Řízení přístupu

Smyslem tohoto bezpečnostního opatření je zajištění jednoznačné identifikace osob a zařízení přistupujících k aktivům a řízení práv a oprávnění s ohledem na vykonávanou činnost s aktivem, včetně řešení fyzické bezpečnosti aktiva.

Přístupová práva a oprávnění

Každému uživateli a administrátorovi přistupujícímu k aktivu musí být přidělena odpovídající přístupová práva, a to s takovým stupněm oprávnění, jaký je nezbytný pro povahu vykonávané práce s aktivem. 

Každý uživatelský a administrátorský účet by měl být:

  • jedinečný,
  • jednoznačně identifikovatelný (tj. spojitelný s konkrétní osobou) a
  • řízený.

Má-li být uživateli přiděleno i administrátorské oprávnění, musí být tento administrátorský účet od uživatelského účtu oddělen a využíván výhradně k privilegovaným činnostem.

Příklady plnění:

  • Je vypracována politika zabývající se problematikou uživatelských účtů, která zohledňuje specifické potřeby organizačních jednotek a jejich povinnosti.
  • Jsou přidělována ta nejnižší možná uživatelská oprávnění, která jsou pro vykonávanou práci zaměstnanců nezbytná.
  • Je vedena evidence zaměstnanců a jejich přidělených přístupových oprávnění.
  • Administrátoři aktiv využívají pro jejich administraci výhradně administrátorské účty vázané k danému aktivu, které jsou v rámci organizace unikátní. Pro práci nevyžadující administrátorská oprávnění využívají běžný uživatelský účet.

  • Je prováděna periodická kontrola nastavení uživatelských práv.

  • V případě, že je potřeba zajistit pro uživatele vyšší míru oprávnění (například v souvislosti s využívaním určitého SW), je tato potřeba zdokumentována a práva jsou přidělena pouze na nezbytně nutnou úroveň postačující k pracovním úkonům.
  • Jsou důsledně vedeny informace o účtech dodavatelů a správců nakupovaných online služeb.
  • U dodavatelů online služeb je periodicky prováděn audit, zda jsou používané administrátorské účty unikátní pro danou osobu a organizaci.
  • Je vedena evidence uživatelských účtů přidělovaných pro externí pracovníky a důsledně je kontrolována deaktivace účtu po ukončení pracovněprávního vztahu.
  • Je vedena evidence typů uživatelských účtů a jejich spojení s konkrétními aktivy.
  • Pokud organizace využívá množství specifických aktiv, kde u některých z nich není možné k řízení uživatelských účtů komplexně přistupovat, vede pro jednotlivá aktiva s odlišným způsobem řízení uživatelských oprávnění zvláštní evidenci obsahující informace a politiky technických účtů.

Řízení účtů technických aktiv

Jsou-li využívány účty technických aktiv, např. pro účely nepersonifikovaných činností jako parametrizace inicializačního nastavení při procesu uvádění technických aktiv do provozu, musí být tyto účty rovněž řízeny.

Mobilní zařízení

Jsou-li využívána mobilní zařízení či obdobná technická aktiva anebo zařízení, která nejsou spravována poskytovatelem regulované služby, je nutné i pro tyto technologie zavést odpovídající bezpečnostní opatření zajišťující bezpečný provoz z pohledu kybernetické bezpečnosti. Jedná se např. o mobilní telefony zaměstnanců či notebooky dodavatelů, přes které přistupují do sítě organizace.

Příklady plnění:

  • Organizace všechny zaměstnance vybavila pracovními mobilními telefony, na které pomocí centrálního nástroje dohlíží a které jsou v její správě.
  • Pro mobilní aktiva je nastavena organizační bezpečnostní politika, která specifikuje, jak s nimi smí a nesmí být zacházeno.
  • Zaměstnanci mohou aktiva využívat i pro soukromé účely, ale s jistými restrikcemi jako např. znemožnění instalace libovolného SW nebo zákazu „kopírování obsahu schránky“ mezi okolními a firemními aplikacemi. Na aktivu je vynucen požadavek na délku hesla pro odemknutí obrazovky.

