PII-biztonsági és hozzáférés-szabályozási szabályzat

A PII-biztonsági és hozzáférés-szabályozási szabályzat meghatározza a szervezet PII-specifikus követelményeit a személyes információk védelmére a rendszerekben, alkalmazásokban, szolgáltatásokban, eszközökön, felhőkörnyezetekben és működési folyamatokban. Akkor alkalmazandó, ha PII tárolása, továbbítása, kezelése, elérése, adminisztrálása vagy védelme történik, és lefedi az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokat. A szabályzat kifejezetten úgy készült, hogy integrálódjon a meglévő információbiztonsági gyakorlatokba, és ne váltson ki teljes információbiztonsági irányítási rendszert, hálózatbiztonsági szabályzatot, biztonságos fejlesztési szabályzatot, biztonsági mentési szabályzatot, végponti szabályzatot, felhőbiztonsági szabályzatot, kriptográfiai szabványt, sérülékenységkezelési eljárást vagy incidensreagálási eljárást. Alapvető célja annak biztosítása, hogy a PII az adatkezelés teljes időtartama alatt megfelelő, kockázatokkal összhangban álló és auditálható biztonsági és hozzáférési kontrollokkal legyen védve. E cél támogatására a szabályzat PII-biztonsági alapkövetelményeket állapít meg, és nyomon követhető bizonyító anyagokat ír elő a REG02, REG08, REG10 és REG12 elemekben. Ez a bizonyítékmodell a szabályzat központi eleme: a működési naplók, biztonsági eszközök kimenetei, hozzáférési felülvizsgálati exportok, sérülékenységi jelentések és konfigurációs bizonyító anyagok csatolhatók a kanonikus bizonyítékobjektumokhoz, összefoglalhatók azokban vagy hivatkozhatók azokból, de nem minősülnek külön PIMS-nyilvántartásoknak. Ez lehetővé teszi a szervezet számára annak bemutatását, hogy a kontrollokat megtervezték, bevezették, felülvizsgálták, nyomon követték és fejlesztették, a biztonsági nyilvántartások megkettőzése nélkül. A szabályzat részletes követelményeket határoz meg a hozzáférés-szabályozásra, a hitelesítésre és az emelt jogosultságú hozzáférésre. A PII-hez való hozzáférést jóváhagyott szerepkörökre és jogosult felhasználókra kell korlátozni, akiket a REG02 vagy REG12 rögzít, vagy akik azokban visszakövethetők, és az üzleti célt a hozzáférés-kiosztás előtt jóvá kell hagyni. A nagy hatású vagy érzékeny PII-rendszerek esetében legalább negyedéves felhasználói hozzáférési felülvizsgálatok szükségesek, míg az egyéb PII-rendszerek esetében legalább éves felülvizsgálat szükséges. A hozzáférést a szerepkörváltozást, kiléptetést, szerződés teljesítését követően, illetve akkor, amikor a hozzáférés már nem szükséges, egy munkanapon belül meg kell szüntetni vagy módosítani kell. Az emelt jogosultságú hozzáférés megadása előtt dokumentált indoklás, hatókör és jóváhagyás szükséges, nagy hatású vagy érzékeny PII-rendszerek esetében havi, egyéb PII-rendszerek esetében negyedéves felülvizsgálattal. A szabályzat a hitelesítésre, titkosításra, biztonságos tárolásra, naplózásra, megfigyelésre, konfigurációra, sérülékenységkezelésre, végponti hozzáférésre és felhőhozzáférésre vonatkozó technikai biztonsági elvárásokat is kezeli. A PII-hozzáféréssel rendelkező fiókokhoz egyedi felhasználói identitások szükségesek, az emelt jogosultságú, távoli, adminisztratív vagy nagy hatású PII-hozzáféréshez pedig erős hitelesítés szükséges. A titkosítást vagy a jóváhagyott kompenzáló védelmet meg kell határozni, mielőtt nagy hatású, érzékeny vagy külső félnek továbbított PII tárolására, továbbítására vagy hozzáférhetővé tételére kerül sor. A naplózási hatókörnek le kell fednie a hitelesítési eseményeket, hozzáférési eseményeket, emelt jogosultságú műveleteket, PII-exporttevékenységet és lényeges konfigurációváltozásokat. A konfigurációs állapotot és a sérülékenységi lefedettséget a REG12-ben kell rögzíteni, és a PII-t érintő, megoldatlan magas kockázatú sérülékenységeket az ellenőrzéstől számított öt munkanapon belül rögzíteni kell. Az irányítási felelősségek a felső vezetés, az adatvédelmi vezető / PIMS-vezető, az adatvédelmi tisztviselő / adatvédelmi tanácsadó, az információbiztonsági vezető, a folyamatgazda / üzlettulajdonos, a rendszergazda / alkalmazástulajdonos, a beszállító / beszerzési felelős, az incidensreagálási koordinátor és a belső audit / megfelelőségi felülvizsgáló között kerülnek kijelölésre. A szabályzat negyedéves bizonyíték-teljességi felülvizsgálatot ír elő a REG02, REG08, REG10 és REG12 elemekben, továbbá az alapkövetelmények hatékonyságának és a megoldatlan hiányosságoknak a negyedéves felülvizsgálatát, valamint a hozzáférési felülvizsgálatok, emelt jogosultságú hozzáférési felülvizsgálatok, naplózási bizonyító anyagok és konfigurációs bizonyító anyagok auditmintavételét. A kivételeket aktiválás előtt rögzíteni kell; tartalmazniuk kell a lejárati dátumot, a kompenzáló kontrollt és a felülvizsgálati dátumot, és felső vezetői jóváhagyást kell kapniuk, ha nagy hatású PII-t, érzékeny PII-t, emelt jogosultságú hozzáférést, titkosítást, naplózást vagy megoldatlan magas kockázatú sérülékenységeket érintenek.