ISO 27001 ist das weltweit umfassendste und anerkannteste Rahmenwerk für Informations-Sicherheits-Managementsysteme (engl. Information Security Management System oder ISMS). Es bildet den Kern vieler Cybersicherheitsprogramme von Unternehmen; ISO 27001 wird als wesentliche Grundlage für eine Vielzahl von Compliance-Regelungen angesehen. Zugriffskontrollen, einschließlich PAM, sind in den Anforderungen der Norm weit verbreitet.
Was genau ist ISO 27001?
Die ISO 27001 wird von der International Standards Organization (ISO) herausgegeben. Das daraus resultierende ISMS dient der Sicherung kritischer Infrastrukturen. ISO 27001 ist umfassend und deckt nahezu alle Aspekte der Informationssicherheit ab. Die Kontrollen betreffen die Sicherheitspolitik, die physische Sicherheit und die Reaktion auf Vorfälle bzw. Angriffe. Dieses Sicherheitsrahmenwerk gewährleistet, dass die jeweilige Organisation international anerkannte und bewährte Verfahren im Bereich der Informationssicherheit anwendet.
Das Ziel von ISO 27001 ist die kontinuierliche Verbesserung der Sicherheitsstandards. Dieses Ethos ist in den Planungs-, Kontroll-, und Aktionsprozessen eingebettet, die es einer Organisation ermöglichen, sich selbst als ISO 27001-konform zu zertifizieren. Alternativ ist es möglich, eine unabhängige Zertifizierung zu erhalten. Diese kann von einer dritten Partei nach einem gründlichen Audit vergeben werden.
ISO 27001 und die Einhaltung von Vorschriften
Das Rahmenwerk hilft Organisationen bei der Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), dem HIPAA (Health Insurance Portability and Accountability Act) oder dem PCI-DSS (Payment Card Industry Data Security Standard), um nur einige zu nennen. Dies gilt aus zwei Gründen:
Erstens können die Kontrollen eines ISMS so konfiguriert werden, dass sie mit den Anforderungen von bestimmten Vorschriften übereinstimmen. Sollte beispielsweise die Verschlüsselung von Daten für die Einhaltung des HIPAA erforderlich sein, dann hilft es, die Verschlüsselung für das ISMS verpflichtend zu machen.
Das ISO 27001-Rahmenwerk hilft Organisationen zu verstehen, was sie tun müssen, um eine Vielzahl von Vorschriften einzuhalten.
Zweitens verlangt ISO 27001 die Einhaltung von Gesetzen als Teil des Zertifizierungsprozesses in Organisationen. Dies wird mit Hilfe von Abschnitt A.18.1, der den Titel „Einhaltung gesetzlicher und vertraglicher Anforderungen“ trägt, geregelt. Hier werden diese Kontrollen genauer definiert. Insbesondere der Unterabschnitt A.18.1.1. besagt, dass das ISMS ausdrücklich rechtliche und regulatorische Anforderungen identifizieren und dokumentieren muss.
Zugriffskontrollen in ISO 27001
Die ISO 27001 deckt das gesamte Spektrum der Informationssicherheit ab. Das Rahmenwerk umfasst Kontrollen für Sicherheitsrichtlinien, Asset Management, Kryptographie, Personalwesen, Backend-Wiederherstellung und mehr. Die Zugangskontrolle nimmt jedoch einen wichtigen Platz ein. Es gibt spezifische Kontrollen, die sich mit dem Zugriff befassen, jedoch ist die Frage des Zugriffs, der Autorisierung und der Authentifizierung für fast jeden Aspekt des Frameworks entscheidend. So ist es beispielsweise unmöglich, eine wirksame Datenverschlüsselung durchzuführen, wenn man nicht kontrollieren kann, wer Zugriff auf die Verschlüsselungssoftware hat.
Wo sich PAM und ISO 27001 kreuzen
PAM ist ein Bereich der Sicherheit, der die Kontrolle und Überwachung von Nutzern mit administrativen (auch „Root“-) Rechten oder von Benutzern, die privilegierte Konten verwenden, umfasst. Dieses Privileg erlaubt Benutzern den Zugang zu den Back-Ends kritischer Systeme. So kann ein privilegierter Benutzer beispielsweise berechtigt sein, eine Firewall zu konfigurieren oder ein Datenbank-Benutzerkonto zu löschen. Sie können zudem Daten löschen oder ändern sowie Software installieren und deinstallieren. Zu dieser privilegierten Gruppe können Angestellte, ein Auftragnehmer oder sogar eine automatisierte Anwendung zählen. Da sie alle damit Zugang zu sensiblen Informationen und Systemen haben bzw. hätten, muss der Zugang privilegierter Benutzer sorgfältig geregelt werden. Die ISO 27001 befasst sich sowohl direkt als auch indirekt mit dieser Anforderung:
- Abschnitt A.9.2.3, „Management von privilegierten Zugriffsrechten“, enthält eine Anforderung zur Kontrolle und Einschränkung privilegierter Zugriffsrechte
- A.9.4.4, „Nutzung von privilegierten Anwendungsprogrammen“, fügt dem ISMS eine weitere PAM-Schutzmaßnahme hinzu, in der die Notwendigkeit der Kontrolle von Dienstprogrammen erörtert wird, die andere Kontrollen außer Kraft setzen können.
