Politica de securitate a PII și de control al accesului

Politica de securitate a PII și de control al accesului definește cerințele specifice PII ale organizației pentru protejarea informațiilor cu caracter personal la nivelul sistemelor, aplicațiilor, serviciilor, dispozitivelor, mediilor cloud și proceselor operaționale. Se aplică acolo unde PII sunt stocate, transmise, prelucrate, accesate, administrate sau protejate și acoperă contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită. Politica este proiectată explicit pentru integrarea cu practicile existente de securitate a informației, nu pentru înlocuirea unui Sistem de management al securității informației complet, a unei Politici de securitate a rețelei, a unei Politici de dezvoltare securizată, a unei Politici de backup și restaurare, a unei politici privind protecția punctelor terminale, a unei politici de securitate cloud, a unui Standard privind controalele criptografice, a unei proceduri de management al vulnerabilităților sau a unei proceduri de răspuns la incidente. Scopul său principal este de a asigura protejarea PII prin controale de securitate și de acces adecvate, aliniate la risc și verificabile prin audit pe tot parcursul prelucrării. Pentru a susține acest scop, politica stabilește o bază de referință pentru securitatea PII și impune dovezi trasabile prin REG02, REG08, REG10 și REG12. Acest model de dovezi este central pentru politică: jurnalele operaționale, rezultatele instrumentelor de securitate, exporturile revizuirii drepturilor de acces, rapoartele de vulnerabilitate și dovezile privind configurația pot fi atașate la obiectele canonice de dovadă, rezumate în acestea sau referite prin acestea, însă nu sunt tratate ca registre PIMS separate. Aceasta permite organizației să demonstreze că controalele sunt planificate, implementate, revizuite, monitorizate și îmbunătățite fără duplicarea înregistrărilor de securitate. Politica stabilește cerințe detaliate pentru controlul accesului, autentificare și acces privilegiat. Accesul la PII trebuie restricționat la roluri aprobate și utilizatori autorizați, înregistrați sau trasabili în REG02 ori REG12, iar scopul operațional trebuie aprobat înainte de alocarea accesului. Sistemele PII cu impact ridicat sau sensibile necesită revizuirea drepturilor de acces ale utilizatorilor cel puțin trimestrial, iar alte sisteme PII necesită revizuire cel puțin anuală. Accesul trebuie eliminat sau modificat în termen de o zi lucrătoare după o schimbare de rol, încetare, finalizarea contractului sau atunci când accesul nu mai este necesar. Accesul privilegiat necesită justificare, domeniu de aplicare și aprobare documentate înainte de acordare, cu revizuire lunară pentru sistemele PII cu impact ridicat sau sensibile și revizuire trimestrială pentru alte sisteme PII. Politica abordează, de asemenea, așteptările tehnice de securitate pentru autentificare, criptare, stocare securizată, jurnalizare, monitorizare, configurație, managementul vulnerabilităților, accesul la punctele terminale și accesul cloud. Sunt necesare identități unice ale utilizatorilor pentru conturile cu acces la PII, iar autentificarea puternică este necesară pentru accesul privilegiat, la distanță, administrativ sau cu impact ridicat la PII. Criptarea sau o protecție compensatorie aprobată trebuie definită înainte ca PII cu impact ridicat, sensibile sau transmise extern să fie stocate, transmise ori făcute accesibile. Domeniul jurnalizării trebuie să acopere evenimentele de autentificare, evenimentele de acces, acțiunile privilegiate, activitatea de export al PII și modificările semnificative ale configurației. Starea configurației și acoperirea vulnerabilităților trebuie înregistrate în REG12, iar vulnerabilitățile cu risc ridicat nerezolvate care afectează PII trebuie înregistrate în termen de cinci zile lucrătoare de la validare. Responsabilitățile de guvernanță sunt atribuite conducerii de vârf, responsabilului pentru confidențialitate / managerului PIMS, responsabilului cu protecția datelor / consilierului privind confidențialitatea, responsabilului cu securitatea informației, proprietarului de proces / proprietarului activității, proprietarului de sistem / proprietarului de aplicație, responsabilului pentru furnizori / achiziții, coordonatorului răspunsului la incidente și revizorului de audit intern / conformitate. Politica impune revizuiri trimestriale ale caracterului complet al dovezilor în REG02, REG08, REG10 și REG12, revizuirea trimestrială a eficacității bazei de referință și a lacunelor nerezolvate, precum și eșantionarea de audit a revizuirilor drepturilor de acces, a revizuirilor accesului privilegiat, a dovezilor de jurnalizare și a dovezilor privind configurația. Excepțiile trebuie înregistrate înainte de activare, trebuie să includă data de expirare, controlul compensatoriu și data revizuirii și trebuie să primească aprobarea conducerii de vârf atunci când afectează PII cu impact ridicat, PII sensibile, accesul privilegiat, criptarea, jurnalizarea sau vulnerabilitățile cu risc ridicat nerezolvate.