Skip to main content

5.18 Prawa dostępu

Cel

Zapewnienie, że dostęp do informacji i innych powiązanych zasobów organizacji jest przyznawany, monitorowany, modyfikowany i usuwany w sposób zgodny z polityką bezpieczeństwa informacji oraz wymaganiami biznesowymi.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć formalne procesy zarządzania prawami dostępu obejmujące:
    • nadawanie, modyfikowanie i odbieranie uprawnień,
    • autoryzację dostępu przez właścicieli informacji i systemów,
    • prowadzenie centralnego rejestru przyznanych dostępów,
    • usuwanie dostępu użytkownikom, którzy nie potrzebują już dostępu do zasobów organizacji.
  • Zapewnić zgodność dostępu z:
    • polityką kontroli dostępu organizacji (5.15),
    • zasadą najmniejszych uprawnień (PoLP),
    • segregacją obowiązków (5.3),
    • wymaganiami prawnymi i regulacyjnymi.
  • Stosować ograniczone czasowo uprawnienia dla dostępów tymczasowych, z automatycznym cofnięciem po upływie okresu ważności.
  • Egzekwować zasady przyznawania, odbierania i monitorowania dostępu dla kont uprzywilejowanych (PAM).

Wdrożenie

  • Organizacja powinna wdrożyć centralne zarządzanie dostępem poprzez system IAM (Identity and Access Management), które obejmuje:
    • mechanizmy zatwierdzania i audytu dostępu,
    • zarządzanie zmianami ról i uprawnień użytkowników,
    • monitorowanie aktywności dostępowej i reagowanie na anomalie.
  • Powinny być stosowane modele kontroli dostępu, takie jak:
    • Role-Based Access Control (RBAC) – kontrola dostępu na podstawie ról,
    • Attribute-Based Access Control (ABAC) – kontrola dostępu na podstawie atrybutów,
    • Discretionary Access Control (DAC) – uznaniowa kontrola dostępu,
    • Mandatory Access Control (MAC) – obowiązkowa kontrola dostępu.
  • Przeglądy dostępu powinny obejmować:
    • okresowe audyty uprawnień użytkowników,
    • sprawdzanie dostępów po zmianie stanowiska lub zakończeniu zatrudnienia,
    • przegląd uprawnień uprzywilejowanych.
  • Powinna być stosowana automatyczna dezaktywacja dostępu przy zmianie statusu użytkownika w organizacji.
  • Organizacja powinna stosować mechanizmy minimalizacji ryzyka nadużyć związanych z nadmiernymi uprawnieniami.

Przegląd i aktualizacja

  • Regularnie przeglądać i aktualizować politykę zarządzania prawami dostępu w odpowiedzi na zmiany organizacyjne i technologiczne.
  • Weryfikować zgodność dostępu z wymaganiami regulacyjnymi i kontraktowymi.
  • Monitorować i analizować logi systemowe w celu identyfikacji nieautoryzowanych prób dostępu.
  • Wprowadzać sankcje za nieautoryzowany dostęp, w tym odpowiednie zapisy w umowach pracowniczych i kontraktach.

Efektywne zarządzanie prawami dostępu minimalizuje ryzyko nieautoryzowanego dostępu, redukuje możliwość naruszenia integralności informacji oraz wspiera zgodność z regulacjami dotyczącymi bezpieczeństwa informacji.