§ 12

Řízení přístupů. Zjistíte, k čemu je princip need-to-know, co to znamená BYOD nebo jaké existují typy účtů.

Řízení přístupu

Přístupy k informačnímu systému musí být řízeny na základě provozních a bezpečnostních potřeb. K řízení přístupu musí být přijata taková opatření, která zajistí ochranu přihlašovacích údajů. K tomu jsou využívány i technické nástroje pro správu a ověřování identit (§ 19 VKB) a pro řízení přístupových oprávnění (§ 20 VKB).

Jednotliví uživatelé, administrátoři, aplikace a zařízení musí mít přidělený jednoznačný identifikátor, pomocí kterého lze určit vykonavatele operace v informačním systému. Řízení přístupu musí být prováděno pomocí skupin a rolí.

Existují tyto typy účtů:

  • Privilegované účty,
  • uživatelské účty,
  • a technické účty.

Bring Your Own Device

Pojem Bring Your Own Device (BYOD) se vztahuje na zaměstnance, kteří přinášejí, užívají a připojují na pracovišti vlastní mobilní zařízení, jako například chytré telefony, laptopy nebo tablety. Pro spravování firemních i osobních zařízení se využívá nástroje Mobile Device Management (MDM), který může obsahovat například tyto funkcionality:

  • Konfiguraci mobilních zařízení,
  • zálohu dat,
  • obnovu dat,
  • distribuci firmware a aplikací,
  • monitoring zařízení apod.

Omezení oprávnění

Uživatelé a administrá­toři by měli využívat přístup k informacím a systémům pouze v rozsahu nezbytně nutném pro výkon činností vyplývajících z popisu pracovního místa či smluvního ujednání. Tento princip je běžně znám pod pojmem need-to-know. Přidělování a odebírání přístupových oprávnění by mělo být v souladu s politikou řízení přístupu. Vrcholové vedení by nemělo mít nezdůvodněné výjimky pro privilegovaná oprávnění.

Přístupová oprávnění, přidělené identity a rozdělení do přístupových skupin a rolí se musí pravidelně přezkoumávat. V případě změny pracovní pozice nebo ukončení smluvního vztahu je potřeba přístupová oprávnění změnit nebo odebrat. Přidělování a odebírání přístupových oprávnění musí být dokumentováno. Pro pravidelné přezkoumávání přidělených přístupových oprávnění je vhodné stanovit odpovědnou osobu.

V rámci politiky řízení přístupů se musí definovat pravidla a postupy potřebné pro omezení a kontrolu používaného softwaru a hardwaru, který by mohl narušit systémovou a aplikační bezpečnost. Příklad: Jedná se o kontrolu připojovaných USB, antivir apod.

Privilegované účty

Přístupová oprávnění pro privilegované účty musí být přidělována v souladu s politikou řízení přístupů. Administrátoři nesmí mít sdílené přihlašovací údaje. Administrátor musí mít vedle privilegovaného účtu i účet běžného uživatele pro činnosti, které nevyžadují privilegovaná oprávnění. K zabezpečení řízení přístupu se pro ověření identity uživatelů, administrátorů a aplikací doporučuje maximálně využívat vícefaktorové autentizace.