URN_NBN_SI_DOC-RLF1ZDPD

SIR * IUS, januar 2020 130 osebe, ki so geslo neupravičeno pridobile, obdržijo stalen nepooblaščeni dostop do informacijskih virov organizacije; • organizacija ni zagotovila, da se prva uporabniška gesla in druge občutljive informacije posredujejo novim uporabnikom na varen način; • organizacija uporabnikov ni seznanila z odgovornostmi, ki izhajajo iz njihovih dostopnih pravic; • organizacija nima jasnih pravil dodeljevanja, odvzemanja in spreminjanja dostopnih pravic, ker: – jih ni zapisala, formalno potrdila ali objavila, – jih ni organizirala tako, da bi za vsako odobritev, odvzem in dodelitev obstajala jasna (revizijska) sled, – jih ni organizirala tako, da bi bilo mogoče kadarkoli nedvoumno ugotoviti obseg dostopnih pravic v vseh informacijskih virih za vsakega posameznega uporabnika, – odobrava, odvzema in spreminja dostope do nekaterih informacijskih virov 17 ali za določene skupine uporabniko v 18 izven predpisanih postopkov, – ni zagotovila ustrezne informacijske podprtosti posredovanja in odobravanja zahtevko v 19 kljub velikemu obsegu zahtevkov za dodelitev, spremembo obsega in odvzem dostopnih pravic; • organizacija nima vpeljanega postopka rednega pregledovanja dodeljevanja pravic in ukinjanja neaktivnih uporabniških računov; • organizacija ne vodi ustreznih varnostnih in drugih revizijskih sledi. 3.3. Predlog revizijskih postopkov Spoznavanje organizacije upravljanja dostopnih pravic lahko temelji na postopkih: • poizvedovanj a 20 , na primer razgovorov z: 17 Na primer dostope do določenih informacijskih rešitev, ki jih nima za del svojega informacijskega okolja, račune operacijskih sistemov in orodij za upravljanje zbirk podatkov, na katerih delujejo informacijske rešitve, račune gradnikov komunikacijskega omrežja, uporabniške dostope o informacijskih rešitvah, ki so jih uporabniki razvili sami za podporo določenim sicer neustrezno pokritim procesom, in podobno. 18 Pogosto to izvajajo za zunanje dobavitelje in sodelavce ter uporabnike z dostopi do privilegiranih računov. 19 Manjše organizacije lahko zagotovijo ustrezno preglednost postopkov upravljanja uporabniških dostopov z obrazci v papirni obliki in posredovanjem zahtevkov za dodelitev, spreminjanje obsega in odvzemanje uporabniških dostopov po elektronski pošti, pri večjih organizacijah pa lahko v teh okoliščinah pride do nepreglednosti. 20 Zbiranje informacij z razgovori z dobro obveščenimi posamezniki v organizaciji ali zunaj nje.