Grunnprinsipper for IKT-sikkerhet 2.0
Kartlegg brukere og behov for tilgang
Målet med prinsippet: Virksomheten har oversikt over hvilke brukergrupper, brukere og tilgangsbehov som finnes i virksomheten og har kartlagt ansvar for IKT-sikkerhet.
Hvorfor er dette viktig?
Når en angriper får tilgang til et informasjonssystem er ofte det første målet å øke tilgangen. Dette gjøres gjerne ved å ta over ulike kontoer og forsøke å eskalere rettigheter. Mange brukere kan ha tilgang til systemer og tjenester de ikke har behov for, og med mer rettigheter enn de trenger for å gjøre jobben sin. Hvis alle brukere har tilgang til for mye vil kompromittering av én bruker kunne kompromittere hele IKT-systemet. Tilgangen til de ulike delene av et informasjonssystem bør derfor deles opp for å redusere skaden fra en kompromittering eller utro ansatte. En virksomhet må derfor ha kontroll på de ulike brukerne, kontoene de disponerer og hvilke rettigheter en gitt konto har.
Anbefalte tiltak: Kartlegg brukere og behov for tilgang
Dette prinsippet leses sammen med prinsipp 2.6 - Ha kontroll på identiteter og tilganger.
| ID | Beskrivelse | |||
|---|---|---|---|---|
| 1.3.1 | Kartlegg brukere i informasjonssystemene, inkludert: a) brukeridentitet, b) arbeidslokasjon(er) c) tilgangsbehov til IKT-systemer, tjenester/applikasjoner d) spesielle rettighetsbehov, se 1.3.2. Se og prinsipp 2.2 - Etabler en sikker IKT-arkitektur og 2.6 - Ha kontroll på identiteter og tilganger | |||
| 1.3.2 | Kartlegg og definer de ulike brukerkategoriene som finnes i virksomheten for å definere tilgangsnivåer og behov for oppfølging og kontroll. Eksempler på brukerkategorier kan være: - Normale brukere som kun har behov for kontorstøtte. - Brukere med spesialbehov, med behov for utvidede rettigheter, f.eks. utviklere. - Brukere som drifter virksomhetens systemer. - Leverandører og konsulenter. - Systembrukere, f.eks. systemprosesser som sikkerhetskopiering og lignende som går i bakgrunnen. | |||
| 1.3.3 | Kartlegg ansvar og roller spesielt knyttet til IKT-sikkerhet. a) Dette gjelder ansvar internt i virksomheten: f.eks. sikkerhetssjef, IT-sjef, applikasjonsansvarlig, plattformansvarlig mm. b) Klargjør hvem som skal kontaktes ved hendelser. Se 4.1.1 og 4.1.3. c) Kartlegg roller og oppgaver som innehas av eksterne leverandører og partnere. |
Utdypende informasjon
Bevisste og ubevisste sikkerhetsbrudd
Utilsiktet tilgang til informasjon eller tjenester kan fås både gjennom bevisste og ubevisste handlinger. Dette kan blant annet påføre virksomheten økonomiske tap.
En bevisst handling kan være en ansatt (omtales ofte som en «insider») som utnytter sine rettigheter for egen eller andres vinning, for eksempel ved å lese dokumenter vedkommende vanligvis ikke har tilgang til. En bevisst handling kan også utføres av en ekstern angriper som eksempelvis klarer å ta over kontoen til en bruker.
En ubevisst handling kan skyldes at en ansatt ved et uhell eller ved uforstand eksempelvis endrer på sikkerhetsinnstillinger, sletter informasjon eller åpner en epost med skadevare.
Lenker
NSM - Temarapport – innsiderisiko
UK GOV - Cyber Assessment Framework – B2.Identity and access control