Benutzerkennungen u. Rechteprofile dokumentieren nach BSI: ORP 4. A3
Die Pflicht zur Dokumentation ist Baustein ORP 4, in der Maรnahme ORP 4. A3 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt fรผr Sicherheit in der Informationstechnik in Bezug auf die Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3) empfiehlt, und wie Sie diese Anforderungen mit tenfold umsetzen kรถnnen.
Dokumentation von Benutzerkennungen u. Rechteprofilen โ ORP 4. A3
Die Maรnahmenempfehlung ORP 4. A3 (Dokumentation der Benutzerkennungen und Rechteprofile) lรถst die Maรnahme M. 2.31 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maรnahme ORP. 4 A3 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitรคts- und Berechtigungsmanagement).
Der BSI-IT-Grundschutz ist eine Sammlung von Standards fรผr das IT-Sicherheitsmanagement in Unternehmen und รถffentlichen Einrichtungen. Der umfangreiche Maรnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.
Wir haben alle Maรnahmen, die den Bereich Identitรคts- und Berechtigungsmanagement (ORP. 4) betreffen, fรผr Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprรผft.
Pflicht zur Dokumentation nach BSI (ORP 4. A3)
Die Maรnahme ORP 4. A3 des BSI-Grundschutz-Kompendiums besagt folgendes:
โEs MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden. Die Dokumentation der zugelassenen Benutzer,
angelegten Benutzergruppen und Rechteprofile MUSS regelmรครig daraufhin รผberprรผft werden, ob sie den tatsรคchlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch denSicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht.
Die Dokumentation MUSS vor unberechtigtem Zugriff geschรผtzt werden. Sofern sie in elektronischer Form erfolgt, SOLLTE sie in das Datensicherungsverfahren einbezogen werden.โ
Was bedeutet das?
Laut BSI kann die Dokumentation der Zugriffsrechte in Papierform oder รผber die Speicherung individueller Dateien, die vom Administrator verwaltet werden, erfolgen. Die Aufzeichnungen sollen unter anderem dazu genutzt werden, die zugeordneten Berechtigungsprofile und Spezialberechtigungen regelmรครig kontrollieren zu kรถnnen. Diese Formulierung umschreibt einen Vorgang, der รผblicherweise als Rezertifizierung bezeichnet wird.
Darรผber hinaus weist das BSI darauf hin, dass die Dokumentation zuverlรคssig vor unberechtigten Zugriffen zu schรผtzen und gegen Verlust zu sichern ist.
Lรถsung inย tenfold
tenfold speichert jede รnderung an Benutzern und Berechtigungen, sodass sรคmtliche Vorgรคnge jederzeit lรผckenlos nachvollzogen werden kรถnnen. Durch die regelmรครige Synchronisierung zwischen tenfold und allen angebundenen Systemen werden sogar jene รnderungen gespeichert, die extern, d.h. nicht in tenfold selbst durchgefรผhrt wurden.
Die Reporting-Funktion schlieรt eine nachtrรคgliche Manipulation von Daten zuverlรคssig aus. Das Reporting setzt sich zusammen aus dem tenfold Auditor, dem tenfold Pathfinder und diversen Reports in unterschiedlichen Formaten (online, PDF, Excel).
Was macht tenfold zur besten IAM Software fรผr mittelstรคndische Organisationen?
รberprรผfung von Berechtigungen
Um zu gewรคhrleisten, dass die Benutzer, angelegten Benutzergruppen und Rechteprofile noch dem tatsรคchlichen Stand der Rechtevergabe entsprechen, gibt es einen Rezertifizierungsprozess: Der jeweilige Dateneigentรผmer wird in regelmรครigen Abstรคnden automatisch dazu aufgefordert, sรคmtliche Berechtigungen, die in seinen Verantwortungsbereich fallen, zu kontrollieren. Er muss sie entweder bestรคtigen oder umgehend entfernen.
Dieser Prozess erfolgt in tenfold automatisiert รผber einen sogenannten Genehmigungsworkflow. Die entsprechende รnderung (z.B. die Vergabe einer zusรคtzlichen Berechtigung) setzt die Software automatisch im jeweiligen Zielsystem um.
Berechtigungsmanagement im BSI-Grundschutz
Einrichtung und Lรถschung von Benutzern und Benutzergruppen (ORP 4. A1)
Einrichtung, รnderung und Entzug von Berechtigungen (ORP 4. A2)
Vergabe von Zugriffsrechten (ORP 4. A7)
Richtlinien fรผr die Zugriffs- und Zugangskontrolle (ORP 4. A16)
Geeignete Auswahl von Identitรคts- und Berechtigungsmanagement-Systemen (ORP 4. A17)
Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)
Festlegung von Regelungen fรผr den Einsatz von Fremdpersonal (ORP 2. A4)