Create guidelines for access control. a) The guidelines should cover as many of the organisation ’s resources as possible: users, clients, shared folders, server applications, servers, network devices, security devices and databases. b) The guidelines should follow the principle of least privilege: do not give end users, service accounts, developers or system managers any more privileges than necessary. Not everyone needs access to everything. And if someone does need access, it is often sufficient to give them read privileges. Not everyone needs to be able to write, delete and execute everything. c) It should be possible to trace every account to the responsible user (including non-personalised accounts without personal names). d) All accounts, access rights and privileges should be traced to a responsible role and the individual who approved it. e) Accounts, access rights and privileges should be revised regularly. This is especially critical for accounts, access rights and privileges for system management and special users. f) Reuse identities whenever one can across systems, sub-systems and applications (ideally with single sign-on). g) Remind users that it is their responsibility to keep passwords personal and secret and to never share them with anyone, including close colleagues or superiors. Users should also screen-lock their clients when leaving them.
Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:
Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.
Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.
Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.
Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.
Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.
Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.
Määrittelyn tueksi pitää harkita seuraavia asioita:
Yksi tapa hallita jaettuihin käyttäjätunnuksiin liittyviä riskejä on jaetun salasanan ja sen käyttäjien hallinnoiminen suoraan salasanojen hallintajärjestelmän kautta.
Tällöin voidaan toimia niin, että esimerkiksi ainoastaan yksittäinen henkilö tietää varsinaisesti salasanan ja sitä käyttävät henkilöt.
Organisaation järjestelmien käyttöoikeudet myönnetään ja hallitaan pienimmän oikeuden periaatteen mukaan. Käyttäjälle ei myönnetä enempää käyttöoikeuksia, kun on tarpeen.
Käyttöoikeuksia tarkistetaan ja myös tarpeen tullaan vähennetään, jos käyttäjällä on oikeuksia joita hän tarvitsi tehtävien suorittamiseen, mutta hän ei tarvitse niitä enään.
Organisaation on käytettävä yksilöllisiä käyttäjätunnuksia, jotta käyttäjät voidaan yhdistää toimintaansa ja vastuu niistä kohdistaa heihin.
Jaettuja käyttäjätunnuksia ei sallita eikä käyttäjille anneta pääsyä tietojärjestelmiin ennen yksilöllisen käyttäjätunnuksen antamista.
Käytä identiteettejä uudelleen aina kun se on mahdollista eri järjestelmissä, alijärjestelmissä ja sovelluksissa. Ihannetapauksessa tämä tapahtuisi kertakirjautumisen avulla.
Organisaation olisi muistutettava työntekijöitä siitä, että heidän vastuullaan on pitää salasanat ja salaisuudet turvassa. Heidän ei pitäisi koskaan jakaa niitä kenenkään kanssa, mukaan lukien kollegat ja esimiehet.
Heidän tulisi myös aina lukita laitteensa, kun he poistuvat niiden ääreltä.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
