Politika řízení přístupu

Politika řízení přístupu je klíčovým pilířem organizační bezpečnosti a stanovuje podrobné zásady a opatření pro řízení přístupu k informačním systémům, aplikacím, fyzickým objektům a datovým aktivům. Tato politika zajišťuje, že každá forma přístupu, ať už logický přístup nebo fyzický přístup, je řízena obchodní potřebou, pracovní funkcí a postojem k riziku organizace, v souladu s globálně uznávanými standardy, jako jsou ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA a COBIT 2019. Jejím účelem je vynucovat přísné zásady, jako jsou zásada minimálních oprávnění, princip potřeby znát a oddělení povinností (SoD), které jsou nezbytné pro zmírňování rizik souvisejících s neoprávněným přístupem a vnitřními hrozbami. Politika podporuje a operacionalizuje požadavky na logický přístup a fyzický přístup, autentizaci uživatele a řízení životního cyklu přístupů, od onboardingu až po odebrání přístupových oprávnění. Opatření jsou stanovena jak pro digitální, tak pro fyzické zdroje, aby se zabránilo neoprávněnému užívání, zneužití nebo kompromitaci. Tato politika platí univerzálně v celé organizaci; její rozsah zahrnuje všechny uživatele, včetně zaměstnanců, dodavatelů a dočasných pracovníků, a také všechny systémy a objekty pokryté systémem řízení bezpečnosti informací (ISMS). Řeší komplexní scénáře přístupu a rozšiřuje opatření na on-premise, cloud a hybridní prostředí, podniková IT aktiva a jak logický přístup (systémy, sítě, rozhraní API), tak fyzická aktiva (budovy, datová centra). Důležité je, že politika nařizuje, aby řízení přístupů pokrývalo celý životní cyklus a úzce se integrovalo s událostmi řízenými lidskými zdroji (HR), jako jsou onboarding, vnitřní převody a proces ukončení, aby bylo zajištěno včasné aktualizace a odebrání přístupu. Robustní požadavky na správu zahrnují definování přístupových práv prostřednictvím formalizované matice rolí; integraci zřizování přístupových práv a odebrání přístupových oprávnění s HR a technickými procesy; vynucování schvalovacích pracovních postupů; a povinnou správu privilegovaných přístupů (PAM) prostřednictvím oddělených účtů, monitorování a zaznamenávání relací a vícefaktorové autentizace (MFA). Tyto postupy jsou doplněny požadavky na pravidelné revize přístupových práv, auditní protokolování a sladění postupů řízení přístupu s regulačními a obchodními imperativy. Politika také popisuje explicitní mechanismy pro správu výjimek a řízení rizik, vynucování a dodržování a pravidelný přezkum, aby program zůstal adaptivní vůči vznikajícím hrozbám, změnám předpisů a novým technologiím. Politika dále obsahuje konkrétní ustanovení pro chování uživatelů, přístup třetích stran, oddělení povinností a oznamovací mechanismus. Vynucuje jasný rámec pro ošetření porušení politik, stanovuje požadavky na přezkoumávání a aktualizaci a vyžaduje uchovávání historických verzí pro soulad. Tyto prvky společně vytvářejí prostředí řízení přístupů, které je odpovědné, auditovatelné a schopné obstát při certifikaci nebo právním přezkumu, aniž by činilo jakékoli předpoklady nebo tvrzení nad rámec toho, co je přísně zdokumentováno.