Skip to main content

8.2 Uprzywilejowane prawa dostępu

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność
Koncepcje cyberbezpieczeństwa: Ochrona, Zarządzanie tożsamością i dostępem
Obszary operacyjne: Kontrola

Kontrola

Przydzielanie i użycie uprzywilejowanych praw dostępu powinno być ograniczone i zarządzane.

Cel

Zapewnienie, że tylko autoryzowani użytkownicy, komponenty oprogramowania i usługi mają przyznane uprzywilejowane prawa dostępu.

Wytyczne

Przydzielanie uprzywilejowanych praw dostępu powinno być kontrolowane poprzez proces autoryzacji zgodnie z odpowiednią polityką kontroli dostępu (zob. 5.15). Należy uwzględnić:

  • a) identyfikację użytkowników wymagających uprzywilejowanego dostępu dla każdego systemu lub procesu (np. systemy operacyjne, systemy zarządzania bazami danych, aplikacje);
  • b) przydzielanie uprzywilejowanych praw dostępu użytkownikom jedynie w razie potrzeby i na zasadzie incydentalnej, zgodnie z polityką kontroli dostępu (zob. 5.15), wyłącznie osobom posiadającym odpowiednie kompetencje do wykonywania działań wymagających takich uprawnień i zgodnie z zasadą minimalnych uprawnień;
  • c) utrzymywanie procesu autoryzacji (tj. określenie, kto może zatwierdzić uprzywilejowane prawa dostępu oraz brak nadawania uprawnień do momentu zakończenia procesu autoryzacji) oraz prowadzenie rejestru wszystkich przyznanych uprawnień;
  • d) definiowanie i wdrażanie wymagań dotyczących wygaśnięcia uprzywilejowanych praw dostępu;
  • e) stosowanie środków zapewniających, że użytkownicy są świadomi posiadania uprzywilejowanych praw dostępu oraz że pracują w trybie uprzywilejowanym, np. poprzez stosowanie specjalnych identyfikatorów użytkownika, ustawień interfejsu użytkownika lub dedykowanego sprzętu;
  • f) stosowanie wyższych wymagań uwierzytelniania dla uprzywilejowanych praw dostępu niż dla zwykłych użytkowników, np. wymóg ponownego uwierzytelnienia lub dodatkowego etapu uwierzytelnienia przed wykonaniem działań z uprawnieniami administratora;
  • g) regularny przegląd oraz ponowną weryfikację użytkowników posiadających uprzywilejowane prawa dostępu, szczególnie po zmianach organizacyjnych, aby upewnić się, że ich obowiązki, role i kompetencje nadal kwalifikują ich do korzystania z tych uprawnień (zob. 5.18);
  • h) ustanowienie zasad unikania używania ogólnych identyfikatorów administracyjnych (np. „root”), w zależności od możliwości konfiguracji systemów, oraz zarządzanie i ochrona informacji uwierzytelniających dla takich kont (zob. 5.17);
  • i) przyznawanie tymczasowego uprzywilejowanego dostępu wyłącznie na czas niezbędny do wykonania zatwierdzonych zmian lub działań (np. konserwacja, krytyczne zmiany), zamiast przyznawania stałego dostępu. Takie podejście jest znane jako „procedura awaryjna” (break glass) i często jest automatyzowane za pomocą technologii zarządzania dostępem uprzywilejowanym (PAM);
  • j) rejestrowanie wszystkich przypadków dostępu uprzywilejowanego do systemów w celach audytowych;
  • k) niedzielenie tożsamości użytkowników z uprzywilejowanymi prawami dostępu pomiędzy wieloma osobami, lecz przypisywanie każdemu użytkownikowi osobnego identyfikatora, który umożliwia nadawanie specyficznych uprzywilejowanych praw dostępu. Można grupować tożsamości (np. poprzez definiowanie grup administratorów) w celu uproszczenia zarządzania uprawnieniami;
  • l) wykorzystywanie tożsamości z uprawnieniami uprzywilejowanymi wyłącznie do wykonywania zadań administracyjnych, a nie do codziennych czynności, takich jak sprawdzanie poczty elektronicznej czy przeglądanie internetu (użytkownicy powinni mieć oddzielną tożsamość sieciową do tych działań).

Inne informacje

Uprzywilejowane prawa dostępu to uprawnienia przyznane tożsamości, roli lub procesowi, które umożliwiają wykonywanie działań, których zwykli użytkownicy lub procesy nie mogą realizować. Role administratorów systemów zazwyczaj wymagają uprzywilejowanych praw dostępu.

Niewłaściwe użycie uprawnień administratora (czyli jakiejkolwiek funkcji systemu informatycznego umożliwiającej użytkownikowi obejście mechanizmów kontroli aplikacji lub systemu) jest jednym z głównych czynników powodujących awarie systemów lub naruszenia bezpieczeństwa.

Więcej informacji na temat zarządzania dostępem oraz bezpiecznego zarządzania dostępem do informacji i zasobów technologii informacyjno-komunikacyjnych można znaleźć w normie ISO/IEC 29146.