Lietotāju kontu un privilēģiju pārvaldības politika – MVU

Lietotāju kontu un privilēģiju pārvaldības politika (P11S) ir visaptverošs, MVU vajadzībām pielāgots piedāvājums, kas paredzēts lietotāju kontu un piekļuves privilēģiju izveides, izmantošanas, uzraudzības un noņemšanas pārvaldībai organizācijā. Kā politika, kas pielāgota globālajiem standartiem un regulatīvajiem pienākumiem, tā izveido ietvaru, lai nodrošinātu, ka tikai autorizēti lietotāji saņem atbilstošu piekļuvi — kritisku kontroles pasākumu nesankcionētas piekļuves novēršanai un iekšējo draudu mazināšanai. P11S ir izstrādāta tieši mazajiem un vidējiem uzņēmumiem (MVU), ko apliecina galvenā izpilddirektora pārskatatbildība un sarežģītu IT pārvaldības struktūru (piemēram, Drošības operāciju centrs (SOC) vai galvenais informācijas drošības vadītājs (CISO)) neesamība. Šī pieeja padara piekļuves kontroli ar augstu pārliecības līmeni sasniedzamu un pārvaldāmu organizācijām bez lielām drošības komandām, vienlaikus saglabājot saskaņotību ar ISO/IEC 27001:2022 un saistītajiem ietvariem. Politika attiecas uz visiem darbiniekiem, līgumslēdzējiem, praktikantiem un trešajām pusēm ar piekļuvi organizācijas IT resursiem. Tā aptver tradicionālos lietotāju kontus, administratoru un pakalpojumu kontus, kā arī pagaidu vai viesu akreditācijas datus. Noteikumi aptver visu konta dzīves ciklu — no sākotnējās ievadīšanas un piekļuves piešķiršanas līdz piekļuves tiesību periodiskai pārskatīšanai un piekļuves tiesību atsaukšanai darbinieka atiešanas procesa laikā. Katram lietotājam tiek piešķirta unikāla, izsekojama identitāte, lai nodrošinātu pilnvaras un pārskatatbildību, un koplietoti autentifikācijas dati ir skaidri aizliegti, izņemot kontrolētus, dokumentētus izņēmumus. Paaugstinātām privilēģijām ir nepieciešams papildu pamatojuma un autorizācijas slānis, vienmēr pakļauts dokumentēšanai un periodiskai pārskatīšanai. Lomas un pienākumi ir vienkāršoti un skaidri: galvenais izpilddirektors nodrošina kopējo uzraudzību, nodrošinot politikas ievērošanu un risinot jebkādus informācijas drošības incidentus, kas saistīti ar lietotāju kontiem. Ieviešanas un tehniskās piespiedu izpildes uzdevumi ir IT operāciju (vai ārēja IT pakalpojumu sniedzēja) atbildībā, kas pārvalda piekļuves piešķiršanu, atspējošanu, uzraudzību un audita žurnālu veidošanu, stingri balstoties uz dokumentētām apstiprināšanas darbplūsmām. Tiešais vadītājs spēlē būtisku lomu piekļuves pieprasījumu iesniegšanā, piekļuves tiesību pārskatīšanā un piekļuves validācijā, mainoties komandas locekļu lomām, savukārt katrs lietotājs ir atbildīgs par savu autentifikācijas datu aizsardzību un aizdomīgas aktivitātes ziņošanu. Politika ir stingri pārvaldīta, pieprasot, lai visas kontu izmaiņas, izveides, deaktivizācijas un sistēmas privilēģiju paaugstināšana tiktu reģistrētas žurnālos un sasaistītas ar nosauktām personām. Piekļuves tiesību periodiska pārskatīšana ir obligāta vismaz reizi sešos mēnešos. Paroļu sarežģītība, daudzfaktoru autentifikācija (MFA), kur iespējams, konta bloķēšana pēc neveiksmīgiem mēģinājumiem un sistemātiska pakalpojumu un trešo pušu kontu pārskatīšana ir iekļauta noteikumos. Darbinieka atiešanas procesa procedūras nodrošina savlaicīgu piekļuves noņemšanu un visu piekļuves marķieru vai ierīču atgūšanu, samazinot atlikušos piekļuves riskus. Izņēmumu pārvaldība tiek uzturēta augstā līmenī: jebkura atkāpe no pamatpolitikas (piemēram, reta koplietotu vai testa kontu izmantošana) ir jāpamato rakstiski, jākompensē ar kompensējošām kontrolēm, jāpārskata reizi ceturksnī un jāpakļauj piekļuves tiesību atsaukšanai. Ārkārtas “break glass” konti ir atļauti tikai noteiktos, dokumentētos apstākļos, un pēc izmantošanas ir jāatiestata. Politika nosaka regulārus drošības auditus, informācijas drošības incidentu pārskatīšanu un ikgadējus atjauninājumus, lai saglabātu saskaņotību ar mainīgajām regulatīvajām un biznesa prasībām. Noslēgumā tā tieši sasaistās ar pavadošajām politikām, kas attiecīgi aptver pārvaldību, piekļuves kontroli, darba attiecību uzsākšanas un izbeigšanas politiku, drošības izpratnes apmācību un reaģēšanu uz incidentiem, nodrošinot holistisku pieeju piekļuves pārvaldībai un atbilstībai.