Dodatak J - Korisnički računi, prava pristupa

Svrha

Svrha dokumenta Pravilnik o korisničkim računima i pravima pristupa je osigurati kontrolu nad otvaranjem, izmjenom, zamrzavanjem i zatvaranjem korisničkih računa u informacijskom sustavu ZEMRIS, u cilju sprječavanja zastarjelih, redundantnih i korisničkih računa otvorenih na neispravan način. Drugi dio dokumenta odnosi se na dodjelu prava pristupa.

Pravo pristupa vrijednostima informacijskog sustava jedna je od najkritičnijih točaka sigurnosti. Zbog naizgled kompliciranog procesa dodjeljivanja prava pristupa, korisnicima se često dodjeljuju "uobičajena" prava, koja su najčešće puno veća od potrebnih. Što veća prava pristupa korisnik posjeduje, veće su mogućnosti da slučajnim ili namjernim radnjama ugrozi sigurnost informacijskog sustava. Iz tog razloga potrebno je ograničiti djelovanje korisnika na način da im se dopusti obavljanje samo onih radnji koje su nužne za obavljanje njihova poslova.

Evidencija zahtjeva

Pravovremeno zatvaranje korisničkog računa važna je karika u sigurnosti informacijskih sustava. Ukoliko "nevažeći" korisnički račun nije zatvoren, korisniku je otvoren put obavljanju zlonamjernih radnji. Kako bi proces otvaranja i zatvaranja korisničkih računa bio pravovremeno i kvalitetno obavljen, potrebno je definirati načine komunikacije između podnositelja zahtjeva i administratora sustava, te način evidencije zahtjeva za otvaranjem odnosno zatvaranjem računa.

Prijedlog komunikacije i evidencije zahtjeva:

  • komunikacija s osobom odgovornom za upravljanje korisničkim računima obavlja se unaprijed definiranim protokolom, npr. putem web aplikacije,
  • kako bi podnositelj zahtjeva pristupio aplikaciji, potrebno je obaviti provjeru autentičnosti i autorizaciju,
  • podnositelj zahtjeva na svom računalu otvara aplikaciju i zadaje zahtjev za otvaranjem/zatvaranjem korisničkog računa,
  • zahtjev se pohranjuje u bazu podataka,
  • administrator ima mogućnost pregleda zahtjeva prema kriteriju,
  • administrator je dužan redovito pregledavati zahtjeve,
  • zatvaranje zahtjeva ima prednost nad otvaranjem zahtjeva.

Protokol komunikacije između podnositelja zahtjeva i odgovorne osobe, te evidencije samih zahtjeva može biti realiziran i na neki drugi način odobren od strane voditelja sigurnosti.

Otvaranje korisničkog računa

Korisnički račun moguće je otvoriti:

  • zaposleniku zavoda,
  • studentu,
  • trećoj strani.

Procedura otvaranja korisničkog računa:

  • zaposlenicima:
      o tajnica putem aplikacije podnosi zahtjev za otvaranje korisničkog računa novom zaposleniku, o administrator sustava na temelju dobivenih podataka otvara korisnički račun.
  • studentima:
      o pri upisu studija studentima se automatski otvara korisnički račun.
  • trećoj strani:
      o za otvaranje korisničkog računa trećoj strani potrebna je suglasnost odgovorne osobe, o odgovorna osoba je glavna i odgovorna osoba u suradnji s trećom stranom, i kao takva ima prava davanja suglasnosti za otvaranje korisničkih računa, o kod otvaranja korisničkog računa za treću stranu potrebno je odrediti vremenski period koliko će račun biti aktivan.

Zamrzavanje korisničkog računa

U slučaju duljeg planiranog nekorištenja informacijskog sustava (npr. zbog edukacije u inozemstvu, bolesti, zamrzavanje godine i sl.) korisnički račun potrebno je zamrznuti. Zamrzavanjem korisničkog računa izbjegavaju se nepotrebni postupci zatvaranja i otvaranja računa, ali i sprječavaju sigurnosni incidenti koji mogu nastati korištenjem korisničkog računa od strane drugih osoba dok stvarni vlasnik nije prisutan. Zamrzavanje računa odvija se na način da podaci ostanu u bazi podataka o korisniku, ali se u posebno polje naznači da je račun zamrznut.

