Политика за управление на потребителски акаунти и привилегии

Политика за управление на потребителски акаунти и привилегии (Документ P11) предоставя структурирана и задължителна рамка за контрол на начина, по който потребителските акаунти и привилегии за достъп се управляват във всички информационни системи и технологии на организацията. Основната ѝ цел е да гарантира, че организационните ресурси се достъпват само от упълномощени лица, в съответствие с валидирани роли и оперативни необходимости. Политиката признава и прилага ключови принципи на информационната сигурност, като принципа на най-малките привилегии и разделение на задълженията, и изисква одитируеми процеси за предоставяне на достъп, управление, мониторинг и отнемане на достъп на потребителски акаунти. Приложима за всички потребители, включително служители, изпълнители, доставчици на услуги на трети страни и консултанти, тази политика управлява всяка система, в която е налице автентикация на потребителя. Този всеобхватен обхват включва бизнес приложения, облачни и SaaS среди, административни системи и инструменти за отдалечен достъп, както и платформи за управление на идентичности и достъп (IAM). Както стандартните, така и привилегированите акаунти попадат в изискванията ѝ, със силен акцент върху уникалната идентификация на всеки акаунт и предотвратяването на използването на споделени удостоверителни данни или общи акаунти (освен при строго контролирани аварийни сценарии). Ключовите цели на политиката включват прилагане на уникални, обосновани и проследими потребителски акаунти; внедряване на контроли по принципа на най-малките привилегии за защита срещу прекомерни права за достъп; изискване за своевременни промени в статуса на акаунта след промени в ролите или прекратяване; и централизиране на дейностите по управление на жизнения цикъл на достъпа за последователност и одитируемост. Предвидени са разпоредби за проактивно откриване на неактивни потребителски удостоверителни данни или неправилно използвани акаунти чрез редовни прегледи на правата за достъп и използване на автоматизирани инструменти. Политиката е изрично проектирана да се съгласува с водещи стандарти за сигурност (като ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR и COBIT 2019), за да отговори както на регулаторни, така и на изисквания за най-добри практики. Ролите и отговорностите са ясно дефинирани — от надзорната и ролята по управление на изключенията на директора по информационна сигурност (CISO), през техническите действия на администратори по контрол на достъпа, авторизациите за достъп от ръководители на отдели, до интеграцията на човешки ресурси (ЧР) с процесите по въвеждане и извеждане. Процедурите гарантират, че създаването, модифицирането и деактивирането на акаунти са строго управлявани, като привилегированият достъп подлежи на допълнителна проверка, одобрения, времеви ограничения и засилено одитно регистриране. Контролите за удостоверяване, включително задължителни политики за пароли, многофакторно удостоверяване (MFA) за ключови акаунти, заключване на сесии и сигурни протоколи за отдалечен достъп, са основно изискване, гарантиращо, че проверката на идентичността не може да бъде заобиколена. Надеждни мерки за мониторинг, одитно регистриране и периодичен преглед подпомагат поддържането на точни регистри на акаунтите и прилагането на съответствие. Обработването на изключения е базирано на риска и контролирано, като сценарии за аварийно предоставяне на достъп („break-glass“) получават специално процедурно внимание. Задължителното спазване е подчертано чрез прогресивен модел на прилагане, включително деактивиране на достъп, целенасочено повторно обучение, дисциплинарни мерки и правна/регулаторна ескалация при нарушения. Интеграцията със свързани организационни политики осигурява последователен подход във всички области на контролите за сигурност, а изискването за ежегодни (или събитийно обусловени) прегледи на политиката гарантира постоянно подобряване и съгласуваност с развиващите се системи, бизнес модели и регулаторни среди. Политика за управление на потребителски акаунти и привилегии е основополагаща за стратегията на организацията за управление на риска за информационната сигурност, укрепвайки оперативната сигурност и регулаторното съответствие.