CycleSEC Quellenstudium: Need-to-know-Prinzip
Wir unterscheiden in unserem CycleSEC Quellenstudium drei verschiedene Kategorien von Quellen:
- Unerlässliche Quellen (ISO/IEC 27000-Familie, BSI IT-Grundschutz)
- Weitere wichtige Quellen (ENISA, TeleTrusT, SANS, OWASP, etc.)
- Auch interessant (Bloger, Websites, spannende Artikel)
In unserem CycleSEC Quellenstudium stellen wir aktuelle Fundstellen zum Need-to-know-Prinzip zusammen.
Unerlässlich:
ISO/IEC 27001-Familie
Die ISO/IEC 27000-Familie kommt erst im Code of Practice der ISO/IEC 27002 auf das Need-to-know-Prinzip zu sprechen. Hier wird unter 9.1.1 Access control policy die Berücksichtigung des Need-to-know- Prinzip gefordert: Kenntniss nur wenn nötig.
Auch unter 16.1.5 Response to information security incidents wird das Need-to-know-Prinzip explizit erwähnt. Weitere Fundstellen der ISO/IEC 27000-Familie:
ISO/IEC 27034-1 – B.4.2 AC-2 Account management
ISO/IEC 27036-3 – 6.3.5 Configuration management process
Ursprünglich definiert wir der Begriff in der ISO/IEC Normenwelt übrigens in der ISO/IEC 29146.
BSI IT-Grundschutz
Der BSI IT-Grundschutz geht auf das Thema ebenfalls ein und bietet z.B. folgende Fundstellen:
- Leitfaden Informationssicherheit – IT-Grundschutz kompakt
- 6.2 Schlechte Konfiguration von IT-Systemen
- 15. Datenzugriffsmöglichkeiten sollten auf das erforderliche Mindestmaß beschränkt werden
- BSI-Standard 100-4 – Notfallmanagement
- 3.3 Sicherheit und Datenschutz
Darüber hinaus wird das Need-to-know-Prinzip in zahlreichen Maßnahmen der Grundschutzkataloge erwähnt. Versuchen Sie auf der BSI-Webseite eine Suchanfrage.
Wichtig:
TeleTrusT – Bundesverband IT-Sicherheit e.V.
In seiner Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes wird das Need-to-know-Prinzip als fortschrittliches Verfahren aufgelistet.
PCI DSS
Der Payment Card Industry (PCI) Security Standards Council – Data Security Standard (PCI DSS) fordert in Requirement 7: Restrict access to cardholder data by business need-to-know.
OWASP
Auch das OWASP befasst sich mit dem Thema, allerdings – wie viele englischsprachige Quellen – unter dem Suchbegriff Least Privilege.
Auch interessant:
if(is)
Das Institut für Internet-Sicherheit – if(is) führt den Begriff in seinem Glossar.
Computerwoche:
In Anspielung auf die TeleTrusT-Liste der „fortschrittlichen“ Verfahren: Die Computerwoche zitiert aus einem Buch, dass unter dem Titel „„Need-to-know“- Prinzip und Datenunabhängigkeit“ bereits 1978 feststellt:
„Das Verbergen unnötiger Information ist ein wichtiges Entwurfsprinzip bei großen Programmsystemen und hat als „need-to-know“-Prinzip oder als „Geheimhaltungsprinzip“ allgemeine Beachtung gefunden.“
Computerwoche
„Need-to-know“- Prinzip und Datenunabhängigkeit
Zusammenfassung
Alles in allem also eine ganz gute Quellenlage, inklusive einer Fundstelle zum Schmunzeln 😉
CycleSEC wünscht weiterhin viel Erfolg bei der Verbesserung Ihrer Sicherheitsanstrengungen…
Sie kennen weitere Quellen? Nutzen Sie die Kommentarfunktion und teilen Sie Ihr Wissen mit anderen Security-Professionals.