Политика за управление на потребителски акаунти и привилегии - МСП

Политиката за управление на потребителски акаунти и привилегии (P11S) е всеобхватен, фокусиран върху МСП документ, предназначен да управлява създаването, използването, мониторинга и премахването на потребителски акаунти и привилегии в организацията. Като политика, адаптирана от глобални стандарти и регулаторни изисквания, тя установява рамка, която гарантира, че само оторизирани потребители имат подходящ достъп — критична контролна мярка за предотвратяване на неоторизиран достъп и намаляване на вътрешни заплахи. P11S е написана специално за малки и средни предприятия (МСП), което се вижда от отчетността на генералния мениджър (GM) и липсата на сложни структури за управление на ИТ сигурността като отделен център за операции по сигурността (SOC) или директор по информационна сигурност (CISO). Този подход прави контрола на достъпа с висока степен на увереност постижим и управляем за организации без големи екипи по сигурността, като същевременно запазва съгласуваност с ISO/IEC 27001:2022 и свързани рамки. Политиката се прилага за всички служители, външни изпълнители, стажанти и трети страни с достъп до информационните системи на организацията. Тя обхваща традиционни потребителски акаунти, администраторски и сервизни акаунти, както и временни или гост удостоверителни данни. Правилата обхващат целия жизнен цикъл на акаунта — от въвеждане и предоставяне на достъп, до периодичен преглед и отнемане на достъп при извеждане. На всеки потребител се присвоява уникална, проследима идентичност за осигуряване на отчетност, като споделените удостоверителни данни са изрично забранени, освен при контролирани, документирани изключения. Повишените привилегии трябва да преминават през допълнително ниво на обосновка и оторизация, винаги подлежащи на документация и периодичен преглед. Ролите и отговорностите са опростени и ясни: GM осигурява общ надзор, гарантира спазване на политиките и адресира всички инциденти по сигурността, свързани с потребителски акаунти. Внедряването и задачите по техническо прилагане са отговорност на ИТ ръководителя (или външен ИТ доставчик), който управлява предоставянето на достъп, деактивиране, мониторинг и одитно регистриране — строго въз основа на документирани одобрения. Преките ръководители имат ключова роля при заявяване, преглед и валидиране на достъпа при промяна на ролите на членовете на екипа, а всеки потребител носи отговорност за защитата на своите удостоверителни данни и докладването на подозрителна дейност. Политиката е строго управлявана, като изисква всички промени по акаунти, създавания, деактивирания и ескалации на привилегии да бъдат регистрирани и свързани с поименно определени лица. Периодични прегледи на достъпа са задължителни най-малко на всеки шест месеца. Сложност на паролата, многофакторно удостоверяване (MFA), когато е възможно, заключване на акаунт след неуспешни опити и систематичен преглед на сервизни акаунти и акаунти на трети страни са заложени в правилата. Процедурите по извеждане осигуряват своевременно премахване на достъпа и възстановяване на всички токени или устройства, намалявайки рисковете от остатъчен достъп. Управлението на изключенията се поддържа на висок стандарт: всяко отклонение от основната политика (като рядкото използване на споделени или тестови акаунти) трябва да бъде обосновано писмено, компенсирано с компенсиращи контролни мерки, преглеждано на тримесечие и подлежащо на последващо отнемане. Акаунти за спешен достъп („break glass“) са разрешени само при определени, документирани условия и трябва да бъдат нулирани след използване. Политиката предвижда редовни одити, прегледи след инцидент и ежегодни актуализации, за да се поддържа съгласуваност с развиващите се регулаторни и бизнес изисквания. Накрая, тя се свързва изрично със съпътстващи политики, които покриват управление, контрол на достъпа, политика за въвеждане в работата и прекратяване на правоотношенията, обучение за повишаване на осведомеността по информационна сигурност и политика за реагиране при инциденти, осигурявайки цялостен подход към управлението на достъпа и съответствието.