Lietotāju kontu un privilēģiju pārvaldības politika

Lietotāju kontu un privilēģiju pārvaldības politika (Dokuments P11) nodrošina strukturētu un obligātu ietvaru, lai kontrolētu, kā lietotāju konti un piekļuves privilēģijas tiek pārvaldītas visās organizācijas informācijas sistēmās un tehnoloģijās. Tās pamatmērķis ir nodrošināt, ka organizācijas resursiem piekļūst tikai autorizētas personas saskaņā ar validētām lomām un operatīvajām nepieciešamībām. Politika atzīst un ievieš galvenos informācijas drošības principus, piemēram, minimālo privilēģiju principu un pienākumu nodalīšanu, un nosaka auditējamus procesus lietotāju kontu piekļuves piešķiršanai, pārvaldībai, uzraudzībai un piekļuves tiesību atsaukšanai. Attiecināma uz visiem lietotājiem, tostarp darbiniekiem, līgumslēdzējiem, trešo pušu pakalpojumu sniedzējiem un konsultantiem, šī politika regulē jebkuru sistēmu, kurā ir lietotāja autentifikācija. Šī visaptverošā darbības joma aptver biznesa lietojumprogrammas, mākoņa un SaaS vides, administratīvās sistēmas un attālinātās piekļuves rīkus, kā arī identitātes un piekļuves pārvaldības (IAM) platformas. Gan standarta, gan priviliģētie konti ietilpst tās prasībās, īpaši uzsverot katra konta unikālu identifikāciju un koplietotu autentifikācijas datu vai vispārīgu kontu izmantošanas novēršanu (izņemot stingri kontrolētus ārkārtas scenārijus). Politikas galvenie mērķi ietver unikālu, pamatotu un izsekojamu lietotāju kontu ieviešanu; minimālo privilēģiju principa kontroles pasākumu ieviešanu, lai aizsargātu pret pārmērīgām piekļuves tiesībām; prasību nekavējoties mainīt konta statusu pēc lomu izmaiņām vai izbeigšanas; un kontu dzīves cikla darbību centralizēšanu konsekvencei un auditējamībai. Ir paredzēti noteikumi proaktīvai neaktīvu lietotāja akreditācijas datu vai ļaunprātīgi izmantotu kontu atklāšanai, izmantojot regulāras piekļuves tiesību pārskatīšanas un automatizētus rīkus. Politika ir skaidri izstrādāta, lai saskaņotos ar vadošajiem drošības standartiem (piemēram, ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR un COBIT 2019), lai izpildītu gan regulatīvās, gan nozares labākās prakses prasības. Lomas un pienākumi ir skaidri definēti — no CISO uzraudzības un izņēmumu pārvaldības lomas līdz piekļuves kontroles administratoru tehniskajām darbībām, struktūrvienību vadītāju piekļuves autorizācijām un Cilvēkresursu (HR) integrācijai ar ievadīšanas procesu/darbinieka atiešanas procesu. Procedūras nodrošina, ka kontu izveide, modificēšana un deaktivizēšana tiek stingri pārvaldīta, savukārt priviliģēta piekļuve ir pakļauta papildu pārbaudei, apstiprinājumiem, laikā ierobežotai piekļuvei un pastiprinātai audita žurnālu veidošanai. Autentifikācijas kontroles pasākumi, tostarp obligātās paroļu pārvaldības prasības, daudzfaktoru autentifikācija (MFA) galvenajiem kontiem, sesiju bloķēšana un droši attālinātās piekļuves protokoli, ir pamatprasība, nodrošinot, ka identitātes verifikāciju nevar apiet. Stingra uzraudzība, žurnāli un periodiskas pārskatīšanas pasākumi palīdz uzturēt precīzu kontu uzskaiti un nodrošināt politikas ievērošanu. Izņēmumu apstrāde ir uz risku balstīta un kontrolēta, un ārkārtas piekļuves scenārijiem (“break-glass”) tiek pievērsta īpaša procedurāla uzmanība. Obligātā atbilstība tiek uzsvērta ar pakāpenisku izpildes modeli, tostarp piekļuves atspējošanu, mērķtiecīgu atkārtotu apmācību, disciplināros pasākumus un juridisko/regulatīvo eskalāciju pārkāpumu gadījumā. Integrācija ar saistītajām organizācijas politikām nodrošina saskaņotu pieeju visās informācijas drošības kontroles jomās, un prasība veikt ikgadējas (vai notikumu izraisītas) politikas pārskatīšanas garantē nepārtrauktu saskaņošanu ar mainīgām sistēmām, biznesa modeļiem un regulatīvajām prasībām. Lietotāju kontu un privilēģiju pārvaldības politika ir pamatelements organizācijas risku pārvaldības ietvarā, stiprinot operatīvo drošību un regulatīvo atbilstību.