-
a) Retningslinjene bør dekke flest mulig av ressursene i virksomheten: brukere, klienter, felles-mapper, server-applikasjoner, servere, nettverksenheter, sikkerhetsenheter og databaser.
-
b) Retningslinjene bør følge minste privilegiums prinsipp; ikke gi sluttbrukere, service-kontoer, utviklere eller driftsbrukere flere privilegier enn nødvendig. Alle trenger ikke tilgang til alt. Og hvis man trenger tilgang så holder det ofte med lese-rettigheter, alle trenger ikke rett til å skrive, slette og kjøre.
-
c) Alle kontoer bør kunne spores til en ansvarlig bruker (også upersonlige kontoer uten personnavn).
-
d) Alle kontoer, tilganger og rettigheter bør spores til en ansvarlig rolle og person som godkjente dette.
-
e) Kontoer, tilganger og rettigheter bør revideres jevnlig. Dette er spesielt kritisk mht. kontoer, tilganger og rettigheter for drift og spesialbrukere.
-
f) Gjenbruk identiteter mest mulig på tvers av systemer, delsystemer og applikasjoner (ideelt «Single sign on»).
-
h) Ansvarliggjør brukere mht. at passord er personlige og hemmelige og aldri skal deles med noen, selv ikke med nære kollegaer eller overordnede. Klienter bør i tillegg låses når de forlates av bruker.
Implementering
a) Retningslinjene bør dekke flest mulig av ressursene i virksomheten: brukere, klienter, felles-mapper, server-applikasjoner, servere, nettverksenheter, sikkerhetsenheter og databaser.
1. Identifiser Ressurser
Lag en detaljert liste over ressursene i virksomheten. Dette inkluderer inkludert brukerkontoer, klientenheter, fellesmapper, server-applikasjoner, servere, nettverks- og sikkerhetsenheter, samt databaser. Det er også mulig det er flere ressurser som er spesifikke for virksomheten som ikke er skrevet her.
Etter at en liste er blitt lagd, klassifiser de forskjellige ressursene basert på sensitivitet og viktighet. Dette hjelper å definere hvilke ressurser som trenger hvilket nivå med sikkerhet.
og for hver ressurs se hvilke tilgangsnivåer som er tilgjengelig. (Feks, read/write/Execute)
b) Retningslinjene bør følge minste privilegiums prinsipp; ikke gi sluttbrukere, service-kontoer, utviklere eller driftsbrukere flere privilegier enn nødvendig. Alle trenger ikke tilgang til alt. Og hvis man trenger tilgang så holder det ofte med lese-rettigheter, alle trenger ikke rett til å skrive, slette og kjøre.
1. Minste privilegiums prinsipp
Ved å implementere rollebasert tilgangskontroll (RBAC), sikrer vi at brukere kun får de privilegiene som er nødvendige for å utføre sine arbeidsoppgaver, noe som minimerer risikoen ved et eventuelt kompromiss av brukerkontoer. I RBAC-systemer tildeles tilganger basert på roller innen organisasjonen, ikke individuelt per bruker. Dette betyr at en brukers tilgangsnivå bestemmes av rollene de innehar, og ikke ved individuelle tillatelser. Dette systemet sikrer at ansatte har tilstrekkelig tilgang for å utføre sine oppgaver effektivt, uten å overskride nødvendig tilgangsnivå.
Sørg for at ved skapelsen av de forskjellige rollene at det ikke blir gitt unødvendige privilegier, og at det gjøres en revisjon av rollene i etter tid for å sikre at, de ikke har for mye, eller for lite tilganger.
c) Alle kontoer bør kunne spores til en ansvarlig bruker (også upersonlige kontoer uten personnavn).
1. Sporbarhet av kontoer
Sørg for at alle kontoer, inkludert servicekontoer, har unike identifikatorer som kan spores tilbake til en spesifikk person eller rolle. Dette er for å kunne spore/logge hva som er normal atferd for en konto, skulle det være at en konto begynner å gjøre store endringer kan dette tyde på at den er kompromittert. Det hjelper også se hvem som har gjort hva skulle det være en hendelse. Person x logget på og endret dette ved den og den tiden.
d) Alle kontoer, tilganger og rettigheter bør spores til en ansvarlig rolle og person som godkjente dette.
1. Ansvar for tilganger
Etablere klare linjer for hvem som kan godkjenne ulike typer tilganger og under hvilke forhold og implementer systemer som automatisk logger alle endringer i tilgangsrettigheter og hvem som godkjente dem.
e) Kontoer, tilganger og rettigheter bør revideres jevnlig. Dette er spesielt kritisk mht. kontoer, tilganger og rettigheter for drift og spesialbrukere.
f) Gjenbruk identiteter mest mulig på tvers av systemer, delsystemer og applikasjoner (ideelt «Single sign on»).
h) Ansvarliggjør brukere mht. at passord er personlige og hemmelige og aldri skal deles med noen, selv ikke med nære kollegaer eller overordnede. Klienter bør i tillegg låses når de forlates av bruker.
1 .Sikkerhet og ansvar for passord
Innfør policyer som krever komplekse passord og regelmessig endring av disse.
Gi regelmessig opplæring til ansatte om viktigheten av passordsikkerhet og risikoene ved deling av passord.
Konfigurer systemer til automatisk å låse skjermer etter inaktivitet og kreve passord for gjeninnlogging.