Politika riadenia prístupu

Politika riadenia prístupu je kľúčovým pilierom bezpečnosti organizácie a stanovuje podrobné zásady a kontrolné opatrenia pre riadenie prístupu k informačným systémom, aplikáciám, fyzickým priestorom a dátovým aktívam. Táto politika zabezpečuje, že každá forma prístupu, či už logický prístup alebo fyzický prístup, je riadená obchodnou potrebou, pracovnou funkciou a celkovým rizikovým profilom organizácie, v súlade s globálne uznávanými normami, ako sú ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA a COBIT 2019. Jej účelom je vynucovať prísne zásady, ako sú zásada minimálnych oprávnení, zásada potreby vedieť a oddelenie povinností (SoD), ktoré sú nevyhnutné na zmierňovanie rizík súvisiacich s neoprávneným prístupom a vnútornými hrozbami. Politika podporuje a operacionalizuje požiadavky na logický prístup a fyzický prístup, autentifikáciu používateľa a riadenie životného cyklu prístupov, od procesu nástupu používateľa až po odoberanie prístupových práv. Kontrolné opatrenia sú definované pre digitálne aj fyzické zdroje s cieľom predchádzať neoprávnenému použitiu, zneužitiu alebo kompromitácii. Táto politika sa uplatňuje v celej organizácii; jej rozsah zahŕňa všetkých používateľov vrátane zamestnancov, dodávateľov, dodávateľov tretích strán a dočasných pracovníkov, ako aj všetky systémy a priestory pokryté systémom manažérstva informačnej bezpečnosti (ISMS). Rieši komplexné scenáre prístupu a rozširuje kontrolné opatrenia na vlastné priestory, cloudové a hybridné prostredia, podnikové IT aktíva, podnikový hardvér a softvér a logické (systémy, siete, rozhrania API) aj fyzické (budovy, dátové centrá) aktíva. Dôležité je, že politika vyžaduje, aby bol prístup riadený počas celého životného cyklu, a úzko sa integruje s udalosťami riadenými ľudskými zdrojmi (HR), ako sú proces nástupu, vnútorné prenosy a proces ukončenia, aby sa zabezpečili včasné aktualizácie a zrušenie prístupových oprávnení. Robustné požiadavky na správu zahŕňajú definovanie prístupových práv prostredníctvom formalizovanej matice rolí; integráciu zriaďovania prístupu a rušenia prístupov s procesmi ľudských zdrojov (HR) a technickými procesmi; vynucovanie schvaľovacích pracovných postupov; a povinnú správu privilegovaných prístupov (PAM) prostredníctvom oddelených účtov, monitorovania a zaznamenávania relácií a viacfaktorovej autentifikácie (MFA). Tieto postupy sú doplnené požiadavkami na štvrťročné revízie prístupových práv, auditné logovanie a zosúladenie postupov riadenia prístupu s regulačnými a obchodnými požiadavkami. Politika tiež opisuje explicitné mechanizmy pre riadenie výnimiek a riadenie rizík, vynucovanie a pravidelné preskúmanie, čím zabezpečuje, že program zostáva adaptívny voči vznikajúcim hrozbám, regulačným zmenám a novým technológiám. Okrem toho politika obsahuje špecifické ustanovenia pre správanie používateľov, prístup tretích strán, oddelenie povinností a mechanizmus oznamovania porušení. Vynucuje jasný rámec pre riešenie porušení politiky, stanovuje očakávania pre požiadavky na preskúmanie a aktualizáciu a vyžaduje uchovávanie historických verzií na účely súladu. Všetky tieto prvky spolu vytvárajú prostredie správy a riadenia prístupov, ktoré je zodpovedné, auditovateľné a schopné podporiť certifikáciu alebo právne preskúmanie bez akýchkoľvek predpokladov alebo tvrdení nad rámec toho, čo je striktne zdokumentované.