Co je řízení přístupu

Co znamená řízení přístupu (access control)

Řízení přístupu znamená mít pod kontrolou, kdo má v organizaci přístup k jakým firemním prostorám, zdrojům, informacím, systémům, sítím nebo datům. Znamená to povolení nebo omezení přístupu někam. Pro firmy a organizace, je z pohledu fyzické a informační bezpečnosti kontrola přístupu nutností. 

Řízení přístupu pomáhá zajistit, aby pouze oprávněné osoby měly příslušná oprávnění pro přístup ke konkrétním informacím, prostorám nebo provádění určitých úkolů. Řízení přístupu znamená

• Správné určení oprávněných osob nebo rolí v organizaci
• Správné přidělení, změny a odebírání oprávnění
• Zajištění technických prostředků pro udělení nebo odepření přístupu

Jakými způsoby lze přístup řídit

• technickými prostředky jako jsou klíče, karty, fyzická kontrola, hesla, loginy a podobně
• právní prostředky, jako jsou smlouvy, NDA,  vynucení pomocí politiky nebo směrnice
  

Co znamená mít pod kontrolou řízení přístupu

1. Musíte správně určit oprávněné osoby

• základem pro řízení přístupu je správné určení, komu přístupy udělit a komu je odepřít
• znamená to zajistit že lidem ve firmě vydáváte a odebíráte přístupy  na základě jejich pracovního zařazení, ze kterého oprávnění vyplývá
• to samé platí i pro externisty nebo třetí strany
• typicky se vychází z pracovního zařazení a role jednotlivých lidí
• z pracovního zařazení plynou povinnosti a následně také oprávnění přístupu někam

2. Musíte mít technické prostředky pro udělení nebo odepření přístupu

• zechnické prostředky zajišťují nějakou fyzickou nebo digitální překážku nebo ochranu
• znamená to klíče, vstupní karty
• v digitálním světě je to využití nějaké digitální identity pro ověření uživatelů, jako je například login

3. Podpořit právními prostředky

• právní prostředky mohou doplnit nebo nahradit technické prostředky
• jedná se o například o NDA, smlouvy, dodatky, sankce

4. Správně nastavené procesy přidělování, změn a odebírání oprávnění

• Odebíráte oprávnění, jakmile je práce provedena. 

5. Musíte mít vše správně popsané ve

• Směrnice pro řízení přístupu
• Směrnice pro vydávání hesel
• Směrnice pro vydávání klíčů

Co znamená neoprávněný přístup

Neoprávněný přístup znamená porušení důvěrnosti. Vznikne v důsledku špatně řízeného přístupu, tedy

• přidělení oprávnění špatné osobě, nebo
• neodebrání přístupu při změně pracovní pozice nebo při odchodu zaměstnance
• nějakém násilném činu - útoku, krádeži, vloupání a podobně
  

Základní principy řízení přístupu

• řídit fyzický přístup do prostor a počítačové sítě
  
• omezit přístup neoprávněným uživatelům
• omezit přístup k datům nebo službám prostřednictvím ovládacích prvků aplikace
• omezit, co lze zkopírovat ze systému a uložit na úložná zařízení
• omezit odesílání a přijímání určitých typů e-mailových příloh
• Zajistěte, aby jednotlivci měli přístup pouze k datům a službám, ke kterým mají oprávnění.

Jaké běžné procesy jsou pro řízení přístupů důležité

V praxi řízení přístupů v organizacích selhává zejména při přidělování, změnách (neudělají se právně) nebo odebírání oprávnění (neodebere se oprávnění). Jde hlavně o procesy nástupu a odchodu zaměstnance 

• Přidělování oprávnění je součástí nástupu zaměstnance
• Odebírání oprávnění je součástí offboardingu