Målet med prinsippet: Virksomheten har oversikt over hvilke brukergrupper, brukere og tilgangsbehov som finnes i virksomheten og har kartlagt ansvar for IKT-sikkerhet.
Hvorfor er dette viktig?
Når en angriper får tilgang til et informasjonssystem er ofte det første målet å øke tilgangen. Dette gjøres gjerne ved å ta over ulike kontoer og forsøke å eskalere rettigheter. Mange brukere kan ha tilgang til systemer og tjenester de ikke har behov for, og med mer rettigheter enn de trenger for å gjøre jobben sin. Hvis alle brukere har tilgang til for mye vil kompromittering av én bruker kunne kompromittere hele IKT-systemet. Tilgangen til de ulike delene av et informasjonssystem bør derfor deles opp for å redusere skaden fra en kompromittering eller utro ansatte. En virksomhet må derfor ha kontroll på de ulike brukerne, kontoene de disponerer og hvilke rettigheter en gitt konto har.
Tilhørende tiltak
*Disse tiltakene leses sammen med prinsipp 2.6 - Ha kontroll på identiteter og tilganger.
Utdypende informasjon
Bevisste og ubevisste sikkerhetsbrudd
Utilsiktet tilgang til informasjon eller tjenester kan fås både gjennom bevisste og ubevisste handlinger. Dette kan blant annet påføre virksomheten økonomiske tap.
En bevisst handling kan være en ansatt (omtales ofte som en «insider») som utnytter sine rettigheter for egen eller andres vinning, for eksempel ved å lese dokumenter vedkommende vanligvis ikke har tilgang til. En bevisst handling kan også utføres av en ekstern angriper som eksempelvis klarer å ta over kontoen til en bruker.
En ubevisst handling kan skyldes at en ansatt ved et uhell eller ved uforstand eksempelvis endrer på sikkerhetsinnstillinger, sletter informasjon eller åpner en epost med skadevare.