Skip to main content

5.15 Kontrola dostępu

Cel

Zapewnienie, że dostęp do informacji i innych powiązanych zasobów jest kontrolowany, autoryzowany i zgodny z wymaganiami biznesowymi oraz bezpieczeństwa informacji.

Wymagania

Organizacja powinna:

  • Stworzyć i wdrożyć politykę kontroli dostępu, obejmującą zarówno dostęp fizyczny, jak i logiczny.
  • Określić i egzekwować zasady dostępu zgodne z zasadą najmniejszych uprawnień (PoLP) oraz zasadą „need-to-know” dla ochrony krytycznych informacji.
  • Wdrożyć mechanizmy uwierzytelniania i autoryzacji użytkowników, w tym metody uwierzytelniania wieloskładnikowego (MFA) dla systemów o podwyższonym ryzyku.
  • Stosować segregację obowiązków (SoD) w celu uniknięcia konfliktów interesów i ryzyka nadużyć.
  • Przypisać właścicieli informacji odpowiedzialnych za określanie poziomu dostępu do danych.
  • Uwzględnić wymagania regulacyjne i kontraktowe dotyczące ograniczenia dostępu do danych i usług.

Wdrożenie

  • Organizacja powinna wdrożyć systemy zarządzania tożsamością i dostępem (IAM) do centralnego zarządzania kontami i uprawnieniami użytkowników.
  • Kontrola dostępu powinna obejmować różne modele, w tym:
    • Role-Based Access Control (RBAC) – kontrola dostępu oparta na rolach,
    • Attribute-Based Access Control (ABAC) – kontrola dostępu oparta na atrybutach,
    • Discretionary Access Control (DAC) – uznaniowa kontrola dostępu,
    • Mandatory Access Control (MAC) – obowiązkowa kontrola dostępu.
  • Należy stosować polityki sesji użytkowników, takie jak:
    • automatyczne wylogowywanie po okresie bezczynności,
    • ograniczenie liczby nieudanych prób logowania,
    • monitorowanie i rejestrowanie aktywności użytkowników.
  • Procesy zarządzania dostępem powinny obejmować:
    • formalne zatwierdzanie dostępu przez uprawnione osoby,
    • regularne przeglądy uprawnień,
    • zarządzanie kontami uprzywilejowanymi (PAM).
  • Powinny być wdrożone mechanizmy ochrony infrastruktury, takie jak:
    • zabezpieczenie dostępu do sieci i usług sieciowych,
    • segmentacja sieciowa i ograniczenie dostępu do zasobów krytycznych,
    • kontrola dostępu do aplikacji i baz danych zgodnie z klasyfikacją informacji.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać politykę kontroli dostępu i aktualizować ją w odpowiedzi na zmieniające się zagrożenia i potrzeby organizacyjne.
  • Powinny być prowadzone audyty bezpieczeństwa w celu identyfikacji potencjalnych luk w kontroli dostępu.
  • Monitorowanie logów i analiza incydentów bezpieczeństwa powinny być wykorzystywane do identyfikowania i eliminowania nieautoryzowanych prób dostępu.
  • Zasady kontroli dostępu powinny być powiązane z polityką klasyfikacji informacji oraz zarządzania ryzykiem organizacyjnym.

Efektywna kontrola dostępu minimalizuje ryzyko nieautoryzowanego dostępu, naruszenia poufności i integralności informacji oraz zapewnia zgodność z regulacjami dotyczącymi bezpieczeństwa informacji.