Identiteitsbeheer, authenticatie en toegangscontrole
Subcategorie
Toegangsmachtigingen en -autorisaties worden beheerd, met inachtneming van de principes van 'least privilege' en scheiding van taken
Maatregel
Toegangsrechten voor gebruikers tot de systemen van de organisatie moeten worden gedefinieerd en beheerd.
Richtlijn
Het volgende moet worden overwogen:
Stel regelmatig toegangslijsten per systeem (bestanden, servers, software, databases, etc.) op en beoordeel deze, mogelijk door analyse van de Active Directory in Windows-gebaseerde systemen, met als doel te bepalen wie welke soort toegang (geprivilegieerd of niet) nodig heeft, tot wat, om hun taken in de organisatie uit te voeren.
Stel voor elke gebruiker (inclusief aannemers die toegang nodig hebben) een apart account in en vereiste dat voor elk account sterke, unieke wachtwoorden worden gebruikt.
Zorg ervoor dat alle werknemers computeraccounts zonder beheerdersrechten gebruiken om typische werkfuncties uit te voeren. Dit houdt ook in dat persoonlijke en beheeraccounts gescheiden moeten worden.
Overweeg voor gastaccounts de minimale geprivilegieerde rechten (bijv. alleen internettoegang) te gebruiken die vereist zijn voor uw bedrijfsbehoeften.
Het beheer van machtigingen moet worden gedocumenteerd in een procedure en waar nodig worden geüpdatet.