Politica de management al conturilor de utilizator și al privilegiilor

Politica de management al conturilor de utilizator și al privilegiilor (Documentul P11) oferă un cadru structurat și obligatoriu pentru controlul modului în care sunt gestionate conturile de utilizator și privilegiile în toate sistemele informatice ale organizației și tehnologiile aferente. Scopul său principal este de a asigura că resursele organizației sunt accesate numai de persoane autorizate, în conformitate cu roluri și permisiuni alocate, validate și necesități operaționale. Politica recunoaște și aplică principii-cheie de securitate a informației, precum principiul privilegiului minim și separarea atribuțiilor, și impune procese auditable pentru alocarea accesului, gestionare, monitorizare și revocarea accesului pentru conturile de utilizator. Aplicabilă tuturor utilizatorilor, inclusiv angajaților și contractorilor, furnizorilor terți de servicii și consultanților, această politică guvernează orice sistem în care este prezentă autentificarea. Acest domeniu de aplicare cuprinzător acoperă aplicații de afaceri, medii cloud și SaaS, sisteme administrative și instrumente de acces la distanță, precum și platforme de management al identității și al accesului. Atât conturile standard, cât și conturile privilegiate intră sub incidența cerințelor sale, cu un accent puternic pe nume de utilizator unice pentru fiecare cont și pe prevenirea utilizării credențialelor partajate sau a conturilor partajate/generice (cu excepția scenariilor de urgență strict controlate). Obiectivele-cheie ale politicii includ aplicarea credențialelor unice, justificabile și ușor de urmărit; implementarea controalelor de acces bazate pe roluri pentru a proteja împotriva drepturilor de acces excesive; solicitarea de modificări prompte ale stării contului în urma schimbărilor de rol sau a procesului de încetare; și centralizarea activităților de gestionare a ciclului de viață al accesului pentru consecvență și auditabilitate. Sunt prevăzute dispoziții pentru detectarea proactivă a credențialelor de utilizator inactive sau a conturilor utilizate abuziv prin revizuiri periodice ale accesului și utilizarea de instrumente automatizate. Politica este concepută explicit pentru a se alinia cu standarde de securitate de referință (precum ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR și COBIT 2019), pentru a îndeplini atât cerințe de reglementare, cât și cerințe privind cele mai bune practici din industrie. Rolurile și responsabilitățile sunt definite clar, de la rolul CISO de supraveghere și gestionarea excepțiilor, la acțiunile tehnice ale administratorilor de control al accesului, autorizările de acces ale șefilor de departament și integrarea HR cu procesele de înrolare și încetarea colaborării. Procedurile asigură că crearea, modificarea și dezactivarea conturilor sunt guvernate strict, cu acces privilegiat supus unei examinări suplimentare, aprobărilor, accesului limitat în timp și jurnalizării de audit îmbunătățite. Controalele de autentificare, inclusiv politica de autentificare obligatorie, autentificarea multifactor pentru conturile-cheie, blocarea sesiunilor și protocoale securizate de acces la distanță, reprezintă o cerință de bază, asigurând că verificarea identității nu poate fi ocolită. Monitorizarea robustă, audit logging și măsuri de revizuire periodică ajută la menținerea unui inventar corect al activelor de conturi și la aplicarea conformității. Gestionarea excepțiilor este bazată pe risc și controlată, cu scenarii de acces de urgență („break-glass”) care primesc atenție procedurală specială. Conformitatea obligatorie este subliniată printr-un model progresiv de aplicare, inclusiv dezactivarea accesului, reinstruire, măsuri disciplinare și escaladare juridică și de reglementare pentru încălcări. Integrarea cu politici organizaționale conexe asigură o abordare coerentă în toate domeniile de securitate a informației, iar cerința de revizuiri anuale (sau declanșate de evenimente) ale politicii garantează îmbunătățire continuă și aliniere cu evoluția sistemelor, modelelor de afaceri și peisajelor de reglementare. Politica de management al conturilor de utilizator și al privilegiilor este fundamentală pentru strategia de management al riscului a organizației, consolidând securitatea operațională și conformitatea cu reglementările.