Instruktion ved tildeling af privilegerede rettigheder
Det er den udstedende part, der er ansvarlig for at instruere brugeren, der får tildelt rettighederne, i forhold til organisationens generelle retningslinjer på området.
Det kan fx være ved tildeling af lokaladministratorrettigheder, samt i forhold til eksplicitte procedurer og lovgivning, fx behandling af personoplysninger eller funktionsadskillelse ved økonomiske transaktioner.
Det skal understreges, at anvendelse af stærke adgangskoder er ekstra vigtigt, da konti med udvidede rettigheder er særlig udsatte for misbrug og cyberangreb.
Vejledende inspirationsliste
For systemer, der håndterer personoplysninger eller økonomiske transaktioner, bør alle listens elementer vurderes, mens de generelt bør anvendes i det omfang, det konkrete systems risikovurdering tilsiger det.
- Dokumentation af tildeling med angivelse af årsag, evt. godkendelse og dato, - så det efterfølgende er muligt at følge op og vurdere fortsat behov, fx ved opgaveskift.
- Ved tildeling af rettigheden overvejes, om denne tildeles brugerens personlige brugerkonto eller en dedikeret konto - så vil eksponeringen af konti med særlige rettigheder blive begrænset ved at undgå disses anvendelse til fx mail og internetaktiviteter.
- Vurdering af begrænset eller tidsbestemt tildeling af rettigheder - så de tildelte rettigheder understøtter konkrete og aktuelle behov i opgavevaretagelsen, og endvidere medvirker til at minimere risikoen for utilsigtede fejl og misbrug. Kan indarbejdes som tjeklistepunkt i den lokale godkendelsesproces.
- Ved afvigelser fra eventuelle eksplicitte retningslinjer dokumenteres godkendelse af afvigelsen - så eventuelle risici er synliggjorte
Bør ledelsesgodkendes og registreres ved informationssikkerhedskoordinator
- Etablering af logning af aktiviteter udført af konti med de tildelte rettigheder - så bliver det er muligt at følge op på anvendelsen og herunder forklare utilsigtede hændelser Skal i praksis normalt aftales og etableres i samarbejde med drifts- og/eller applikationsleverandøren
- Opsætning af procedurer til overvågning eller opfølgning af relevante logs - så logningen bliver operationel og tilfører værdi, fx til at opfange uhensigtsmæssigheder og erfaringsbaserede forbedringer.
Kan med fordel indarbejdes i generel proces eller kontrolregime for det konkrete system.
- Periodisk opfølgning på tildelte rettigheder og den fortsatte relevans (min. hver 6. måned) - så risikoen for misbrug eller fejl minimeres, og så retningslinjer og lovgivning (jf. fx databeskyttelsesforordningen) efterleves.
Kan udføres som simpelt tjek af brugeroversigt helt op til integreret og automatiseret kontrolfunktion i det aktuelle system.
- Periodisk gennemsyn og re-information af relevante instrukser - så medarbejdere, der er tildelt privilegerede rettigheder, løbende holdes opdaterede om gældende og evt. justerede retningslinjer.
Bør indgå i proces eller program for det konkrete systems generelle brugerinformation og/eller uddannelsesaktiviteter
- Periodisk rapportering af status og eventuelle hændelser til den forretningsansvarlige på området - så de ansvarlige chefer løbende holdes orienteret om sikkerhedsmæssige forhold herunder eventuelle uhensigtsmæssigheder.
Kan med fordel indarbejdes i generel proces eller kontrolregime for det konkrete system.
- Udarbejdelse af plan for eventuelle korrigerende handlinger efter registrerede hændelser - så konstaterede uhensigtsmæssigheder kan prioriteres og håndteres struktureret og effektivt.
Kan med fordel indarbejdes i generel proces eller kontrolregime for det konkrete system.