Co znamená řízení přístupu (access control)
Řízení přístupu znamená mít pod kontrolou, kdo má v organizaci přístup k jakým firemním prostorám, zdrojům, informacím, systémům, sítím nebo datům. Znamená to povolení nebo omezení přístupu někam. Pro firmy a organizace, je z pohledu fyzické a informační bezpečnosti kontrola přístupu nutností.
Řízení přístupu pomáhá zajistit, aby pouze oprávněné osoby měly příslušná oprávnění pro přístup ke konkrétním informacím, prostorám nebo provádění určitých úkolů. Řízení přístupu znamená
- Správné určení oprávněných osob nebo rolí v organizaci
- Správné přidělení, změny a odebírání oprávnění
- Zajištění technických prostředků pro udělení nebo odepření přístupu
Jakými způsoby lze přístup řídit
- technickými prostředky jako jsou klíče, karty, fyzická kontrola, hesla, loginy a podobně
- právní prostředky, jako jsou smlouvy, NDA, vynucení pomocí politiky nebo směrnice
Co znamená mít pod kontrolou řízení přístupu
1. Musíte správně určit oprávněné osoby
- základem pro řízení přístupu je správné určení, komu přístupy udělit a komu je odepřít
- znamená to zajistit že lidem ve firmě vydáváte a odebíráte přístupy na základě jejich pracovního zařazení, ze kterého oprávnění vyplývá
- to samé platí i pro externisty nebo třetí strany
- typicky se vychází z pracovního zařazení a role jednotlivých lidí
- z pracovního zařazení plynou povinnosti a následně také oprávnění přístupu někam
2. Musíte mít technické prostředky pro udělení nebo odepření přístupu
- zechnické prostředky zajišťují nějakou fyzickou nebo digitální překážku nebo ochranu
- znamená to klíče, vstupní karty
- v digitálním světě je to využití nějaké digitální identity pro ověření uživatelů, jako je například login
3. Podpořit právními prostředky
- právní prostředky mohou doplnit nebo nahradit technické prostředky
- jedná se o například o NDA, smlouvy, dodatky, sankce
4. Správně nastavené procesy přidělování, změn a odebírání oprávnění
- Odebíráte oprávnění, jakmile je práce provedena.
5. Musíte mít vše správně popsané ve
- Směrnice pro řízení přístupu
- Směrnice pro vydávání hesel
- Směrnice pro vydávání klíčů
Co znamená neoprávněný přístup
Neoprávněný přístup znamená porušení důvěrnosti. Vznikne v důsledku špatně řízeného přístupu, tedy
- přidělení oprávnění špatné osobě, nebo
- neodebrání přístupu při změně pracovní pozice nebo při odchodu zaměstnance
- nějakém násilném činu - útoku, krádeži, vloupání a podobně
Základní principy řízení přístupu
- řídit fyzický přístup do prostor a počítačové sítě
- omezit přístup neoprávněným uživatelům
- omezit přístup k datům nebo službám prostřednictvím ovládacích prvků aplikace
- omezit, co lze zkopírovat ze systému a uložit na úložná zařízení
- omezit odesílání a přijímání určitých typů e-mailových příloh
- Zajistěte, aby jednotlivci měli přístup pouze k datům a službám, ke kterým mají oprávnění.
Jaké běžné procesy jsou pro řízení přístupů důležité
V praxi řízení přístupů v organizacích selhává zejména při přidělování, změnách (neudělají se právně) nebo odebírání oprávnění (neodebere se oprávnění). Jde hlavně o procesy nástupu a odchodu zaměstnance
- Přidělování oprávnění je součástí nástupu zaměstnance
- Odebírání oprávnění je součástí offboardingu