Räumen und Einrichtungen
- A.7.8 — Platzierung und Schutz von Geräten
- A.8.1 — Benutzerendgeräte
- A.8.11 — Datenmaskierung
- A.8.15 — Protokollierung
- A.8.18 — Verwendung privilegierter Dienstprogramme
- A.8.19 — Installation von Software auf Betriebssystemen
- A.8.2 — Privilegierte Zugriffsrechte
- A.8.20 — Netzwerksicherheit
- A.8.22 — Trennung von Netzwerken
- A.8.23 — Web-Filterung
- A.8.27 — Sichere Systemarchitektur und Ingenieurprinzipien
- A.8.28 — Sicheres Programmieren
- A.8.3 — Einschränkung des Informationszugriffs
- A.8.31 — Trennung von Entwicklungs-, Test- und Produktionsumgebungen
- A.8.33 — Testinformationen
- A.8.34 — Schutz bei Prüfungstests
- A.8.4 — Zugriff auf den Quellcode
- A.8.5 — Sichere Authentifizierung
- A.8.9 — Konfigurationsmanagement
Bedrohungen 14
- G 0.15 — Abhören
- G 0.20 — Informationen oder Produkte aus unzuverlässiger Quelle
- G 0.22 — Manipulation von Informationen
- G 0.23 — Unbefugtes Eindringen in IT-Systeme
- G 0.27 — Ressourcenmangel
- G 0.28 — Software-Schwachstellen oder -Fehler
- G 0.30 — Unberechtigte Nutzung oder Administration von Geräten und Systemen
- G 0.32 — Missbrauch von Berechtigungen
- G 0.35 — Nötigung, Erpressung oder Korruption
- G 0.36 — Identitätsdiebstahl
- G 0.38 — Missbrauch personenbezogener Daten
- G 0.41 — Sabotage
- G 0.47 — Schädliche Seiteneffekte IT-gestützter Angriffe
- G 0.9 — Ausfall oder Störung von Kommunikationsnetzen
ISO-27001-Starter-Kit 9
- Lieferantenregister
- Richtlinie zu Telearbeit und BYOD
- Richtlinie zum IT-Betrieb
- Richtlinie zur Geschäftskontinuität
- Richtlinie zur Informationsklassifizierung
- Richtlinie zur Personalsicherheit
- Richtlinie zur physischen Sicherheit
- Richtlinie zur sicheren Softwareentwicklung
- Zugriffskontrollrichtlinie