Objective: Access to information and IT systems is provided via validated user accounts assigned to a person. It is important to protect login information and to ensure the traceability of transactions and accesses.
Requirements (must): The creating, changing, and deleting of user accounts is conducted.
Unique and personalized user accounts are used.
The use of “collective accounts” is regulated (e.g. restricted to cases where traceability of actions is dispensable).
User accounts are disabled immediately after the user has resigned from or left the organization (e.g. upon termination of the employment contract).
User accounts are regularly reviewed.
The login information is provided to the user in a secure manner.
A policy for the handling of login information is defined and implemented. The following aspects are considered:
- No disclosure of login information to third parties
- not even to persons of authority
- under observation of legal parameters
- No writing down or unencrypted storing of login information
- Immediate changing of login information whenever potential compromising is suspected
- No use of identical login information for business and non-business purposes
- Changing of temporary or initial login information following the 1st login
- Requirements for the quality of authentication information (e.g. length of password, types of characters to be used).
The login information (e.g. passwords) of a personalized user account must be known to the assigned user only.
Requirements (should): A basic user account with minimum access rights and functionalities is existent and used.
Default accounts and passwords pre-configured by manufacturers are disabled (e.g. by blocking or changing of password).
User accounts are created or authorized by the responsible body.
Creating user accounts is subject to an approval process (four-eyes principle).
User accounts of service providers are disabled upon completion of their task.
Deadlines for disabling and deleting user accounts are defined.
The use of default passwords is technically prevented.
Where strong authentication is applied, the use of the medium (e.g. ownership factor) is secure.
User accounts are reviewed at regular intervals. This also includes user accounts in customers' IT systems.
Interactive login for service accounts (technical accounts) is technically prevented.
Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.
Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.
Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:
Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.
Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.
Organisaatio todentaa käyttäjien identiteetin ja yhdistää ne käyttäjätietoihin. Nämä tulisi myös vahvistaa aina ennen kanssakäymistä.
Identiteetin todentaminen täytyy suorittaa ennalta kirjoitettujen ja hyväksyttyjen sääntöjen mukaisesti.
Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.
Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
