-
a) Prosessen bør omhandle
- i) kontoer til brukere, enheter og systemprosesser,
- ii) tilganger til systemer og applikasjoner,
- iii) samt rettigheter mht. operativsystemer (f.eks. admin-rettigheter) og virksomhetens felles brukerdatabase.
-
b) Prosessen bør omfatte hele livssyklusen og omfatte opprettelse, vedlikehold og deaktivering. Deaktiver fremfor å slette kontoer og tilganger slik at revisjons spor bevares, i henhold til gjeldende lover og regelverk.
-
c) Retningslinjer for tilgangskontroll (2.6.1) og prosess for administrasjon av kontoer, tilganger og rettigheter (2.6.2.a) bør dokumenteres og være kjent i virksomheten.
Implementering
a) Prosessen bør omhandle - i) kontoer til brukere, enheter og systemprosesser, - ii) tilganger til systemer og applikasjoner, - iii) samt rettigheter mht. operativsystemer (f.eks. admin-rettigheter) og virksomhetens felles brukerdatabase.
1. Definer ansvar og roller
Før det skal lages en prosess kan det være greit å definere hvilket personell har hvilke roller og ansvar i denne prosessen.
Her kan det være en Sikkerhets ansvarlig som har det overordnede ansvaret for prosessen, en IT-Administrator som som håndterer den daglige administrasjonen og som følger opp bruker kontoer og tilganger.
Det kan også være greit å ha en “Revisor” som gjennomgår at sikkerhets kravene blir opprettholdt, at prosedyren blir fulgt og ser på revidering om det skulle være nødvendig.
2. Opprett prosedyrer for opprettelse av kontoer
Brukerkontoer Skal opprettes etter formell godkjenning fra en ansvarlig leder. Brukere må signere en avtale som beskriver deres ansvar og bruk av IT-ressurser.
Systemkontoer Disse kontoene bør opprettes og vedlikeholdes av IT-administratorer, med strenge retningslinjer for bruk og sikkerhet.
3. Definer tilgangskontroller
Tilgang skal baseres på minste privilegiums prinsipp se 2.6.1 b, hvor brukere får tilgang kun til de ressurser som er nødvendige for å utføre sine jobboppgaver.
Tilgangsrettigheter bør regelmessig gjennomgås og justeres etter endringer i brukerens jobbfunksjoner eller ved avslutning av ansettelse.
4. Administrasjon av rettigheter
Rettigheter som administratorrettigheter skal begrenses til de som absolutt trenger det for å utføre spesifikke oppgaver.
En sentralisert brukerdatabase skal brukes for å administrere og synkronisere rettigheter på tvers av forskjellige systemer og plattformer.
b) Prosessen bør omfatte hele livssyklusen og omfatte opprettelse, vedlikehold og deaktivering. Deaktiver fremfor å slette kontoer og tilganger slik at revisjons spor bevares, i henhold til gjeldende lover og regelverk.
c) Retningslinjer for tilgangskontroll (2.6.1) og prosess for administrasjon av kontoer, tilganger og rettigheter (2.6.2.a) bør dokumenteres og være kjent i virksomheten.