ISO 27001: Die Bedeutung von Privileged Access Management (PAM) verstehen
ISO 27001 ist das weltweit umfassendste und anerkannteste Rahmenwerk für Informationssicherheitsmanagementsysteme (ISMS). Sie bildet den Kern vieler Cybersicherheitsprogramme von Unternehmen; ISO 27001 wird auch für eine Reihe von Compliance-Regelungen als wesentlich angesehen. Zugangskontrollen, einschließlich PAM, sind in den Anforderungen weit verbreitet.
Was ist ISO 27001?
ISO 27001 wird von der Internationalen Normungsorganisation (ISO) herausgegeben. Das daraus resultierende ISMS dient der Sicherung kritischer Infrastrukturen. ISO 27001 ist umfassend und deckt praktisch alle Aspekte der Informationssicherheit ab. Die Kontrollen betreffen die Sicherheitspolitik, die physische Sicherheit und die Reaktion auf Zwischenfälle. Sie gewährleistet, dass die Organisation international anerkannte Best Practices im Bereich der Informationssicherheit anwendet.
Das Ziel des Rahmens ist die kontinuierliche Verbesserung. Dieses Ethos ist in den Plan-Do-Check-Act-Prozess eingebettet, der es einer Organisation ermöglicht, sich selbst als ISO 27001-konform zu zertifizieren. Alternativ ist es möglich, eine unabhängige Zertifizierung durch einen Dritten nach einem Audit zu erhalten.
ISO 27001 und Konformität
Das Framework unterstützt Unternehmen bei der Einhaltung von Vorschriften wie GDPR, HIPAA und PCI-DSS. Dies ist aus zwei Gründen der Fall. Erstens können die Kontrollen eines ISMS so konfiguriert werden, dass sie den Anforderungen einer Vorschrift entsprechen, z. B. wenn die Verschlüsselung für die Einhaltung des HIPAA erforderlich ist, dann hilft es, die Verschlüsselung für das ISMS verbindlich zu machen.
Der ISO 27001-Rahmen hilft Organisationen zu verstehen, was sie tun müssen, um eine Vielzahl von Vorschriften einzuhalten.
Zweitens verlangt ISO27001 als Teil des Zertifizierungsprozesses buchstäblich die Einhaltung von Gesetzen. Abschnitt A.18.1 mit dem Titel “Einhaltung gesetzlicher und vertraglicher Anforderungen” enthält Kontrollen, die die Einhaltung der gesetzlichen und vertraglichen Verpflichtungen einer Organisation vorschreiben. Genauer gesagt, Unterabschnitt A.18.1.1. besagt, dass das ISMS ausdrücklich rechtliche und regulatorische Anforderungen identifizieren und dokumentieren muss.
Zugangskontrollen in ISO 27001
ISO 27001 deckt das gesamte Spektrum der Informationssicherheit ab. Der Rahmen umfasst Kontrollen für Sicherheitsrichtlinien, Asset Management, Kryptografie, Personalwesen, Back-End-Wiederherstellung und mehr. Die Zugangskontrolle spielt dabei jedoch eine wichtige Rolle. Spezifische Kontrollen befassen sich mit dem Zugang, aber die Fragen des Zugangs, der Autorisierung und der Authentifizierung sind für fast jeden Aspekt des Rahmens entscheidend. Schließlich ist es unmöglich, eine wirksame Datenverschlüsselung durchzuführen, wenn man nicht kontrollieren kann, wer Zugang zur Verschlüsselungssoftware hat.
PAM und ISO 27001
PAM ist ein Bereich der Sicherheit, der sich mit der Kontrolle und Überwachung von Benutzern mit administrativen (auch “Root”-) Rechten oder solchen, die privilegierte Konten verwenden, befasst. Ein privilegierter Benutzer ist jemand, der Zugang zu den Back-Ends kritischer Systeme hat. So kann ein privilegierter Benutzer beispielsweise berechtigt sein, eine Firewall zu konfigurieren oder ein Datenbankbenutzerkonto zu löschen. Privilegierte Benutzer konnten auch Daten löschen oder ändern sowie Software installieren und deinstallieren. Ein privilegierter Benutzer kann ein Angestellter, ein Auftragnehmer oder sogar eine automatisierte Anwendung sein. Da sie Zugang zu sensiblen Informationen und Systemen haben, muss der Zugang privilegierter Benutzer sorgfältig geregelt werden. ISO 27001 befasst sich sowohl direkt als auch indirekt mit dieser Anforderung. Abschnitt A.9.2.3, “Verwaltung von privilegierten Zugriffsrechten”, enthält eine Anforderung zur Kontrolle und Einschränkung privilegierter Zugriffsrechte. A.9.4.4, “Verwendung von privilegierten Dienstprogrammen”, fügt dem ISMS eine weitere PAM-Schutzmaßnahme hinzu, in der die Notwendigkeit der Kontrolle von Dienstprogrammen erörtert wird, die andere Kontrollen außer Kraft setzen können.