Pravidelná kontrola přidělených oprávnění

U přidělených práv a oprávnění je nutné pravidelně posuzovat, zda neuplynula doba jejich platnosti a zda stále existuje důvod pro přidělenou úroveň oprávnění. Pro výše uvedené posuzování je vhodné v rámci organizace zavést proces zajišťující pravidelnou kontrolu přidělených práv a oprávnění.

Příklady plnění:

  • Organizace periodicky kontroluje relevantnost přidělených práv.
  • Organizace poskytuje nadřízeným zaměstnancům přehledy o přidělených právech podřízených osob a na základě zpětné vazby od nich následně reviduje přidělená přístupová oprávnění.

Přidělená práva a oprávnění vzhledem k pracovní pozici

Přidělená úroveň oprávnění daného uživatelského či administrátorského účtu se odvíjí od požadavků na vykonávanou pracovní pozici. Výše oprávnění a privilegií uživatelských účtů by měla být adekvátně nastavena tak, aby byla pro uživatele zajištěna pouze oprávnění nezbytně nutná pro vykonávanou činnost s technickým aktivem.

Příklady plnění:

  • Je zpracována politika zohledňující veškeré druhy pracovních pozic organizace a k nim minimální úroveň přístupových práv. Z politiky vychází evidence zaměstnanců, jejich pracovních pozic a přidělených oprávnění.
  • Existuje technický proces revize evidence práv a oprávnění při změně pracovní pozice v informačním systému, který podléhá více úrovním kontroly.

Deaktivace účtů

Dojde-li ke změně nebo ukončení smluvního vztahu (se zaměstnancem, dodavatelem), je třeba z pohledu správy uživatelských a administrátorských účtů na tento stav adekvátně reagovat a například při rozvázání pracovního poměru v adekvátním časovém horizontu příslušné účty deaktivovat či upravit úroveň jejich oprávnění, aby nemohlo dojít ke zneužití těchto účtů.

Příklady plnění:

  • Organizace vypracovala politiky pro bezodkladné odstavení uživatelských účtů odcházejících zaměstnanců. Při procesu odchodu zaměstnance může dojít i k dřívějšímu vypnutí některých služeb (např. VPN připojení či izolace síťových disků) již v průběhu pracovníkovy výpovědní doby.
  • Informační systém personální agendy byl doplněn o technologii zajišťující informování relevantních pracovníků IT oddělení s technickou kontrolou činností, zda provedené kroky byly v souladu se schválenými politikami.

Fyzická bezpečnost

Musí být zajištěno zabezpečení přístupu k aktivům a ochrana aktiv před možností jejich odcizení či poškození. Aktiva musí být chráněna takovým způsobem, aby u nich nedošlo k neoprávněným zásahům nebo zneužití. Musí být zajištěna taková fyzická bezpečnostní opatření, která ochrání aktiva před neoprávněným přístupem, poškozením, zneužitím nebo odcizením.

Příklady plnění:

  • Z pohledu fyzického zabezpečení organizace vypracovala dokumentaci rozdělení fyzických perimetrů areálu do zón, pro které jsou zpracovány bezpečnostní politiky s ohledem na hodnotu aktiv v nich umístěných a se zohledněním dopadu na celkový chod organizace. Pro uvedené dokumenty je bezpečnostní politikou stanoveno periodické přezkoumání a povinnost aktualizovat bezpečnostní opatření.
  • Areál organizace je střežen kamerovým systémem a technologií EZS, kde je zajištěn i v mimopracovní dobu bezpečnostní dohled agenturou.
  • Mobilní aktiva jsou vhodným způsobem opatřena pečetí zajišťující identifikaci manipulace s aktivem.
  • Technická aktiva, u kterých je bezpečnost zajišťována primárně prostřednictvím fyzické bezpečnosti, mají garantovaného správce, který je za ně odpovědný, a vhodným způsobem dochází k evidování osob, které
    k aktivům přistupují.