Politika kontrole pristupa

Politika kontrole pristupa služi kao ključni stup organizacijske sigurnosti, uspostavljajući detaljna načela i kontrole za upravljanje pristupom informacijskim sustavima, aplikacijama, fizičkim objektima i podatkovnoj imovini. Ova politika osigurava da je svaki oblik pristupa, bilo logički pristup ili fizički pristup, vođen poslovnom potrebom, funkcijom radnog mjesta i ukupnim profilom rizika organizacije, u skladu s globalno priznatim standardima kao što su ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA i COBIT 2019. Svrha politike je provoditi stroga načela kao što su načelo najmanjih privilegija, načelo nužnog poznavanja i razdvajanje dužnosti (SoD), koja su ključna za ublažavanje rizika povezanih s neovlaštenim pristupom i insajderskim prijetnjama. Politika podržava i operacionalizira zahtjeve za logički pristup i fizički pristup, autentifikaciju korisnika te upravljanje životnim ciklusom pristupa, od uvođenja u posao do ukidanja pristupnih prava. Kontrole su definirane i za digitalne i za fizičke resurse kako bi se spriječila neovlaštena uporaba, zlouporaba ili kompromitacija. Ova politika primjenjuje se univerzalno u cijeloj organizaciji; njezin opseg obuhvaća sve korisnike, uključujući zaposlenike, izvođače, dobavljače i privremeno osoblje, kao i sve sustave i objekte obuhvaćene sustavom upravljanja informacijskom sigurnošću (ISMS). Obrađuje složene scenarije pristupa, proširujući kontrole na okruženja u vlastitim prostorijama, u oblaku i hibridna okruženja, korporativnu IT imovinu te i logički pristup (sustavi, mreže, sučelja za programiranje aplikacija) i fizički pristup (zgrade, podatkovni centri) imovini. Važno je da politika nalaže da se pristupom upravlja tijekom cijelog životnog ciklusa, uz blisku integraciju s događajima koje pokreću ljudski resursi (HR), kao što su uvođenje u posao, interni prijenosi i postupak prestanka radnog odnosa, kako bi se osigurala pravodobna ažuriranja i opoziv pristupa. Snažni zahtjevi upravljanja uključuju definiranje prava pristupa putem formalizirane matrice uloga; integraciju dodjele pristupa i ukidanja pristupnih prava s procesima ljudskih resursa (HR) i tehničkim procesima; provedbu radnih tokova odobravanja; te obvezno upravljanje privilegiranim pristupom (PAM) putem odvojenih računa, praćenja i snimanja sesija i višefaktorske autentifikacije (MFA). Ove prakse dodatno su ojačane zahtjevima za tromjesečne preglede pristupa, revizijsko bilježenje i usklađivanje praksi upravljanja pristupom s regulatornim i poslovnim imperativima. Politika također opisuje eksplicitne mehanizme za upravljanje iznimkama i upravljanje rizicima, provedbu i usklađenost te periodični pregled, osiguravajući da program ostane prilagodljiv novim prijetnjama, regulatornim promjenama i novim tehnologijama. Nadalje, politika sadrži posebne odredbe za ponašanje korisnika, pristup trećih strana, razdvajanje dužnosti i mehanizam prijave nepravilnosti. Provodi jasan okvir za postupanje u slučaju kršenja politike, postavlja očekivanja za pregled i ažuriranje zahtjeva te nalaže pohranu povijesnih verzija radi usklađenosti. Svi ovi elementi zajedno stvaraju okruženje upravljanja pravima pristupa koje je odgovorno, revizibilno i sposobno podržati certifikaciju ili pravni nadzor, bez pretpostavki ili tvrdnji izvan onoga što je strogo dokumentirano.