Політика керування доступом
П - 14
версія 3.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
02 вересня 2021 року
Переглянуто 15 липня 2022 року
Переглянуто 23 липня 2023 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Інформаційні активи - всі комп'ютерні системи, програмне забезпечення та інше периферійне обладнання, що використовується для обробки або зберігання даних, а також інформація, що обробляється цими системами
Інформаційні системи (ІС) - комп'ютерні системи, програмне забезпечення, телекомунікаційне та периферійне обладнання
2. Призначення та сфера застосування
Політика визначає вимоги та порядок управління логічним доступом працівників та третіх сторін до ІС Компанії.
Дія Політики поширюється на всі інформаційні активи, всіх співробітників та всі треті сторони, які мають доступ до інформаційних активів.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних документів:
• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;
• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».
4. Предмет
Доступ до ІС надається згідно з підтвердженою службовою необхідністю та в обсязі, достатньому для виконання службових обов'язків.
При наданні доступу до компонентів ІС у Компанії визначається фундаментальний адміністративний внутрішній контроль - розподіл повноважень. Відповідно до принципу розподілу повноважень, послідовні кроки критичних операцій чи процесів, і навіть повноваження, необхідні виконання цих кроків, мають ділитися між різними співробітниками і підрозділами.
Доступ до ІС надається на основі груп користувачів та ролей доступу, тобто певні права доступу та повноваження повинні надаватися групі користувачів компонентів ІС шляхом призначення групі певної ролі, за винятком тих випадків, коли відповідний функціонал неможливо реалізувати існуючими механізмами управління правами доступу або сторонніми засобами управління . При цьому повинно виключатись призначення окремим користувачам індивідуальних ролей доступу, або користувачам та групам користувачів – окремих прав доступу. Для цього слід групувати права доступу в ролі, створювати окремі групи користувачів для відповідних ролей доступу, та поміщати до цих груп облікові записи працівників, яким слід надати такий доступ.
Відповідно до класифікації компонентів ІС та службовими обов'язками, працівникам можуть надаватися різні рівні доступу до компонентів ІС.
Співробітникам, які не мають службової потреби проводити адміністративні завдання в ІС, надаються прості права доступу до відповідних компонентів ІС. Зазвичай привілейовані права доступу в компонентах ІС надаються адміністраторам ІС. Винятки можливі за умови існування обґрунтованої службової потреби.
5. Вимоги до управління правами доступу
Облікові записи
В ІС дозволяється створення тільки таких облікових записів, за назвами яких можна однозначно ідентифікувати їх власників.
Ім'я облікового запису користувача формується за допомогою латинського транслітерації його прізвища та імені.
Назви адміністративних облікових записів повинні однозначно ідентифікувати користувача, не надаючи при цьому інформації про призначення облікового запису та його привілейоване використання.
Системні адміністратори повинні використовувати різні облікові записи для виконання адміністраторських функцій та повсякденних завдань. Це необхідно для виключення надання привілейованих прав доступу до звичайних облікових записів, що може становити значну загрозу безпеці.
Кожен технологічний обліковий запис повинен мати призначеного власника.
Аутентифікація
Аутентифікація користувачів ІС може здійснюватися за допомогою:
• простий аутентифікації: пред'явлення користувачем логіну (назви облікового запису) та пароля;
• строгої аутентифікації: пред'явлення користувачем логіну та паролю, а також додаткового фактора аутентифікації (наприклад, сертифіката відкритого ключа).
Вибір механізму автентифікації залежить від таких факторів:
• рівня прав доступу користувача в компоненті ІС (простий або привілейований)
• характер доступу користувача до компонента ІС (доступ на місці або віддалений доступ).
В інших випадках механізм автентифікації слід вибирати виходячи з класифікації компонентів ІС та інформації, в ній обробляється. Вибір механізмів автентифікації здійснюється спільно адміністраторами ІС та Керівником СУІБ на етапі придбання або проектування ІС або перегляду СУІБ з боку Керівництва Компанії.
6. Процес управління правами доступу
Процес управління правами доступу складається з наступних етапів:
• оформлення заявки на отримання/деактивацію прав доступу;
• узгодження заявлених прав доступу;
• виконання заявки;
• періодичний аналіз прав доступу.
У разі звільнення співробітника, у всіх ІС права доступу мають бути деактивовані того ж дня та не пізніше 18:00.
7. Ролі та обов'язки
З метою належного виконання цієї Політики, на відповідальних співробітників покладено такі ролі та обов'язки:
- бізнес-власник ІС: виконує аналіз необхідності доступу користувачів до інформації;
- Керівник підрозділу та координатор взаємодії з третьою стороною: несе відповідальність за своєчасне оформлення заявок на надання, зміну та деактивацію прав доступу користувачів відповідно до їх службових обов'язків;
- Менеджер з персоналу: відповідає за своєчасне оформлення заявок на деактивацію прав доступу користувачів; повідомляє підрозділи про звільнення працівників, тривалу відсутність чи перехід на нову посаду;
- Адміністратор ІС: забезпечує ефективне управління доступами до ІС відповідно до вимог політики. Виконує зміни прав доступу до компонентів ІС; несе відповідальність за своєчасність реєстрації та виконання заявок;
- Співробітники та треті сторони, які мають доступ до ІС: відповідають за виконання вимог Політики.
8. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.