Политика за сигурност и контрол на достъпа до лични данни

Политиката за сигурност и контрол на достъпа до лични данни определя специфичните за организацията изисквания за защита на личната информация в системи, приложения, услуги, устройства, облачни среди и оперативни процеси. Тя се прилага, когато лични данни се съхраняват, предават, обработват, достъпват, администрират или защитават, и обхваща контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване. Политиката е изрично проектирана да се интегрира със съществуващите практики за информационна сигурност, а не да замества цялостна система за управление на информационната сигурност, Политика за мрежова сигурност, Политика за сигурна разработка, политика за резервни копия, политика за крайни точки, политика за сигурност на облачни услуги, криптографски стандарт, процедура за управление на уязвимостите или процедура за реагиране при инциденти. Основната ѝ цел е да гарантира, че личните данни са защитени чрез подходящи, съобразени с риска и подлежащи на одит контроли за сигурност и достъп през целия процес на обработване. За тази цел политиката установява базов набор от мерки за сигурност на личните данни и изисква проследими доказателства чрез REG02, REG08, REG10 и REG12. Този доказателствен модел е централен за политиката: оперативни журнали, резултати от инструменти за сигурност, експорти от прегледи на достъпа, доклади за уязвимости и доказателства за конфигурация могат да бъдат приложени към, обобщени в или реферирани от каноничните доказателствени обекти, но не се третират като отделни регистри на СУНЛИ. Това позволява на организацията да докаже, че контролите са планирани, внедрени, прегледани, наблюдавани и подобрявани, без да дублира записи за сигурност. Политиката определя подробни изисквания за контрол на достъпа, автентикация и привилегирован достъп. Достъпът до лични данни трябва да бъде ограничен до одобрени роли и оторизирани потребители, записани или проследими в REG02 или REG12, а служебната цел трябва да бъде одобрена преди предоставяне на достъп. Системите с лични данни с високо въздействие или чувствителни лични данни изискват прегледи на потребителския достъп най-малко на тримесечна база, докато другите системи с лични данни изискват най-малко годишен преглед. Достъпът трябва да бъде премахнат или изменен в рамките на един работен ден след промяна на роля, прекратяване на правоотношение, приключване на договор или когато достъпът вече не е необходим. Привилегированият достъп изисква документирана обосновка, обхват и одобрение преди предоставяне, с месечен преглед за системи с лични данни с високо въздействие или чувствителни лични данни и тримесечен преглед за други системи с лични данни. Политиката също разглежда техническите очаквания за сигурност относно автентикация, шифроване, сигурно съхранение, регистриране, мониторинг, сигурна конфигурация, управление на уязвимостите, достъп до крайни точки и достъп до облачни услуги. За акаунти с достъп до лични данни се изискват уникални потребителски идентичности, а за привилегирован, отдалечен, административен или достъп до лични данни с високо въздействие се изисква силна автентикация. Шифроване или одобрени компенсиращи мерки за защита трябва да бъдат определени преди лични данни с високо въздействие, чувствителни лични данни или външно предавани лични данни да бъдат съхранявани, предавани или направени достъпни. Обхватът на регистрирането трябва да включва събития за автентикация, събития за достъп, привилегировани действия, дейности по експортиране на лични данни и съществени промени в конфигурацията. Статусът на конфигурацията и покритието на уязвимостите трябва да бъдат записани в REG12, като неотстранените високорискови уязвимости, засягащи лични данни, се записват в рамките на пет работни дни от валидирането. Управленските отговорности са разпределени между висше ръководство, ръководител по поверителност / мениджър на СУНЛИ, длъжностно лице по защита на данните / съветник по поверителност, ръководител по информационна сигурност, собственик на процес / собственик на бизнеса, собственик на система / собственик на приложение, собственик по доставчици / набавяне, координатор по реагиране при инциденти и вътрешен одит / преглеждащо лице по съответствие. Политиката изисква тримесечни прегледи на пълнотата на доказателствата в REG02, REG08, REG10 и REG12, тримесечен преглед на ефективността на базовия набор от мерки и неотстранените пропуски, както и одитна извадка от прегледи на достъпа, прегледи на привилегирован достъп, доказателства за регистриране и доказателства за конфигурация. Изключенията трябва да бъдат записани преди активиране, да включват срок на изтичане, компенсиращ контрол и дата за преглед и да получат одобрение от висшето ръководство, когато засягат лични данни с високо въздействие, чувствителни лични данни, привилегирован достъп, шифроване, регистриране или неотстранени високорискови уязвимости.