Sie suchen passende Fundstellen zu einem Thema? Senden Sie uns eine E-Mail an Mail@CycleSEC.com und schlagen Sie ein Thema vor. Wir veröffentlichen regelmäßig ein CycleSEC Quellenstudium, dass zitierfähige Quellen auflistet, die Sie für Ihre Arbeit nutzen können.
Wir unterscheiden in unserem CycleSEC Quellenstudium drei verschiedene Kategorien von Quellen:
- Unerlässliche Quellen (ISO/IEC 27000-Familie, BSI IT-Grundschutz)
- Weitere wichtige Quellen (ENISA, TeleTrusT, SANS, OWASP, etc.)
- Auch interessant (Bloger, Websites, spannende Artikel)
In unserem zweiten CycleSEC Quellenstudium stellen wir aktuelle Fundstellen zum Need-to-know-Prinzip zusammen:
Unerlässlich:
ISO/IEC 27001-Familie
Die ISO/IEC 27000-Familie kommt erst im Code of Practice der ISO/IEC 27002 auf das Need-to-know-Prinzip zu sprechen. Hier wird unter 9.1.1 Access control policy die Berücksichtigung des Need-to-know- Prinzip gefordert: Kenntniss nur wenn nötig.
Auch unter 16.1.5 Response to information security incidents wird das Need-to-know-Prinzip explizit erwähnt. Weitere Fundstellen der ISO/IEC 27000-Familie:
- ISO/IEC 27034-1 – B.4.2 AC-2 Account management
- ISO/IEC 27036-3 – 6.3.5 Configuration management process
Ursprünglich definiert wir der Begriff in der ISO/IEC Normenwelt übrigens in der ISO/IEC 29146.
BSI IT-Grundschutz
Der BSI IT-Grundschutz geht auf das Thema ebenfalls ein und bietet z.B. folgende Fundstellen:
- Leitfaden Informationssicherheit – IT-Grundschutz kompakt
- 6.2 Schlechte Konfiguration von IT-Systemen
- 15. Datenzugriffsmöglichkeiten sollten auf das erforderliche Mindestmaß beschränkt werden
- BSI-Standard 100-4 – Notfallmanagement
- 3.3 Sicherheit und Datenschutz
Darüber hinaus wird das Need-to-know-Prinzip in zahlreichen Maßnahmen der Grundschutzkataloge erwähnt. Versuchen Sie auf der BSI-Webseite eine Suchanfrage.
Wichtig:
TeleTrusT – Bundesverband IT-Sicherheit e.V.
In seiner Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes wird das Need-to-know-Prinzip als fortschrittliches Verfahren aufgelistet.
PCI DSS
Der Payment Card Industry (PCI) Security Standards Council – Data Security Standard (PCI DSS) fordert in Requirement 7: Restrict access to cardholder data by business need-to-know.
OWASP
Auch das OWASP befasst sich mit dem Thema, allerdings – wie viele englischsprachige Quellen – unter dem Suchbegriff Least Privilege.
Auch interessant:
if(is)
Das Institut für Internet-Sicherheit – if(is) führt den Begriff in seinem Glossar.
Computerwoche:
In Anspielung auf die TeleTrusT-Liste der „fortschrittlichen“ Verfahren: Die Computerwoche zitiert aus einem Buch, dass unter dem Titel „„Need-to-know“- Prinzip und Datenunabhängigkeit“ bereits 1978 feststellt:
„Das Verbergen unnötiger Information ist ein wichtiges Entwurfsprinzip bei großen Programmsystemen und hat als „need-to-know“-Prinzip oder als „Geheimhaltungsprinzip“ allgemeine Beachtung gefunden.“
Zusammenfassung
Alles in allem also eine ganz gute Quellenlage, inklusive einer Fundstelle zum Schmunzeln 😉
CycleSEC wünscht weiterhin viel Erfolg bei der Verbesserung Ihrer Sicherheitsanstrengungen…
Alle Beiträge aus der Reihe
Sie kennen weitere Quellen? Nutzen Sie die Kommentarfunktion und teilen Sie Ihr Wissen mit anderen Security-Professionals.