INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI NADAWANIE UPRAWNIEŃ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI NADAWANIE UPRAWNIEŃ
INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI NADAWANIE UPRAWNIEŃ

Niezależnie od wielkości banku spółdzielczego dużym problemem jest wypełnienie obowiązku nadzoru nad uprzywilejowanym dostępem. Brakuje precyzyjnie opisanych zasad nadzoru dotyczących:

  • nadawania uprawnień
  • cofania uprawnień
  • zawieszania uprawnień
  • rozliczania uprawnień do dostępów uprzywilejowanych
  • monitorowania uprawnień uprzywilejowanych
  • audytu działań osób posiadających dostęp uprzywilejowany
  • audytu prób nieautoryzowanego łamania dostępów
  • rozliczania z przydzielonych dostępów uprzywilejowanych
  • opracowania procedur zgodnie z zaleceniami nadzoru.

Niewłaściwe wykorzystanie czy niewłaściwa ochrona uprzywilejowanego dostępu może skutkować:
utratą dostępu,
kradzieżą danych wrażliwych,
fałszowaniem danych,
przejęciem dostępów administracyjnych do infrastruktury IT

utratą wizerunku
UŻYTKOWNICY DOSTĘPÓW UPRZYWILEJOWANYCH MUSZĄ ZACHOWAĆ SZCZEGÓLNĄ STARANNOŚĆ W ZAKRESIE POUFNOŚCI DANYCH DOSTĘPOWYCH

Jednym ze sposobów monitorowania i nadzorowania jest zaimplementowanie do infrastruktury banku technologii DLP DATA LOSS PREVENTION.
https://premiumbank.zadbajobezpieczenstwo.pl/dlp-ochrona-danych-przed-kradzieza-lub-wyciekiem-servus-comp/

DLP - OCHRONA DANYCH PRZED KRADZIEŻĄ LUB WYCIEKIEM Servus Comp
DLP – OCHRONA DANYCH PRZED KRADZIEŻĄ LUB WYCIEKIEM Servus Comp

Dostępy uprzywilejowane są powiązane z funkcjami nadzorczymi:

  • nadzór administracyjny nad systemami informatycznymi
  • nadzór administracyjny nad bazami danych
  • administrowanie sprzętem informatycznym
  • nadzór administracyjny nad strefami dostępu

Dostęp uprzywilejowany musi mieć swojego świadomego właściciela. Właściciele tych kont muszą zachować szczególną staranność, aby nie utracić nadanych dostępów. Infrastruktura rozproszona dotycząca oddziałów, filii, punktów kasowych nie ułatwia zadania. Im większa rozproszona infrastruktura, tym większe obowiązki spoczywają nad właścicielami dostępów w zakresie zachowania ich bezpieczeństwa, kontroli i rozliczalności przydzielonych uprawnień.

UWAGA: UKNF zaleca w bankach spółdzielczych wprowadzenie pełnego monitorowania polityk uprzywilejowanego dostępu monitorowania.

Zasady:

  1. Nadawanie użytkownikom uprawnień w systemach informatycznych odbywa się według zasady niezbędnych potrzeb do wykonywania zadań na powierzonym stanowisku.
  2. Bank ogranicza użytkownikom dostęp do funkcji pozwalających na samodzielne zwiększenie własnych uprawnień. W sytuacjach, gdy powyższa zasada nie może być przestrzegana (np. w przypadku administratorów systemów informatycznych) zapewnia się monitorowanie działań tych osób poprzez rejestrowanie ich działań przez system.
  3. Decyzję w sprawie nadania użytkownikom dostępu uprzywilejowanego podejmuje Zarząd na podstawie wniosku ASI.
  4. W przypadku nadawania uprawnień administracyjnych, należy wprowadzić pracownika do „Ewidencji użytkowników uprzywilejowanych”.
  5. Za prowadzenie i aktualizację „Ewidencji użytkowników uprzywilejowanych” odpowiada ASI.
  6. Działania użytkowników uprzywilejowanych są poddawane kontroli przez Inspektora Danych Osobowych.

Wzór Ewidencji Użytkowników Uprzywilejowanych mogą Państwo uzyskać kontaktując się bezpośrednio z naszymi ekspertami. Każdy bank wymaga zastosowania innej techniki wdrożenia takiej procedury i jest to związane z jego polityką wewnętrznego zarządzania.

Jednym ze sposobów nadzoru nad nieautoryzowanym dostępem do baz danych jest wdrożenie w infrastrukturze informatycznej banku protokołu 802.1x:

https://premiumbank.zadbajobezpieczenstwo.pl/protokol-802-1x-jednolita-struktura-systemow-uwierzytelniania/

PROTOKÓŁ 802.1x URZĄDZENIA SIECIOWE FORTINET

WDROŻENIE PROTOKOŁU BEZPIECZEŃSTWA 802.1x

Protokół 802.1x – zalety bezpiecznego uwierzytelniania urządzeń

PROTOKÓŁ 802.1x JEDNOLITA STRUKTURA SYSTEMÓW UWIERZYTELNIANIA Servus Comp
PROTOKÓŁ 802.1x JEDNOLITA STRUKTURA SYSTEMÓW UWIERZYTELNIANIA
WDROŻENIE PROTOKOŁU 802.1x
WDROŻENIE PROTOKOŁU 802.1x Servus Comp
PROTOKÓŁ 802.1x URZĄDZENIA SIECIOWE FORTIGATE
PROTOKÓŁ 802.1x URZĄDZENIA SIECIOWE FORTIGATE

W razie pytań i wątpliwości zapraszamy Państwa do kontaktu.
Zachęcamy do zapoznania się z wcześniejszymi wpisami na naszym blogu:
https://premiumbank.zadbajobezpieczenstwo.pl/blog/

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz