Lista kontrolna audytu uprawnień użytkowników systemów IT
- Prawo
dane
- Kategoria
instrukcja
- Klucze
audyt, dane osobowe, kontrola dostępu, sprawozdanie, systemy it, uprawnienia, użytkownicy, wdrożenie, zalecenia
Lista kontrolna audytu uprawnień użytkowników systemów IT to narzędzie pozwalające na systematyczne sprawdzanie i monitorowanie przypisanych użytkownikom uprawnień w systemach informatycznych. Obejmuje ona szczegółowe kroki, które należy podjąć w celu zapewnienia zgodności z politykami bezpieczeństwa oraz minimalizacji ryzyka naruszeń.
Lista kontrolna audytu uprawnień użytkowników do systemów IT
Poniższa lista stanowi narzędzie, dzięki któremu Specjalista ds. Bezpieczeństwa Informacji będzie mógł w szybki i skuteczny sposób przeprowadzić weryfikację uprawnień użytkowników do systemów i programów służących do przetwarzania danych osobowych. W dokumencie opisano kroki, które powinien zrealizować Specjalista ds. Bezpieczeństwa Informacji, pytania oraz działania, które powinien podjąć.
Krok 1: Inwentaryzacja oprogramowania
1. Ustalenie jakie systemy i oprogramowanie są aktualnie wykorzystywane.1
2. Stworzenie/ aktualizacja listy oprogramowania, która służy do przetwarzania danych osobowych.
Krok 2: Ustalenie administratorów poszczególnych systemów
1. Podział oprogramowania na zarządzane wewnętrznie i zewnętrznie.
2. W przypadku oprogramowania zarządzanego wewnętrznie określenie użytkowników na prawach administratora.
3. Wpisanie do listy z inwentaryzacją oprogramowania danych Jana Kowalskiego.
4. W przypadku oprogramowania zarządzanego zewnętrznie ustalenie kontaktu do osoby odpowiedzialnej za zarządzanie uprawnieniami.
5. Wpisanie do listy z inwentaryzacją oprogramowania ustalonych danych [email protected], służących do zarządzania uprawnieniami zewnętrznego oprogramowania.
Krok 3: Przegląd i aktualizacja uprawnień użytkowników
1. Zlecenie administratorom oprogramowania zarządzanego wewnętrznie:
a) Przeglądu użytkowników oraz zakresu ich uprawnień.
b) Aktualizacji/ ograniczenia uprawnień użytkowników, zgodnie z ich aktualnym zakresem obowiązków.
c) Usunięcia/ dezaktywacji kont użytkowników, którzy nie powinni mieć już dostępu do systemu/programu.
d) Przesłania raportu z dokonanego przeglądu, zawierającego: 2024-03-15 przeglądu, nazwy systemów/programów, wyniki przeglądu (np. ile kont należało usunąć) i wykonane działania.
2. Zlecenie działań dla systemów, które są przetwarzane z wykorzystaniem zewnętrznie zarządzanego oprogramowania:
a) Sporządzenia przez administratorów (lub dostawców) systemów listy użytkowników wraz z zakresem ich uprawnień.
b) Dokonania przeglądu otrzymanego zestawienia użytkowników oraz ich uprawnień.
c) Przekazania administratorom systemów polecenia aktualizacji/ ograniczenia uprawnień użytkowników, zgodnie z ich aktualnym zakresem obowiązków.
d) Przekazania administratorom systemów polecenie usunięcia/ dezaktywacji kont użytkowników, którzy nie powinni mieć już dostępu do systemu/programu.
e) Przesłania raportu z dokonanego przeglądu, zawierającego: 2024-03-22 przeglądu, nazwy systemów/programów, wyniki przeglądu (np. ile kont należało dezaktywować) i wykonane działania.
Krok 4: Sporządzenie raportu i zaleceń z przeglądu uprawnień
1. Na podstawie przesłanych raportów należy zweryfikować, czy uprawnienia użytkowników są zarządzane w sposób prawidłowy i adekwatny.
2. W zakresie w jakim uprawnienia są nadawane w zbyt szerokim zakresie lub odbierane zbyt późno, należy zaproponować rozwiązania, które zminimalizują ryzyko powtórzenia nieautoryzowanego dostępu do danych w przyszłości (np. procedurę postępowania, dokumentację uprawnień użytkowników, zmianę roli administratora systemu, itp.).
3. Na podstawie otrzymanych raportów Specjalista ds. Bezpieczeństwa Informacji powinien przygotować sprawozdanie z przeprowadzonej weryfikacji.
4. Jeżeli przegląd nie został zrealizowany w jakimś zakresie, należy wskazać w sprawozdaniu brak dostępu do dokumentacji oraz zalecenie, które umożliwią przeprowadzenie weryfikacji (np. zmianę procedury dostępu do dokumentacji lub zmianę systemu).
Krok 5: Wdrażanie zaleceń
1. Specjalista ds. Bezpieczeństwa Informacji przekazuje sprawozdanie wraz z zaleceniami Dyrektorowi ds. IT.
2. Dyrektor ds. IT wprowadza niezbędne zmiany (zleca je poszczególnym administratorom systemów/ administratorom systemów).
Krok 6: Ponowny przegląd uprawnień
1. Specjalista ds. Bezpieczeństwa Informacji kwartalnie dokonuje ponownego przeglądu uprawnień.
2. Punktem wyjścia do każdego przeglądu powinna być inwentaryzacja oprogramowania (należy ponowić przegląd zaczynając od kroku pierwszego) oraz poprzednie sprawozdanie z audytu.
1 Do inwentaryzacji można wykorzystać wzór dostępny w bazie wiedzy „Inwentaryzacja Systemów IT”.
Podsumowując, lista kontrolna audytu uprawnień użytkowników systemów IT stanowi niezbędne wsparcie w zarządzaniu bezpieczeństwem informacji. Dzięki regularnemu zastosowaniu jej wytycznych możliwe jest skuteczne zapobieganie nieautoryzowanym działaniom oraz utrzymanie odpowiedniego poziomu ochrony danych i systemów IT.