Zu den Anforderungen an die Erstellung von Berechtigungskonzepten bzgl. der Vergabe von Rollen und Berechtigungen in IT-Systemen gehören z.B.:
-
- Rollen und Berechtigungen müssen das „Need-to-know-Prinzip“ umsetzen.
- Rollen und Berechtigungen müssen das Prinzip der minimalen Rechtevergabe („Least privilege principle“) umsetzen.
- Rollen und Berechtigungen müssen das Prinzip der Gewaltenteilung („Segregation of duties“) umsetzen.
- Die aus den Geschäftsprozessen abgeleiteten Rollen SOLLTEN im Berechtigungskonzept weiter differenziert werden, um jeder Rolle möglichst spezifische Zugriffsrechte zuordnen zu können.
- Für jede Rolle müssen mindestens die eindeutige Bezeichnung, eine Beschreibung der Aufgaben, Rechte und Pflichten im Kontext der Anwendung und die Zuordnung der hierfür notwendigen Funktionen zur Rolle spezifiziert sein
- Neben den Benutzer-Rollen müssen die administrativen/betrieblichen Rollen des IT-Systems spezifiziert und beschrieben sein.
- Rollen und Berechtigungen müssen für jede Systemumgebung (Produktiv-, Entwicklungs-, und Abnahmeumgebung) unabhängig und individuell zugeordnet werden.