In mehreren Abschnitten des ISO 27001-Rahmens wird darauf hingewiesen, dass der Zugriff privilegierter Benutzer sorgfältig geregelt werden muss, so dass der Einsatz von PAM-Software eine solide Basis bildet für die Einhaltung weiterer Vorschriften.
PAM taucht zudem in den Abschnitten A.6, „Organisation der Informationssicherheit“, A.11, „Physische und Umweltsicherheit“ und A.15, „Lieferantenbeziehungen“ der ISO 27001 auf.
Indirekt ist PAM auch in den Abschnitten A.5, „Informationssicherheitsrichtlinien“, A.12, „Betriebliche Sicherheit“, A.16, „Informationssicherheitsmanagement“ und A.18, „Einhaltung interner Anforderungen“ aufgeführt. Jeder dieser Kontrollbereiche ist auf privilegierte Benutzer angewiesen, um wirksam zu sein.
Wie eine PAM-Lösung die ISO 27001-Kontrollen ermöglicht
Eine PAM-Lösung schützt eine Organisation vor versehentlichem oder absichtlichem Missbrauch von privilegiertem Zugriff. Sie kann (und sollte) ein wichtiges Element eines ISMS sein. Sie behält den Überblick über privilegierte Benutzer. Sie ermöglicht die Umsetzung von ISO 27001 durch einen sicheren, zentralisierten und rationalisierten Mechanismus zur Autorisierung und Überwachung aller privilegierten Benutzer für alle relevanten Systeme:
- PAM gewährt und entzieht den Benutzern nur für die Systeme, für die sie berechtigt sind, Privilegien.
- PAM macht es überflüssig, dass privilegierte Benutzer lokale/direkte Passwörter haben oder benötigen.
- PAM verwaltet schnell und zentral den Zugriff auf eine Vielzahl heterogener Systeme.
- PAM erstellt einen unveränderlichen Prüfpfad für jede privilegierte Operation.
PAM ist ein wichtiges Element des ISMS, das es Unternehmen ermöglicht, alle privilegierten Benutzeraktionen innerhalb ihrer IT-Infrastruktur zu verfolgen.
Die Rolle der WALLIX PAM-Lösungen für ISO 27001
WALLIX bietet eine vollständige PAM-Lösung, die sich gut mit ISO 27001 vereinbaren lässt. Durch die agentenlose Architektur ist sie einfach zu implementieren, zu warten und zu modifizieren. Dank dieser Eigenschaft kann sie Teil des ISMS sein, ohne das System zu sehr einzuschränken. Die Komponenten von WALLIX tragen alle zur Erfüllung der ISO 27001-Kontrollen und des ISMS bei:
- WALLIX Access Manager – Regelt den Zugang zu privilegierten Konten. Er zentralisiert die Zugriffskontrolle, indem er einen einzigen Zugangspunkt schafft. Privilegierte Benutzer beantragen den Zugriff auf ein System über den Access Manager, der die Definition der Zugriffskontrollrichtlinien und die Durchsetzung der Richtlinien nach ISO 27001 umsetzt. Der Access Manager kennt alle sensiblen Systeme, auf die ein Benutzer Zugriffsrechte hat. Superadministratoren können damit privilegierte Benutzerkonten hinzufügen, ändern oder löschen.
- WALLIX Password Vault – Verhindert, dass privilegierte Benutzer die tatsächlichen Passwörter oder Anmeldeinformationen für kritische Systeme kennen. Dies schließt manuelle Überschreibungen auf physischen Geräten aus, ein Risiko, das in Abschnitt A.11 beschrieben wird.
- WALLIX Session Manager – Verfolgt die Verbindungen und Aktivitäten privilegierter Benutzer und ermöglicht die Überwachung und Aufzeichnung aller Benutzeraktivitäten in Echtzeit. Der Session Manager ermöglicht eine detaillierte Prüfung und genaue Reaktion auf Vorfälle, die beide für ISO 27001 unerlässlich sind.
Die Zertifizierung und Prüfung nach ISO 27001 ist ein mühsamer Prozess. Jeder Satz von Kontrollen im Rahmenwerk muss sorgfältig implementiert werden. PAM kann dazu beitragen, den Prozess zu vereinfachen und eine robustere, flexiblere Einhaltung der Standards zu erreichen.
Quelle: WALLIX