Skip to main content

5.16 Zarządzanie tożsamością

Cel

Zapewnienie skutecznego zarządzania tożsamością użytkowników oraz innych podmiotów (np. urządzeń, aplikacji) w celu kontrolowania dostępu do zasobów informacyjnych organizacji i minimalizowania ryzyka nieautoryzowanego dostępu.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć politykę zarządzania tożsamością obejmującą użytkowników, systemy, aplikacje i inne podmioty posiadające dostęp do zasobów organizacji.
  • Ustanowić centralny proces zarządzania cyklem życia tożsamości użytkowników, obejmujący:
    • rejestrację i zatwierdzanie nowych kont użytkowników,
    • modyfikację uprawnień w przypadku zmiany roli użytkownika,
    • dezaktywację i usunięcie kont po zakończeniu współpracy.
  • Wdrożyć mechanizmy uwierzytelniania i autoryzacji, uwzględniające poziom ryzyka oraz klasyfikację informacji.
  • Zapewnić, że wszystkie konta użytkowników są zarządzane zgodnie z zasadą najmniejszych uprawnień (PoLP).

Wdrożenie

  • Organizacja powinna wdrożyć system zarządzania tożsamością i dostępem (IAM) w celu:
    • centralnego zarządzania użytkownikami i ich rolami,
    • automatyzacji procesów nadawania i odbierania uprawnień,
    • integracji z mechanizmami uwierzytelniania wieloskładnikowego (MFA),
    • stosowania polityk kontroli sesji użytkowników, np. wymuszania wylogowania po określonym czasie bezczynności.
  • Należy wdrożyć proces weryfikacji tożsamości użytkowników przed przyznaniem im dostępu do systemów i aplikacji.
  • Organizacja powinna monitorować aktywność kont użytkowników i wykrywać nieautoryzowane próby dostępu.
  • Powinny być wdrożone mechanizmy identyfikacji i uwierzytelniania także dla urządzeń i aplikacji korzystających z systemów organizacji.

Przegląd i aktualizacja

  • Proces zarządzania tożsamością powinien być regularnie przeglądany i dostosowywany do zmian organizacyjnych i technologicznych.
  • Organizacja powinna przeprowadzać audyty kont użytkowników oraz analizować uprawnienia w celu wykrycia kont nieaktywnych lub nadmiernych przywilejów.
  • W przypadku wykrycia naruszeń w systemie zarządzania tożsamością powinny być wdrażane środki korygujące.

Efektywne zarządzanie tożsamością minimalizuje ryzyko nadużyć, zapewnia kontrolę nad dostępem do systemów oraz wspiera zgodność organizacji z regulacjami dotyczącymi bezpieczeństwa informacji.