Politika bezpečnosti a riadenia prístupu k osobne identifikovateľným údajom (PII)

Politika bezpečnosti a riadenia prístupu k osobne identifikovateľným údajom (PII) definuje požiadavky organizácie špecifické pre PII na ochranu osobných údajov v systémoch, aplikáciách, službách, zariadeniach, cloudových prostrediach a prevádzkových procesoch. Uplatňuje sa tam, kde sa PII ukladajú, prenášajú, spracúvajú, sprístupňujú, administrujú alebo chránia, a zahŕňa kontexty prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa. Politika je výslovne navrhnutá tak, aby sa integrovala s existujúcimi postupmi informačnej bezpečnosti, a nie aby nahrádzala úplný systém manažérstva informačnej bezpečnosti, Politiku bezpečnosti sietí, Politiku bezpečného vývoja, politiku zálohovania, politiku koncových bodov, politiku cloudovej bezpečnosti, kryptografický štandard, postup riadenia zraniteľností alebo postup reakcie na incidenty. Jej hlavným účelom je zabezpečiť, aby boli PII počas celého spracúvania chránené primeranými, s rizikami zosúladenými a auditovateľnými bezpečnostnými kontrolami a kontrolami riadenia prístupu. Na podporu tohto účelu politika stanovuje referenčnú úroveň bezpečnosti PII a vyžaduje sledovateľné dôkazy prostredníctvom REG02, REG08, REG10 a REG12. Tento dôkazový model je pre politiku kľúčový: prevádzkové logy, výstupy bezpečnostných nástrojov, exporty revízií prístupových práv, správy o zraniteľnostiach a dôkazy o konfigurácii môžu byť priložené ku kanonickým dôkazovým objektom, zhrnuté v nich alebo na ne môžu odkazovať, no nepovažujú sa za samostatné registre PIMS. Organizácii to umožňuje preukázať, že kontroly sú plánované, implementované, preskúmavané, monitorované a zlepšované bez duplicity bezpečnostných záznamov. Politika stanovuje podrobné požiadavky na riadenie prístupu, autentifikáciu a privilegovaný prístup. Prístup k PII musí byť obmedzený na schválené roly a oprávnených používateľov zaznamenaných alebo sledovateľných v REG02 alebo REG12 a účel činnosti organizácie musí byť schválený pred zriaďovaním prístupu. Systémy s osobnými údajmi s vysokým dopadom alebo citlivými PII vyžadujú revízie prístupových práv používateľov aspoň štvrťročne, zatiaľ čo ostatné systémy s PII vyžadujú preskúmanie aspoň raz ročne. Prístup sa musí odobrať alebo upraviť do jedného pracovného dňa po zmene roly, ukončení, dokončení zmluvy alebo keď prístup už nie je potrebný. Privilegovaný prístup vyžaduje pred udelením zdokumentované odôvodnenie, rozsah a schválenie, s mesačným preskúmaním pri systémoch s osobnými údajmi s vysokým dopadom alebo citlivými PII a štvrťročným preskúmaním pri ostatných systémoch s PII. Politika sa zaoberá aj technickými bezpečnostnými očakávaniami pre autentifikáciu, šifrovanie, bezpečné uchovávanie, logovanie, monitorovanie, konfiguráciu, riadenie zraniteľností, prístup ku koncovým bodom a cloudový prístup. Pre účty s prístupom k PII sa vyžadujú jedinečné používateľské identity a pri privilegovanom, vzdialenom, administrátorskom prístupe alebo prístupe k PII s vysokým dopadom sa vyžaduje silná autentifikácia. Pred uložením, prenosom alebo sprístupnením PII s vysokým dopadom, citlivých PII alebo externe prenášaných PII musí byť definované šifrovanie alebo schválená kompenzačná ochrana. Rozsah logovania musí zahŕňať udalosti autentifikácie, udalosti prístupu, privilegované akcie, aktivitu exportu PII a podstatné zmeny konfigurácie. Stav konfigurácie a pokrytie zraniteľností musia byť zaznamenané v REG12, pričom nevyriešené vysokorizikové zraniteľnosti ovplyvňujúce PII musia byť zaznamenané do piatich pracovných dní od validácie. Zodpovednosti za správu a riadenie sú pridelené vrcholovému manažmentu, vedúcemu ochrany súkromia / manažérovi PIMS, zodpovednej osobe pre ochranu osobných údajov / poradcovi pre ochranu súkromia, vedúcemu informačnej bezpečnosti, vlastníkovi procesu / vlastníkovi organizácie, vlastníkovi systému / vlastníkovi aplikácie, vlastníkovi dodávateľa / obstarávania, koordinátorovi reakcie na incidenty a preskúmavateľovi vnútorného auditu / súladu. Politika vyžaduje štvrťročné preskúmania úplnosti dôkazov naprieč REG02, REG08, REG10 a REG12, štvrťročné preskúmanie účinnosti referenčnej úrovne a nevyriešených medzier a auditné vzorkovanie revízií prístupových práv, preskúmaní privilegovaného prístupu, dôkazov o logovaní a dôkazov o konfigurácii. Výnimky musia byť zaznamenané pred aktiváciou, musia obsahovať dátum skončenia platnosti, kompenzačnú kontrolu a dátum preskúmania a musia získať schválenie vrcholového manažmentu, ak ovplyvňujú PII s vysokým dopadom, citlivé PII, privilegovaný prístup, šifrovanie, logovanie alebo nevyriešené vysokorizikové zraniteľnosti.