Zamrznutom korisničkom računu nije potrebno mijenjati lozinku u određenom vremenskom periodu kako je definirano politikom. Također se zaobilaze sve druge sigurnosne kontrole od strane sustava za koje je potrebna interakcija korisnika. Zamrznuti korisnički račun moguće je vratiti u uporabu (odmrznuti) na zahtjev korisnika i odgovorne osobe, s time da zahtjev mora biti dokumentiran i odobren kao i kod otvaranja novog zahtjeva.

Zatvaranje korisničkog računa

Zatvaranje korisničkog računa iznimno je osjetljiv postupak, a osjetljivost ovisi o organizaciji upravljanja korisničkim računima. Što je upravljanje računima nekvalitetnije izvedeno, to će zatvaranje korisničkih računa biti kompliciranije.

Na primjer, ako se korisnički računi otvaraju bez dokumentiranja i na osnovu trenutnih potreba, nakon npr. godine dana više se ne zna tko ima pravo pristupa nad kojim resursima. Tada je i zatvoriti korisnički račun puno teže. Ukoliko "zatvorenom" korisniku ostanu neka prava pristupa, put za počinjenje zlonamjernih djela mu je otvoren. Ovo je još jedan primjer zašto je kvalitetna organizacija korisničkih računa nužna.

Zatvaranje korisničkog računa odvija se kroz sljedeće faze:

  • pri prekidu radnog odnosa potrebno je predati zahtjev o zatvaranju korisničkog računa zaposlenika,
  • za studente je potrebno omogućiti automatsko zatvaranje korisničkog računa prilikom završetka studija,
  • trećim osobama korisnički se račun zatvara nakon definiranog vremenskog perioda prilikom otvaranja računa, ili ukoliko je potrebno prije na zahtjev odgovorne osobe zadužene za suradnju s trećom stranom,
  • osoba odgovorna za vođenje korisničkih računa dužna je redovito pregledavati zaprimljene zahtjeve za zatvaranjem računa te ih pravovremeno zatvoriti,
  • ukoliko postoji potreba, korisniku je moguće prijevremeno zatvoriti korisnički račun bez prethodne obavijesti.

Prava pristupa

Dodjela prava pristupa:

  • svaki korisnik prilikom otvaranja korisničkog računa, ovisno kojoj grupi korisnika pripada, ima minimalna, tzv. osnovna prava,
  • svakom korisniku moguće je proširiti osnovna prava ukoliko za tim postoji potreba,
  • dodatna prava pristupa može dodijeliti odgovorna osoba (zaposlenik zavoda koji ima pravo dodjele prava pristupa),
  • za pravo pristupa osjetljivim i tajnim podacima, korisnik je dužan potpisati izjavu o pridržavanju pravila sigurnosti definiranih Pravilnikom o korištenju i zaštiti informacija i informacijskog sustava,
  • pravo pristupa trećoj strani dodjeljuje odgovorna osoba; prije dodjeljivanja prava pristupa treća strana je dužna potpisati izjavu o pridržavanju pravila sigurnosti definiranih Pravilnikom o korištenju i zaštiti informacija i informacijskog sustava,
  • ukoliko treća strana zahtjeva pristup osjetljivim ili tajnim podacima, potrebna je suglasnost administratora,
  • sva dodijeljena prava pristupa moraju biti jasno dokumentirana,
  • potrebno je omogućiti uvid u koja prava pristupa ima pojedini korisnik ili grupa korisnika,
  • potrebno je omogućiti uvid tko sve ima prava nad pojedinim resursom, s mogućnošću filtriranja rezultata.

Osnovna (minimalna) prava korisnika

Definirati i dokumentirati minimalna prava:

  • zaposlenika
  • studenata
  • treće strane