|
Dodatak J - Korisnički računi, prava pristupaSvrhaSvrha dokumenta Pravilnik o korisničkim računima i pravima pristupa je osigurati kontrolu nad otvaranjem, izmjenom, zamrzavanjem i zatvaranjem korisničkih računa u informacijskom sustavu ZEMRIS, u cilju sprječavanja zastarjelih, redundantnih i korisničkih računa otvorenih na neispravan način. Drugi dio dokumenta odnosi se na dodjelu prava pristupa. Pravo pristupa vrijednostima informacijskog sustava jedna je od najkritičnijih točaka sigurnosti. Zbog naizgled kompliciranog procesa dodjeljivanja prava pristupa, korisnicima se često dodjeljuju "uobičajena" prava, koja su najčešće puno veća od potrebnih. Što veća prava pristupa korisnik posjeduje, veće su mogućnosti da slučajnim ili namjernim radnjama ugrozi sigurnost informacijskog sustava. Iz tog razloga potrebno je ograničiti djelovanje korisnika na način da im se dopusti obavljanje samo onih radnji koje su nužne za obavljanje njihova poslova. Evidencija zahtjevaPravovremeno zatvaranje korisničkog računa važna je karika u sigurnosti informacijskih sustava. Ukoliko "nevažeći" korisnički račun nije zatvoren, korisniku je otvoren put obavljanju zlonamjernih radnji. Kako bi proces otvaranja i zatvaranja korisničkih računa bio pravovremeno i kvalitetno obavljen, potrebno je definirati načine komunikacije između podnositelja zahtjeva i administratora sustava, te način evidencije zahtjeva za otvaranjem odnosno zatvaranjem računa. Prijedlog komunikacije i evidencije zahtjeva:
Protokol komunikacije između podnositelja zahtjeva i odgovorne osobe, te evidencije samih zahtjeva može biti realiziran i na neki drugi način odobren od strane voditelja sigurnosti. Otvaranje korisničkog računaKorisnički račun moguće je otvoriti:
Procedura otvaranja korisničkog računa:
Zamrzavanje korisničkog računaU slučaju duljeg planiranog nekorištenja informacijskog sustava (npr. zbog edukacije u inozemstvu, bolesti, zamrzavanje godine i sl.) korisnički račun potrebno je zamrznuti. Zamrzavanjem korisničkog računa izbjegavaju se nepotrebni postupci zatvaranja i otvaranja računa, ali i sprječavaju sigurnosni incidenti koji mogu nastati korištenjem korisničkog računa od strane drugih osoba dok stvarni vlasnik nije prisutan. Zamrzavanje računa odvija se na način da podaci ostanu u bazi podataka o korisniku, ali se u posebno polje naznači da je račun zamrznut. Zamrznutom korisničkom računu nije potrebno mijenjati lozinku u određenom vremenskom periodu kako je definirano politikom. Također se zaobilaze sve druge sigurnosne kontrole od strane sustava za koje je potrebna interakcija korisnika. Zamrznuti korisnički račun moguće je vratiti u uporabu (odmrznuti) na zahtjev korisnika i odgovorne osobe, s time da zahtjev mora biti dokumentiran i odobren kao i kod otvaranja novog zahtjeva. Zatvaranje korisničkog računaZatvaranje korisničkog računa iznimno je osjetljiv postupak, a osjetljivost ovisi o organizaciji upravljanja korisničkim računima. Što je upravljanje računima nekvalitetnije izvedeno, to će zatvaranje korisničkih računa biti kompliciranije. Na primjer, ako se korisnički računi otvaraju bez dokumentiranja i na osnovu trenutnih potreba, nakon npr. godine dana više se ne zna tko ima pravo pristupa nad kojim resursima. Tada je i zatvoriti korisnički račun puno teže. Ukoliko "zatvorenom" korisniku ostanu neka prava pristupa, put za počinjenje zlonamjernih djela mu je otvoren. Ovo je još jedan primjer zašto je kvalitetna organizacija korisničkih računa nužna. Zatvaranje korisničkog računa odvija se kroz sljedeće faze:
Prava pristupaDodjela prava pristupa:
Osnovna (minimalna) prava korisnikaDefinirati i dokumentirati minimalna prava:
|