Security is a process!

CycleSEC Quellenstudium: Need-to-know-Prinzip

Wir unterscheiden in unserem CycleSEC Quellenstudium drei verschiedene Kategorien von Quellen:

  1. Unerlässliche Quellen (ISO/IEC 27000-Familie, BSI IT-Grundschutz)
  2. Weitere wichtige Quellen (ENISA, TeleTrusT, SANS, OWASP, etc.)
  3. Auch interessant (Bloger, Websites, spannende Artikel)

In unserem CycleSEC Quellenstudium stellen wir aktuelle Fundstellen zum Need-to-know-Prinzip zusammen.

Unerlässlich:

ISO/IEC 27001-Familie

Die ISO/IEC 27000-Familie kommt erst im Code of Practice der ISO/IEC 27002 auf das Need-to-know-Prinzip zu sprechen. Hier wird unter 9.1.1 Access control policy die Berücksichtigung des Need-to-know- Prinzip gefordert: Kenntniss nur wenn nötig.

Auch unter 16.1.5 Response to information security incidents wird das Need-to-know-Prinzip explizit erwähnt. Weitere Fundstellen der ISO/IEC 27000-Familie:

ISO/IEC 27034-1 – B.4.2 AC-2 Account management

ISO/IEC 27036-3 – 6.3.5 Configuration management process

Ursprünglich definiert wir der Begriff in der ISO/IEC Normenwelt übrigens in der ISO/IEC 29146.

BSI IT-Grundschutz

Der BSI IT-Grundschutz geht auf das Thema ebenfalls ein und bietet z.B. folgende Fundstellen:

Darüber hinaus wird das Need-to-know-Prinzip in zahlreichen Maßnahmen der Grundschutzkataloge erwähnt. Versuchen Sie auf der BSI-Webseite eine Suchanfrage.

Wichtig:

TeleTrusT – Bundesverband IT-Sicherheit e.V.

In seiner Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes wird das Need-to-know-Prinzip als fortschrittliches Verfahren aufgelistet.

PCI DSS

Der Payment Card Industry (PCI) Security Standards Council – Data Security Standard (PCI DSS) fordert in Requirement 7: Restrict access to cardholder data by business need-to-know.

OWASP

Auch das OWASP befasst sich mit dem Thema, allerdings – wie viele englischsprachige Quellen – unter dem  Suchbegriff Least Privilege.

Auch interessant:

if(is)

Das Institut für Internet-Sicherheit – if(is)  führt den Begriff in seinem Glossar.

Computerwoche:

In Anspielung auf die TeleTrusT-Liste der „fortschrittlichen“ Verfahren: Die Computerwoche zitiert aus einem Buch, dass unter dem Titel „„Need-to-know“- Prinzip und Datenunabhängigkeit“ bereits 1978 feststellt:

„Das Verbergen unnötiger Information ist ein wichtiges Entwurfsprinzip bei großen Programmsystemen und hat als „need-to-know“-Prinzip oder als „Geheimhaltungsprinzip“ allgemeine Beachtung gefunden.“

Computerwoche
„Need-to-know“- Prinzip und Datenunabhängigkeit

Zusammenfassung

Alles in allem also eine ganz gute Quellenlage, inklusive einer Fundstelle zum Schmunzeln 😉

CycleSEC wünscht weiterhin viel Erfolg bei der Verbesserung Ihrer Sicherheitsanstrengungen…

Sie kennen weitere Quellen? Nutzen Sie die Kommentarfunktion und teilen Sie Ihr Wissen mit anderen Security-Professionals.

Veröffentlicht am

Photo of author

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen