Cilj: Omogućiti autorizirani pristup informacijskim sustavima i spriječiti neautorizirani pristup. Potrebno je osigurati formalne procedure za kontrolu prava pristupa informacijskim sustavima i uslugama. Procedure trebaju obrađivati cijeli ciklus pristupa korisnika, počevši od inicijalne registracije novog korisnika da ukidanja prava pristupa. Posebnu pozornost je potrebno posvetiti kontroliranju privilegiranih pristupnih prava koji korisniku omogućuju promjenu sustavskih kontrola.
Kontrola Potrebno je utemeljiti formalnu proceduru registracije i deregistracije korisnika kako bi se moglo upravljati dodjeljivanjem i uklanjanjem prava pristupa informacijskim sustavima i uslugama. Implementacijske smjernice Procedure za upravljanje pravima pristupa trebaju uključivati: a) uporabu jedinstvenih identifikatora; uporaba grupnih identifikatora je dopuštena samo ako je nužna za poslovnu operativnost; b) provjeru da li korisnik ima autorizaciju vlasnika sustava za uporabu sustava ili usluga; c) provjeru da li je dodjeljena razina pristupa prikladna za obavljenje posla i da li je u skladu sa sigurnosnom politikom; d) pisanu izjavu o pristupnim pravima korisnika; e) potpisanu izjavu korisnika da razumije uvjete dodjeljenog pristupa; f) osiguranje da davatelji usluga ne pružaju pristup dok nisu završene autorizacijske procedure; g) održavanje službenih zapisa o svim osobama registriranima za korištenje usluge; h) hitno uklanjanje ili blokiranje pristupnih prava korisnicima koji su promjenili uloge ili položaj u organizaciji ili koji su napustili organizaciju; i) periodička provjera, blokiranje ili uklanjanje redudantnih identifikatora ili korisničkih računa; j) osiguranje da se redudantni identifikatori ne izdaju drugim korisnicima. Dodatne informacije Poželjno je utemeljiti korisničke uloge u ovisnosti o poslovnim zahtjevima koje sabiru niz pristupnih prava u tipični korisnički profil. Pregledavanje i izdavanje pristupnih prava je na taj način jednostavnije.
Kontrola Dodjeljivanje i uporaba privilegija treba biti ograničena i kontrolirana. Implementacijske smjernice Višekorisnički sustavi koji zahtjevaju zaštitu od neautoriziranog pristupa trebaju ostvariti dodjelu i kontrolu privilegija kroz formalni autorizacijski proces. Potrebno je poduzeti sljedeće korake: a) identifikaciju pristupnih privilegija za svaki sustavski proizvod (operativni sustav, sustav za upravljanje bazama podataka i sl.) i identifikacija korisnika kojima se dodjeljuju te privilegije; b) privilegije se korisnicima trebaju dodjeljivati po potrebi i u skladu sa sigurnosnom politikom organizacije; c) održavati zapise o svim dodjeljenim privilegijama; privilegije se ne smiju dodjeliti dok nije završen autorizacijski proces; d) promicati razvoj i uporabu sustavskih rutina kako bi se izbjegla potreba za dodjeljivanjem prava korisnicima; e) promicati razvoj i uporabu programa koji za izvođenje ne trebaju privilegije; f) privilegije se trebaju izdavati s drugim identifikatorom, a ne s onim za uobičajenu uporabu. Dodatne informacije Neprikladna uporaba administratorskih privilegija može biti glavni faktor doprinosa sustavskim kvarovima i prekršajima.
Kontrola Dodjeljivanje lozinki treba biti kontrolirano kroz formalni proces. Implementacijske smjernice Proces upravljanja lozinkama treba uključivati sljedeće: a) korisnici trebaju potpisati izjavu o čuvanju lozinki te djeljenju grupnih lozinki isključivo s ostalim članovima grupe; b) kad korisnici sami čuvaju svoju lozinku, tada im se dodjeljuje inicijalna privremena lozinka koju odmah trebaju promjeniti; c) utemeljiti procedure za verifikaciju identita korisnika prije nego što im se dodjeli nova, zamjenska ili privremena lozinka; d) privremene lozinke se korisnicima trebaju dodjeliti na siguran način; izbjegava se posredstvo treće strane ili elektroničkih poruka; e) privremene lozinke trebaju biti jedinstvene i teške za pogađanje; f) korisnici trebaju potvrditi primitak lozinke; g) lozinke nikad ne bi smjele biti sačuvane u nezaštićenom obliku na sustavu; h) inicijalne lozinke proizvođača opreme trebaju biti promjenjene prije instalacije sustava ili programa. Dodatne informacije Ponekad je potrebno razmotriti druge načine identifikacije i autentifikacije korisnika, poput biometrijskih značajki (otisak prsta) i uporabe sklopovskih tokena (pametne kartice).
Kontrola Uprava treba pregledavati korisnička prava pristupa u redovitim intervalima. Implementacijske smjernice Smjernice za pregled pristupnih prava: a) pristupna prava se trebaju redovito pregledavati, npr. svakih 6 mjeseci, te nakon bilo kakvih promjena poput napredovanja na poslu ili kraja zaposlenja; b) korisnička prava se trebaju pregledavati i iznova dodjeliti u slučaju promjene radnog mjesta unutar iste organizacije; c) specijalna pristupna prava se trebaju pregledavati češće, npr. svakih 3 mjeseca; d) dodjeljene privilegije se trebaju redovito provjeravati kako bi se spriječila mogućnost pojave neovlaštenih privilegija.