Politika správy uživatelských účtů a privilegovaných přístupů

Politika správy uživatelských účtů a privilegovaných přístupů (Dokument P11) poskytuje strukturovaný a povinný rámec pro řízení toho, jak jsou uživatelské účty a přístupová oprávnění spravovány napříč všemi informačními systémy organizace a technologiemi. Jejím hlavním účelem je zajistit, aby k organizačním zdrojům přistupovaly pouze oprávněné osoby, v souladu s ověřenými rolemi a provozními potřebami. Politika uznává a vynucuje klíčové principy informační bezpečnosti, jako jsou zásada minimálních oprávnění a oddělení povinností, a vyžaduje auditovatelné procesy pro zřizování přístupu, správu, monitorování a odebrání přístupu uživatelských účtů. Platí pro všechny uživatele, včetně zaměstnanců, dodavatelů, poskytovatelů služeb třetích stran a konzultantů, a řídí jakýkoli systém, kde je přítomna autentizace uživatele. Tento komplexní rozsah zahrnuje podnikové aplikace, cloudová a SaaS prostředí, administrativní systémy a nástroje vzdáleného přístupu, stejně jako platformy řízení identit a přístupů (IAM). Požadavky se vztahují jak na standardní, tak na privilegované účty, se silným důrazem na jedinečná uživatelská jména každého účtu a prevenci používání sdílených přihlašovacích údajů nebo obecných účtů (s výjimkou přísně řízených nouzových scénářů). Mezi klíčové cíle politiky patří vynucování jedinečných přihlašovacích údajů, odůvodnitelných a sledovatelných uživatelských účtů; zavedení kontrol zásady minimálních oprávnění k ochraně před nadměrnými přístupovými právy; požadavek na rychlé změny stavu účtu po změnách rolí nebo procesu ukončení; a centralizace činností řízení životního cyklu přístupů pro konzistenci a auditovatelnost. Jsou stanovena ustanovení pro proaktivní detekci neaktivních uživatelských přihlašovacích údajů nebo zneužívaných účtů prostřednictvím pravidelných přezkumů přístupů a využití automatických připomínek a automatizovaných nástrojů. Politika je výslovně navržena tak, aby byla v souladu s předními bezpečnostními normami (např. ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR a COBIT 2019) a splnila jak regulační povinnosti, tak požadavky osvědčených postupů v odvětví. Role a odpovědnosti jsou jasně definovány, od dohledu CISO a správy výjimek až po technické kroky správců řízení přístupu, autorizaci přístupů vedoucími oddělení a integraci HR s procesy onboardingu a výstupním procesem. Postupy zajišťují, že vytváření, úpravy a deaktivace účtů jsou přísně řízeny, přičemž privilegovaný přístup podléhá dodatečné kontrole, schválení, časově omezenému přístupu, omezením a posílenému auditnímu protokolování. Autentizační opatření, včetně povinných politik hesel, vícefaktorové autentizace (MFA) pro klíčové účty, uzamykání relací a zabezpečených protokolů vzdáleného přístupu, tvoří základní požadavek a zajišťují, že ověření přístupu nelze obejít. Robustní monitorování, protokolování a pravidelné přezkumy pomáhají udržovat přesný inventář aktiv účtů a vynucovat dodržování politik. Ošetření výjimek je založeno na riziku a řízené, přičemž scénáře nouzového přístupu („break-glass“) dostávají zvláštní procesní pozornost. Povinné dodržování je podtrženo progresivním modelem vynucování, včetně odebrání přístupu, cíleného přeškolení, disciplinárních opatření a právní/regulační eskalace při porušení. Integrace se souvisejícími organizačními politikami zajišťuje koherentní přístup napříč všemi doménami bezpečnostních kontrol a požadavek na každoroční (nebo událostmi řízené) přezkumy politik zaručuje neustálé zlepšování a průběžné sladění s vyvíjejícími se systémy, obchodními modely a regulačními prostředími. Politika správy uživatelských účtů a privilegovaných přístupů je základním prvkem strategie řízení rizik organizace a posiluje provozní bezpečnost a regulační soulad.