Adgangsstyring

Der bør for alle systemer foreligge dokumentation for adgangsstyring. Adgang til systemer og data skal være arbejdsmæssigt begrundet.

For at minimere risikoen for brud på fortroligheden, integriteten eller tilgængeligheden af organisationens informationer, er det vigtigt at arbejde med adgangsstyring.

Styring af adgangen til systemerne, og opfølgning herpå, er det primære middel til at forhindre uautoriseret adgang til – eller ændring af – organisationens digitale informationer.

Tænk adgangsstyring ind i systemdokumentationen

Systemdokumentationen skal, med udgangspunkt i risikovurderingen for systemet, forholde sig til adgangsstyring, herunder bruger-/rettighedsstyring, log over handlinger og gennemgang af denne, oprettelse og nedlæggelse af brugere og passwordadministration.

I visse systemer, fx regnskabssystemer, er der lovmæssige krav om funktionsadskillelse ud over den grundlæggende adgangsstyring. Disse krav skal til enhver tid opfyldes. Funktionsadskillelse bør generelt indgå i overvejelserne, når adgange til et system defineres og implementeres. Såfremt et system driftes af en ekstern leverandør, skal adgangsstyring og opfølgning herpå fremgå af leverandørkontrakten.

Hjælp til brugerstyring

Brugerstyring er en central del af adgangsstyring og af at sikre et tilfredsstillende niveau for informationssikkerhed. Den fællesoffentlige referencearkitektur for brugerstyring strukturerer brugerstyringen i det offentlige for at skabe sammenhængende, sikre og brugervenlige løsninger på tværs af domæner, nationalt og transnationalt. Scope for materialet er dermed bredt, men fokuserer ligeledes specifikt på adgangskontrol, adgangspolitikker, sikre digitale identiteter, logning mv.

Se mere om den fællesoffentlige referencearkitektur på arkitektur.digst.dk

Privilegerede rettigheder

Tildeling af privilegerede rettigheder vil i hovedreglen medføre særligt behov for instruktion af brugeren samt ekstra kontroller som fx logning og opfølgning.

Opfølgning på brugerrettigheder bør som minimum gennemføres to gange pr. år.

Se relevante kontrol- og opfølgningsaktiviteter ved tildeling af rettigheder 

Fælles interesse for landene i NATO eller EU

Ved håndtering af informationer med fælles interesse for landene i NATO eller EU, gælder særlige regler jf. Justitsministeriets sikkerhedscirkulære.

Læs mere i Justitsministeriets sikkerhedscirkulære på retsinformation

Tilknytning til ISO 27002

Adgangsstyring beskrives i foranstaltning "5.15 Administration af adgang i ISO 27002.