Polityka bezpieczeństwa PII i kontroli dostępu

Polityka bezpieczeństwa PII i kontroli dostępu definiuje specyficzne dla PII wymagania organizacji dotyczące ochrony danych osobowych w systemach, aplikacjach, usługach, urządzeniach, środowiskach chmury obliczeniowej i procesach operacyjnych. Ma zastosowanie tam, gdzie PII jest przechowywane, przesyłane, przetwarzane, udostępniane, administrowane lub chronione, oraz obejmuje konteksty administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania. Polityka została wyraźnie zaprojektowana tak, aby integrować się z istniejącymi praktykami bezpieczeństwa informacji, a nie zastępować pełny system zarządzania bezpieczeństwem informacji, Politykę bezpieczeństwa sieci, Politykę bezpiecznego rozwoju oprogramowania, politykę tworzenia kopii zapasowych, politykę punktów końcowych, politykę bezpieczeństwa chmury obliczeniowej, standard kryptograficzny, procedurę zarządzania podatnościami ani procedurę reagowania na incydenty. Jej podstawowym celem jest zapewnienie, aby PII było chronione przez odpowiednie, dostosowane do ryzyka i podlegające kontroli audytowej zabezpieczenia bezpieczeństwa oraz kontroli dostępu przez cały okres przetwarzania. W tym celu polityka ustanawia bazowy zestaw wymagań bezpieczeństwa PII i wymaga identyfikowalnych dowodów za pośrednictwem REG02, REG08, REG10 i REG12. Ten model dowodowy ma kluczowe znaczenie dla polityki: logi operacyjne, wyniki narzędzi bezpieczeństwa, eksporty z przeglądów dostępu, raporty podatności i dowody konfiguracji mogą być załączane do kanonicznych obiektów dowodowych, podsumowywane w nich albo przywoływane przez nie, ale nie są traktowane jako odrębne rejestry PIMS. Pozwala to organizacji wykazać, że zabezpieczenia są planowane, wdrażane, przeglądane, monitorowane i doskonalone bez dublowania zapisów bezpieczeństwa. Polityka określa szczegółowe wymagania dotyczące kontroli dostępu, uwierzytelniania i dostępu uprzywilejowanego. Dostęp do PII musi być ograniczony do zatwierdzonych ról i uprawnionych użytkowników zapisanych lub możliwych do prześledzenia w REG02 albo REG12, a cel biznesowy musi zostać zatwierdzony przed nadaniem dostępu. Systemy PII o istotnym wpływie lub systemy zawierające wrażliwe PII wymagają przeglądów dostępu użytkowników co najmniej raz na kwartał, natomiast pozostałe systemy PII wymagają przeglądu co najmniej raz w roku. Dostęp musi zostać usunięty lub zmieniony w ciągu jednego dnia roboczego po zmianie roli, zakończeniu współpracy, zakończeniu umowy albo gdy dostęp nie jest już wymagany. Dostęp uprzywilejowany wymaga udokumentowanego uzasadnienia, zakresu i zatwierdzenia przed jego nadaniem, z comiesięcznym przeglądem dla systemów PII o istotnym wpływie lub systemów zawierających wrażliwe PII oraz kwartalnym przeglądem dla pozostałych systemów PII. Polityka odnosi się również do technicznych oczekiwań bezpieczeństwa dotyczących uwierzytelniania, szyfrowania, bezpiecznego przechowywania, rejestrowania, monitorowania, konfiguracji, zarządzania podatnościami, dostępu z punktów końcowych i dostępu do chmury obliczeniowej. Unikalne tożsamości użytkowników są wymagane dla kont z dostępem do PII, a silne uwierzytelnianie jest wymagane dla dostępu uprzywilejowanego, zdalnego, administracyjnego lub dostępu do PII o istotnym wpływie. Szyfrowanie albo zatwierdzona ochrona kompensująca musi zostać zdefiniowana przed przechowywaniem, przesyłaniem lub udostępnieniem PII o istotnym wpływie, wrażliwego PII albo PII przesyłanego na zewnątrz. Zakres rejestrowania musi obejmować zdarzenia uwierzytelniania, zdarzenia dostępu, działania uprzywilejowane, aktywność eksportu PII oraz istotne zmiany konfiguracji. Status konfiguracji i pokrycie podatnościami muszą być rejestrowane w REG12, a nierozwiązane podatności wysokiego ryzyka wpływające na PII muszą zostać zarejestrowane w ciągu pięciu dni roboczych od walidacji. Odpowiedzialności w zakresie ładu zarządczego są przypisane najwyższemu kierownictwu, osobie odpowiedzialnej za prywatność / menedżerowi PIMS, inspektorowi ochrony danych (IOD) / doradcy ds. prywatności, osobie odpowiedzialnej za bezpieczeństwo informacji, właścicielowi procesu / właścicielowi biznesowemu, właścicielowi systemu / właścicielowi aplikacji, właścicielowi dostawcy / zakupów, koordynatorowi reagowania na incydenty oraz audytorowi wewnętrznemu / osobie przeglądającej zgodność. Polityka wymaga kwartalnych przeglądów kompletności dowodów w REG02, REG08, REG10 i REG12, kwartalnego przeglądu skuteczności bazowego zestawu wymagań i nierozwiązanych luk oraz prób audytowych przeglądów dostępu, przeglądów dostępu uprzywilejowanego, dowodów rejestrowania i dowodów konfiguracji. Wyjątki muszą zostać zarejestrowane przed aktywacją, zawierać datę wygaśnięcia, kontrolę kompensującą i datę przeglądu oraz uzyskać zatwierdzenie najwyższego kierownictwa, gdy wpływają na PII o istotnym wpływie, wrażliwe PII, dostęp uprzywilejowany, szyfrowanie, rejestrowanie lub nierozwiązane podatności wysokiego ryzyka.