Naudotojų paskyrų ir privilegijų valdymo politika

Naudotojų paskyrų ir privilegijų valdymo politika (Dokumentas P11) pateikia struktūrizuotą ir privalomą sistemą, skirtą kontroliuoti, kaip naudotojų paskyros ir prieigos teisės valdomos visose Organizacijos informacinėse sistemose ir technologijose. Pagrindinis tikslas – užtikrinti, kad organizacijos ištekliai būtų pasiekiami tik autorizuotiems asmenims, pagal validuotus vaidmenis ir operacinius poreikius. Politika pripažįsta ir įgyvendina pagrindinius informacijos saugumo principus, tokius kaip mažiausių privilegijų principas ir pareigų atskyrimas, ir nustato audituojamus procesus prieigos suteikimui, valdymui, stebėsenai ir prieigos teisių panaikinimui naudotojų paskyroms. Taikoma visiems naudotojams, įskaitant darbuotojus ir rangovus, trečiųjų šalių paslaugų teikėjus ir konsultantus, ši politika reglamentuoja bet kurią sistemą, kurioje yra naudotojo autentifikavimas. Ši išsami taikymo sritis apima verslo taikomąsias programas, debesijos ir SaaS aplinkas, administracines sistemas ir nuotolinės prieigos priemones, taip pat tapatybės ir prieigos valdymo (IAM) platformas. Tiek standartinės, tiek privilegijuotos paskyros patenka į reikalavimų taikymo sritį, ypatingą dėmesį skiriant unikaliam kiekvienos paskyros identifikavimui ir bendrų prisijungimo duomenų ar bendrinių paskyrų naudojimo prevencijai (išskyrus griežtai kontroliuojamus skubius scenarijus). Pagrindiniai politikos tikslai: užtikrinti unikalias, pagrįstas ir sekamas naudotojų paskyras; įgyvendinti mažiausių privilegijų principo kontrolės priemones, siekiant apsisaugoti nuo perteklinių prieigos teisių; reikalauti operatyvių paskyros būsenos pakeitimų po vaidmenų pakeitimų ar darbo santykių nutraukimo; ir centralizuoti paskyrų gyvavimo ciklo veiklas nuoseklumui ir audituojamumui. Nustatytos nuostatos proaktyviam neaktyvių naudotojo kredencialų ar netinkamai naudojamų paskyrų aptikimui per reguliarias prieigos peržiūras ir automatizuotų priemonių naudojimą. Politika aiškiai sukurta suderinti su pirmaujančiais saugumo standartais (pvz., ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR ir COBIT 2019), kad būtų įvykdyti tiek reglamentavimo, tiek geriausiosios praktikos reikalavimai. Vaidmenys ir atsakomybės apibrėžti aiškiai – nuo vyriausiojo informacijos saugumo pareigūno (CISO) priežiūros ir išimčių valdymo vaidmens iki prieigos kontrolės administratorių techninių veiksmų, departamentų vadovų prieigos autorizavimo ir žmogiškųjų išteklių integracijos su įvedimo į darbą / darbo santykių nutraukimo proceso procesais. Procedūros užtikrina, kad paskyrų kūrimas, keitimas ir deaktyvavimas būtų griežtai valdomi, o privilegijuota prieiga būtų papildomai tikrinama, tvirtinama, ribojama laike ir sustiprintai audituojama. Autentifikavimo kontrolės priemonės, įskaitant privalomas slaptažodžių valdymo nuostatas, kelių veiksnių autentifikavimą (MFA) pagrindinėms paskyroms, sesijų užrakinimą ir saugius nuotolinės prieigos protokolus, sudaro esminį reikalavimą, užtikrinant, kad tapatybės patvirtinimas negalėtų būti apeitas. Patikima stebėsena, žurnalai ir periodinės peržiūros priemonės padeda palaikyti tikslius paskyrų inventorius ir užtikrinti atitiktį. Išimčių tvarkymas yra rizika pagrįstas ir kontroliuojamas, o skubios prieigos scenarijams („break-glass“) taikomas specialus procedūrinis dėmesys. Privaloma atitiktis pabrėžiama progresyviu vykdymo užtikrinimo modeliu, įskaitant prieigos išjungimą, tikslinį permokymą, drausmines priemones ir teisinį bei reguliacinį eskalavimą pažeidimų atveju. Integracija su susijusiomis organizacijos politikomis užtikrina nuoseklų požiūrį visose informacijos saugumo srityse, o reikalavimas kasmetinėms (arba įvykiais grindžiamoms) politikos peržiūroms garantuoja nuolatinį suderinimą su besikeičiančiomis sistemomis, verslo modeliais ir reglamentavimo aplinka. Naudotojų paskyrų ir privilegijų valdymo politika yra pamatinė organizacijos rizikos valdymo strategijos dalis, stiprinanti operacinį saugumą ir atitiktį reglamentavimo reikalavimams.