Politika varnosti in nadzora dostopa do osebno določljivih podatkov (PII)

Politika varnosti in nadzora dostopa do osebno določljivih podatkov (PII) določa zahteve organizacije, specifične za PII, za varovanje osebnih informacij v sistemih, aplikacijah, storitvah, napravah, okoljih v oblaku in operativnih procesih. Uporablja se tam, kjer se PII hranijo, prenašajo ali obdelujejo, kjer se do njih dostopa, se z njimi upravlja ali se varujejo, ter zajema kontekste upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca. Politika je izrecno zasnovana za integracijo z obstoječimi praksami informacijske varnosti, ne pa za nadomestitev celotnega sistema upravljanja informacijske varnosti, Politike varnosti omrežja, Politike varnega razvoja, politike varnostnega kopiranja, politike končnih točk, politike varnosti v oblaku, standarda kriptografskih kontrol, postopka upravljanja ranljivosti ali postopka odzivanja na incidente. Njen osrednji namen je zagotoviti, da so PII med celotno obdelavo zaščiteni z ustreznimi, tveganjem prilagojenimi in preverljivimi varnostnimi kontrolami ter kontrolami dostopa. V podporo temu namenu politika vzpostavlja osnovni nabor varnostnih zahtev za osebno določljive podatke in zahteva sledljiva dokazila prek REG02, REG08, REG10 in REG12. Ta model dokazil je osrednji element politike: operativni dnevniki, izhodi varnostnih orodij, izvozi pregledov pravic dostopa, poročila o ranljivostih in dokazila o konfiguraciji se lahko priložijo kanoničnim dokaznim objektom, se v njih povzamejo ali se nanje sklicujejo, vendar se ne obravnavajo kot ločeni registri PIMS. To organizaciji omogoča dokazovanje, da so kontrole načrtovane, implementirane, pregledane, spremljane in izboljševane, brez podvajanja varnostnih zapisov. Politika določa podrobne zahteve za nadzor dostopa, avtentikacijo in privilegirani dostop. Dostop do PII mora biti omejen na odobrene vloge in pooblaščene uporabnike, zabeležene ali sledljive v REG02 ali REG12, poslovni namen pa mora biti odobren pred dodeljevanjem dostopa. Sistemi PII z velikim vplivom ali občutljivi sistemi PII zahtevajo najmanj četrtletne preglede pravic dostopa uporabnikov, drugi sistemi PII pa najmanj letni pregled. Dostop mora biti odstranjen ali spremenjen v enem delovnem dnevu po spremembi vloge, prenehanju, zaključku pogodbe ali kadar dostop ni več potreben. Privilegirani dostop zahteva dokumentirano utemeljitev, obseg in odobritev pred dodelitvijo, z mesečnim pregledom za sisteme PII z velikim vplivom ali občutljive sisteme PII ter četrtletnim pregledom za druge sisteme PII. Politika obravnava tudi tehnična varnostna pričakovanja za avtentikacijo, šifriranje, varno hrambo, beleženje, spremljanje, konfiguracijo, upravljanje ranljivosti, dostop do končnih točk in dostop do oblaka. Za račune z dostopom do PII so zahtevane enolične uporabniške identitete, za privilegirani, oddaljeni, administratorski ali dostop do PII z velikim vplivom pa je zahtevana močna avtentikacija. Šifriranje ali odobrena kompenzacijska zaščita mora biti določena, preden se PII z velikim vplivom, občutljivi PII ali zunanje preneseni PII hranijo, prenašajo ali omogočijo za dostop. Obseg beleženja mora zajemati dogodke avtentikacije, dogodke dostopa, privilegirana dejanja, dejavnost izvoza PII in bistvene spremembe konfiguracije. Status konfiguracije in pokritost ranljivosti morata biti zabeležena v REG12, nerešene visoko tvegane ranljivosti, ki vplivajo na PII, pa morajo biti zabeležene v petih delovnih dneh po validaciji. Odgovornosti za upravljanje so dodeljene najvišjemu vodstvu, vodji zasebnosti/vodji PIMS, pooblaščeni osebi za varstvo podatkov/svetovalcu za zasebnost, vodji informacijske varnosti, lastniku procesa/poslovnemu lastniku, lastniku sistema/lastniku aplikacije, lastniku dobaviteljev/nabave, koordinatorju odzivanja na incidente in notranji reviziji/pregledovalcu skladnosti. Politika zahteva četrtletne preglede popolnosti dokazil v REG02, REG08, REG10 in REG12, četrtletni pregled učinkovitosti osnovnega nabora zahtev in nerešenih vrzeli ter revizijsko vzorčenje pregledov pravic dostopa, pregledov privilegiranega dostopa, dokazil o beleženju in dokazil o konfiguraciji. Izjeme morajo biti zabeležene pred aktivacijo, vključevati morajo datum poteka, kompenzacijsko kontrolo in datum pregleda ter prejeti odobritev najvišjega vodstva, kadar vplivajo na PII z velikim vplivom, občutljive PII, privilegirani dostop, šifriranje, beleženje ali nerešene visoko tvegane ranljivosti.