Naudotojų paskyrų ir privilegijų valdymo politika – SVV

Naudotojų paskyrų ir privilegijų valdymo politika (P11S) yra išsami, SVV orientuota politika, skirta valdyti naudotojų paskyrų ir prieigos teisių kūrimą, naudojimą, stebėseną ir pašalinimą organizacijoje. Kaip politika, pritaikyta iš pasaulinių standartų ir reglamentavimo įpareigojimų, ji nustato sistemą, užtikrinančią, kad tik autorizuoti naudotojai turėtų tinkamą prieigą – tai kritinė kontrolės priemonė, skirta užkirsti kelią nesankcionuotai prieigai ir mažinti vidines grėsmes. P11S parašyta specialiai mažoms ir vidutinėms įmonėms (SVV), ką rodo generalinio direktoriaus atskaitomybė ir sudėtingų IT valdysenos struktūrų (pvz., dedikuotų SOC ar CISO) nebuvimas. Toks požiūris leidžia pasiekti aukšto užtikrinimo prieigos kontrolę organizacijoms, neturinčioms didelių saugumo komandų, išlaikant suderinamumą su ISO/IEC 27001:2022 ir susijusiomis sistemomis. Politika taikoma visiems darbuotojams, rangovams, praktikantams ir trečiosioms šalims, turinčioms prieigą prie organizacijos IT išteklių. Ji apima įprastas naudotojų paskyras, sistemų administratorių ir paslaugų paskyras, taip pat laikinuosius ar svečių kredencialus. Taisyklės apima visą paskyros gyvavimo ciklą – nuo įvedimo į darbą ir prieigos suteikimo iki periodinės prieigos peržiūros ir prieigos teisių atšaukimo darbo santykių nutraukimo proceso metu. Kiekvienam naudotojui priskiriama unikali, atsekama tapatybė, užtikrinanti atskaitomybę, o bendri prisijungimo duomenys aiškiai draudžiami, išskyrus kontroliuojamas, dokumentuotas išimtis. Privilegijuotos paskyros reikalauja papildomo pagrindimo ir autorizavimo sluoksnio, visada taikant dokumentavimą ir periodines prieigos peržiūras. Vaidmenys ir atsakomybės yra supaprastinti ir aiškūs: generalinis direktorius užtikrina bendrą priežiūrą, politikos laikymąsi ir sprendžia saugumo incidentus, susijusius su naudotojų paskyromis. Įgyvendinimo ir techninio vykdymo užtikrinimo užduotys tenka Saugumo vadovui (arba išoriniam IT paslaugų teikėjui), kuris valdo prieigos suteikimą, išjungimą, stebėseną ir registravimą audito žurnale, griežtai remiantis dokumentuotais patvirtinimais. Tiesioginis vadovas atlieka svarbų vaidmenį teikdamas prieigos užklausas, atlikdamas prieigos peržiūras ir vykdydamas prieigos tikrinimą, kai keičiasi komandos narių vaidmenys, o kiekvienas naudotojas yra atsakingas už savo autentifikavimo duomenų apsaugą ir pranešimą apie incidentus, pastebėjus įtartiną veiklą. Politika yra griežtai valdoma: visi paskyrų pakeitimai, sukūrimai, deaktyvavimai ir sistemos privilegijų eskalavimas turi būti registruojami ir susiejami su įvardytais asmenimis. Periodinės prieigos teisių peržiūros privalomos bent kas šešis mėnesius. Slaptažodžio sudėtingumas, kelių veiksnių autentifikavimas (MFA), kai įmanoma, paskyros blokavimas po nesėkmingų bandymų ir sisteminė paslaugų bei trečiųjų šalių paskyrų peržiūra yra įtvirtinti taisyklėse. Darbo santykių nutraukimo procesas užtikrina greitą prieigos teisių panaikinimą ir visų saugos žetonų ar įrenginių susigrąžinimą, mažinant likutinės prieigos riziką. Išimčių valdymas taikomas pagal aukštus standartus: bet koks nukrypimas nuo pagrindinės politikos (pvz., retas bendrų ar testinių paskyrų naudojimas) turi būti pagrįstas raštu, kompensuojamas kompensacinėmis kontrolės priemonėmis, peržiūrimas kas ketvirtį ir galiausiai turi būti atšauktas. Skubios „break glass“ paskyros leidžiamos tik apibrėžtomis, dokumentuotomis sąlygomis ir po naudojimo turi būti atstatomos. Politika numato reguliarius auditus, saugumo incidentų peržiūras ir metinius atnaujinimus, kad būtų išlaikytas suderinamumas su kintančiais reglamentavimo ir verslo reikalavimais. Galiausiai ji aiškiai susiejama su lydinčiomis politikomis, apimančiomis valdyseną, prieigos kontrolę, įdarbinimo ir atleidimo iš darbo politiką, saugumo informuotumo mokymus ir reagavimą į incidentus, užtikrinant holistinį požiūrį į prieigos valdymą ir atitiktį.