In mehreren Abschnitten des ISO 27001-Rahmenwerks heißt es, dass der Zugriff privilegierter Benutzer sorgfältig geregelt werden muss, und daher ist der Einsatz von PAM-Software ein guter Anfang für die Einhaltung der Vorschriften.
PAM taucht auch in den Abschnitten A.6 “Organisation der Informationssicherheit”, A.11 “Physische und Umweltsicherheit” und A.15 “Beziehungen zu Lieferanten” der ISO 27001 auf. PAM taucht indirekt in den Abschnitten A.5, “Informationssicherheitsrichtlinien”, A.12, “Betriebssicherheit”, A.16, “Informationssicherheitsmanagement” und A.18, “Einhaltung interner Anforderungen” auf. Jeder dieser Kontrollbereiche ist auf privilegierte Benutzer angewiesen, um wirksam zu sein.
Wie eine PAM-Lösung die ISO 27001-Kontrollen ermöglicht
Eine PAM-Lösung schützt eine Organisation vor versehentlichem oder absichtlichem Missbrauch von privilegiertem Zugriff. Sie kann (und sollte) ein entscheidendes Element eines ISMS sein. Die PAM-Lösung behält den Überblick über privilegierte Benutzer. Es ermöglicht die Umsetzung von ISO 27001 durch einen sicheren, zentralisierten und rationalisierten Mechanismus zur Autorisierung und Überwachung aller privilegierten Benutzer für alle relevanten Systeme:
- PAM gewährt und entzieht Benutzern nur für Systeme, für die sie berechtigt sind, Privilegien.
- PAM vermeidet die Notwendigkeit, dass privilegierte Benutzer lokale/direkte Passwörter haben oder benötigen.
- PAM verwaltet schnell und zentral den Zugriff auf eine Vielzahl heterogener Systeme.
- PAM erstellt einen unveränderlichen Prüfpfad für jede privilegierte Operation.
PAM ist ein wichtiges Element des ISMS, das es Unternehmen ermöglicht, alle Aktionen privilegierter Benutzer innerhalb ihrer IT-Infrastruktur zu verfolgen.
Die WALLIX PAM-Lösung für ISO 27001
WALLIX bietet eine vollständige PAM-Lösung an, die sich gut mit ISO 27001 vereinbaren lässt. Dank seiner agentenlosen Architektur ist es einfach zu implementieren, zu warten und zu ändern. Dank dieser Eigenschaft kann es Teil des ISMS sein, ohne das System zu starr zu machen. Die einzelnen Komponenten von WALLIX tragen zur Erfüllung der ISO 27001-Kontrollen und des ISMS bei:
- WALLIX Zugriffsmanager – Regelt den Zugriff auf privilegierte Konten. Es zentralisiert die Zugangskontrolle, indem es einen einzigen Zugangspunkt schafft. Privilegierte Benutzer beantragen den Zugang zu einem System über den Access Manager, der die Definition und Durchsetzung der Zugriffskontrollpolitik nach ISO 27001 umsetzt. Access Manager kennt alle sensiblen Systeme, auf die ein Benutzer Zugriffsrechte hat. Superadministratoren können damit privilegierte Benutzerkonten hinzufügen, ändern oder löschen.
- WALLIX Passwort Tresor – Verhindert, dass privilegierte Benutzer die tatsächlichen Passwörter oder Anmeldedaten für kritische Systeme kennen. Dies schließt manuelle Überschreibungen an physischen Geräten aus, ein Risiko, das in Abschnitt A.11 beschrieben wird.
- WALLIX Sitzungsmanager – Verfolgt privilegierte Benutzerverbindungen und -aktivitäten und bietet Echtzeitüberwachung und -aufzeichnung aller Benutzeraktivitäten. Session Manager ermöglicht ein detailliertes Audit und eine präzise Reaktion auf Vorfälle, beides wesentliche Voraussetzungen für ISO 27001.
Die Zertifizierung und Prüfung nach ISO 27001 ist ein mühsamer Prozess. Jeder Satz von Kontrollen in diesem Rahmen muss sorgfältig umgesetzt werden. PAM kann dazu beitragen, den Prozess zu vereinfachen und die Einhaltung der Normen robuster und flexibler zu gestalten.
Wenn Sie mehr über Privileged Access Management und die Einhaltung von ISO 27001 erfahren möchten, laden Sie sich bitte das vollständige Dokument herunter.