Politika upravljanja uporabniških računov in privilegijev

Politika upravljanja uporabniških računov in privilegijev (dokument P11) zagotavlja strukturiran in obvezen okvir za nadzor nad tem, kako se uporabniški računi in privilegiji upravljajo v vseh organizacijskih informacijskih sistemih in tehnologijah. Njen temeljni namen je zagotoviti, da do organizacijskih virov dostopajo samo pooblaščeni posamezniki, v skladu s potrjenimi vlogami in operativnimi potrebami. Politika prepoznava in uveljavlja ključna načela informacijske varnosti, kot sta načelo najmanjših privilegijev in ločevanje dolžnosti (SoD), ter zahteva revidirljive procese za dodeljevanje dostopa, upravljanje, spremljanje in odvzem dostopa uporabniških računov. Velja za vse uporabnike, vključno z zaposlenimi, pogodbenimi izvajalci, ponudniki storitev tretjih oseb in svetovalci, ter ureja vsak sistem, kjer je prisotna avtentikacija uporabnika. Ta celovit obseg zajema poslovne aplikacije, oblak in okolja SaaS, administrativne sisteme in orodja za oddaljeni dostop, pa tudi platforme za upravljanje identitet in dostopa (IAM). Tako standardni kot privilegirani računi spadajo pod zahteve, s poudarkom na edinstveni identifikaciji vsakega računa in preprečevanju uporabe deljenih poverilnic ali generičnih računov (razen v strogo nadzorovanih nujnih scenarijih). Ključni cilji politike vključujejo uveljavljanje edinstvenih, utemeljenih in sledljivih uporabniških računov; izvajanje kontrol načela najmanjših privilegijev za zaščito pred prekomernimi pravicami dostopa; zahtevo po hitrih spremembah statusa računa po spremembah vlog ali prenehanjih; ter centralizacijo dejavnosti upravljanja življenjskega cikla dostopov za doslednost in revidirljivost. Določbe so vzpostavljene za proaktivno odkrivanje mirujočih uporabniških poverilnic ali zlorabljenih računov prek rednih pregledov in uporabe samodejnih orodij. Politika je izrecno zasnovana za uskladitev z vodilnimi varnostnimi standardi (kot so ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR in COBIT 2019) za izpolnjevanje regulativnih in najboljših praks. Vloge in odgovornosti so jasno opredeljene, od nadzorne in upravljanja izjem vloge vodje informacijske varnosti (CISO) do tehničnih ukrepov skrbnikov nadzora dostopa, pooblastil za dostop vodij oddelkov ter integracije HR s procesi uvajanja/postopka izstopa. Postopki zagotavljajo, da so ustvarjanje, spreminjanje in deaktivacija računov strogo upravljani, pri čemer je upravljanje privilegiranih dostopov predmet dodatnega nadzora, odobritev, časovnih omejitev in okrepljenega revizijskega beleženja. Kontrole avtentikacije, vključno z obveznimi politikami gesel, večfaktorsko avtentikacijo (MFA) za ključne račune, zaklepanjem sej in varnimi protokoli oddaljenega dostopa, predstavljajo osrednjo zahtevo, ki zagotavlja, da avtentikacije ni mogoče obiti. Robustni ukrepi spremljanja, dnevniki in periodični pregledi pomagajo ohranjati natančne popise računov in uveljavljati skladnost. Obravnava izjem je na podlagi tveganj in nadzorovana, pri čemer so nujni scenariji dostopa (»break-glass«) deležni posebne postopkovne pozornosti. Obvezna skladnost je poudarjena s progresivnim modelom uveljavljanja, vključno z onemogočanjem dostopa, usmerjenim ponovnim usposabljanjem, disciplinskimi ukrepi in pravno/regulatorno eskalacijo za kršitve. Integracija s povezanimi organizacijskimi politikami zagotavlja koherenten pristop na vseh področjih informacijske varnosti, zahteva po letnih (ali dogodkovno sproženih) pregledih politike pa zagotavlja nenehno izboljševanje in usklajenost z razvijajočimi se sistemi, poslovnimi modeli in regulativnimi okolji. Politika upravljanja uporabniških računov in privilegijev je temeljna za strategijo obvladovanja tveganj organizacije, saj krepi operativno varnost in skladnost s predpisi.