Berechtigungskonzept Muster

Autorisierungskonzept Muster

Diese Vorlage Rollen- und Berechtigungskonzept ist Teil einer Reihe von Vorlagen, die alle relevanten Dokumente zur Informationssicherheit enthalten. Das bedeutet, dass diese Regelungen im Berechtigungskonzept abgebildet werden müssen. Laden Sie sich einfach unser Beispiel als Word-Dokument herunter.

Berechtigungskonzept: schrittweise Umsetzung

Im Berechtigungskonzept muss abgebildet werden, welche Zugänge zulässig sind und welche nicht. Wenn das Berechtigungskonzept zu streng ist, beeinträchtigt es die Arbeitsproduktivität. Wenn es zu locker ist, sind die Informationen in der Regel in Gefahr. In vielen Betrieben sind die Autorisierungskonzepte unvollständig und zeitgemäß. Defizite im Berechtigungskonzept sind jedoch nur in den seltensten Fällen dadurch gerechtfertigt, dass die Betroffenen die Signifikanz nicht erkennen.

Ein Berechtigungskonzept ist jedoch vielschichtig und dynamisch veränderbar: Benutzer bekommen neue Funktionen und Funktionen, ändern Abteilungen und Aufträge. Es kommen neue Benutzer in das Betrieb, andere gehen. Ähnliches gilt für IT-Systeme und Daten: Es werden neue Vorrichtungen, Applikationen und Dateien hinzugefügt, ältere Vorrichtungen werden gekauft, es wird die installierte Version der Computersoftware entfernt, die Dateien werden ausgelesen.

Vor allem durch die neuen IT-Trends ergeben sich weitere Voraussetzungen für Berechtigungskonzepte: Oft verwenden Mitarbeitende die mobilen Nebenstellen für geschäftliche und private Zwecke (BYOD, Bring Your Own Device). Neben den dezentralen und firmeneigenen Apps im Unternehmensnetzwerk sind auch Cloud-Apps für die Anwender verfügbar. Außerdem muss ein Berechtigungskonzept berücksichtigt werden. Immer häufiger werden den Geräten neben dem Benutzer auch Zugangsrechte zu personenbezogenen Merkmalen eingeräumt, die sie dann automatisch auswerten.

Eine Überprüfung der Rechte eines Benutzers ist nicht ausreichend. Dabei ist zu überprüfen, ob die Beschäftigten die Befugnisse nicht mißbrauchen ("interne Täter", "Insiderangriffe"). Das Berechtigungskonzept muss komplett, übergreifend und zeitnah sein. Das ist keine einfache Sache, aber es wird gelingen, wenn Ihr Betrieb schrittweise voranschreitet. Kontrollieren Sie das Berechtigungskonzept im Zuge der Zutrittskontrolle.

Die erste Zielsetzung, die Vollzähligkeit des Berechtigungskonzeptes, kann nur erreicht werden, wenn alle relevanten Daten im Betrieb über Benutzer, ihre Tätigkeiten und Funktionen, über Endgeräte und Applikationen, sowohl dezentral als auch im Netz und in der CoL. zusammengefasst werden. Stellen Sie sich Benutzer vor, die keine Angestellten sind, aber Zugang benötigen, wie z.B. Drittanbieter.

Dabei werden die zu bestimmenden Rechte Benutzern, Endgeräten und Applikationen zugeordnet. Dabei ist es besonders darauf zu achten, dass jede Einzelperson, jedes Endgerät und jede Einzelanwendung, die Zugang zu personenbezogenen Informationen haben soll, eindeutig und zuverlässig identifiziert werden kann. Andernfalls wird das Berechtigungskonzept schwächer und risikoreich. Bei einem wasserdichten Ansatz müssen Sie exakt differenzieren, ob ein Benutzer nur eine einzige Informationen auslesen darf, ob ein Endgerät eine Datenkopie behalten darf oder ob eine Instanz gewisse Informationen auslöschen darf.

Die Vergabe der Rechte muss nach dem Grundsatz der Mindestberechtigung erfolgen: So wenig wie möglich, so wenig wie möglich, so wenig wie unbedingt nötig. Um sicherzustellen, dass das Berechtigungskonzept überschaubar und nicht unvollständig ist, werden Rollensätze empfohlen. Dahinter steckt die Vorstellung, dass mehrere Benutzer, die die selben Rollen und damit die selben Rollen im Betrieb haben, die selben Rechte benötigen.

Anstelle der Neudefinition der Rechte für jeden Benutzer werden den Benutzern die Rechte zuteil. Anschließend werden die Benutzer den jeweiligen Funktionen zugewiesen. Es ist wichtig, die Autorisierungen auf Unstimmigkeiten zu prüfen. Dies trifft insbesondere dann zu, wenn Benutzer unterschiedliche Funktionen zur gleichen Zeit ausführen. Darüber hinaus muss die Rollenvergabe sowohl im Hinblick auf den Benutzer als auch auf die Berechtigung regelmässig auf Aktuellität und Vollzähligkeit überprüft werden.

Sie haben also keine Informationen, welcher Benutzer zur Unternehmensgruppehört. Unterschiedliche Benutzer bekommen dann Gruppenrechte und können nicht mehr unterschieden werden. Aufwändige Zuordnungen zwischen Benutzern, Benutzerrollen und Autorisierungen mit allen Unterebenen wie z. B. Schreiben oder Schreiben sind nicht sinnvoll, da die Identitäten des Benutzers, aber auch der Endgeräte, Anwendungen und Cloud-Applikationen nicht zuverlässig überprüft werden können.

Weil Endgeräte und Applikationen keine Kennwörter auswählen und eintragen können. Sie verfügt über unterschiedliche Sicherheitsmaßnahmen zur Überprüfung von Ausweisen. Darüber hinaus werden Geräten und Applikationen Identifikationen und Sicherheitsaspekte zur Verfügung gestellt. Sowohl in Bezug auf die Festlegung als auch auf die technische Realisierung (mit dem IAM-System) muss das Berechtigungskonzept geprüft und geprüft werden. Achten Sie besonders auf die unglücklicherweise häufigen Ausnahmefälle und temporären Berechtigungen:

Exceptions schwächen das Berechtigungskonzept. Wenn die Autorisierungen nicht zeitlich richtig begrenzt sind, geht dem Begriff seine AktualitÃ?t und Geborgenheit verloren. Sie sollten daher sowohl die Arbeit am Berechtigungskonzept als auch dessen Prüfung als laufende Aufgabe betrachten.

Mehr zum Thema