Politika zabezpečení PII a řízení přístupu

Politika zabezpečení PII a řízení přístupu definuje požadavky organizace specifické pro PII na ochranu osobních údajů napříč systémy, aplikacemi, službami, zařízeními, cloudovými prostředími a provozními procesy. Uplatní se tam, kde jsou PII ukládány, přenášeny, zpracovávány, zpřístupňovány, spravovány nebo chráněny, a zahrnuje kontexty správce, společného správce, zpracovatele a dílčího zpracovatele. Politika je výslovně navržena tak, aby se integrovala se stávajícími postupy bezpečnosti informací, nikoli aby nahrazovala úplný systém řízení bezpečnosti informací, Politiku zabezpečení sítí, Politiku bezpečného vývoje, politiku zálohování, politiku koncových bodů, politiku cloudové bezpečnosti, kryptografický standard, postup řízení zranitelností nebo postup reakce na incidenty. Jejím hlavním účelem je zajistit, aby byly PII po celou dobu zpracování chráněny vhodnými, rizikově sladěnými a auditovatelnými bezpečnostními opatřeními a řízením přístupu. Za tímto účelem politika stanoví základní soubor bezpečnostních opatření pro PII a vyžaduje dohledatelné důkazy prostřednictvím REG02, REG08, REG10 a REG12. Tento model důkazů je pro politiku zásadní: provozní logy, výstupy bezpečnostních nástrojů, exporty z přezkumů přístupových práv, zprávy o zranitelnostech a důkazy o konfiguraci mohou být přiloženy ke kanonickým důkazním objektům, shrnuty v nich nebo na ně odkazovat, nejsou však považovány za samostatné registry PIMS. To organizaci umožňuje doložit, že opatření jsou plánována, implementována, přezkoumávána, monitorována a zlepšována, aniž by docházelo k duplicitě bezpečnostních záznamů. Politika stanoví podrobné požadavky na řízení přístupu, autentizaci a privilegovaný přístup. Přístup k PII musí být omezen na schválené role a autorizované uživatele zaznamenané nebo dohledatelné v REG02 nebo REG12 a před zřízením přístupu musí být schválen obchodní účel. Systémy PII s významným dopadem nebo citlivé systémy PII vyžadují přezkum přístupových práv uživatelů alespoň čtvrtletně, zatímco ostatní systémy PII vyžadují přezkum alespoň jednou ročně. Přístup musí být odebrán nebo upraven do jednoho pracovního dne po změně role, ukončení pracovního poměru nebo smlouvy, dokončení smlouvy nebo v okamžiku, kdy již přístup není vyžadován. Privilegovaný přístup vyžaduje před udělením dokumentované odůvodnění, rozsah a schválení, s měsíčním přezkumem u systémů PII s významným dopadem nebo citlivých systémů PII a čtvrtletním přezkumem u ostatních systémů PII. Politika se rovněž zabývá technickými bezpečnostními očekáváními pro autentizaci, šifrování, bezpečné ukládání, protokolování, monitorování, konfiguraci, řízení zranitelností, přístup z koncových bodů a cloudový přístup. Pro účty s přístupem k PII jsou vyžadovány jedinečné identity uživatelů a pro privilegovaný, vzdálený, administrátorský přístup nebo přístup k PII s významným dopadem je vyžadována silná autentizace. Před uložením, přenosem nebo zpřístupněním PII s významným dopadem, citlivých PII nebo externě přenášených PII musí být definováno šifrování nebo schválená kompenzační ochrana. Rozsah protokolování musí zahrnovat události autentizace, události přístupu, privilegované akce, činnosti exportu PII a významné změny konfigurace. Stav konfigurace a pokrytí zranitelností musí být zaznamenány v REG12, přičemž nevyřešené vysoce rizikové zranitelnosti ovlivňující PII musí být zaznamenány do pěti pracovních dnů od validace. Odpovědnosti v oblasti správy jsou přiřazeny napříč rolemi vrcholového vedení, vedoucího ochrany soukromí / manažera PIMS, pověřence pro ochranu osobních údajů / poradce pro ochranu soukromí, vedoucího informační bezpečnosti, vlastníka procesu / vlastníka společnosti, vlastníka systému / vlastníka aplikace, vlastníka dodavatelů / pořizování, koordinátora reakce na incidenty a přezkoumávající osoby z interního auditu / souladu. Politika vyžaduje čtvrtletní přezkum úplnosti důkazů napříč REG02, REG08, REG10 a REG12, čtvrtletní přezkum účinnosti základního souboru bezpečnostních opatření a nevyřešených mezer a auditní vzorkování přezkumů přístupových práv, přezkumů privilegovaného přístupu, důkazů o protokolování a důkazů o konfiguraci. Výjimky musí být zaznamenány před aktivací, musí obsahovat datum ukončení platnosti, kompenzační opatření a datum přezkumu a musí získat schválení vrcholového vedení, pokud ovlivňují PII s významným dopadem, citlivé PII, privilegovaný přístup, šifrování, protokolování nebo nevyřešené vysoce rizikové zranitelnosti.