5.4.1. Inleiding (PAM)
- Yentl Goossens (Unlicensed)
- Hijke Maes (Unlicensed)
De maatregel PAM of Privileged Access Management is een strikte toepassing en opvolging van een aantal basisprocessen die er in het kort om gaan om de handelingen van een profiel met beheerdersrechten:
Te beperken tot de noodzakelijke handelingen
Te loggen
Te verifiëren
Auditeerbaar te maken
Â
Het objectief van PAM is om ervoor te zorgen dat een Beheerder van een asset zijn geprivilegieerde toegang enkel kan gebruiken voor de bedoelde intentie. De asset waartoe de Beheerder toegang wil, noemen we hier de target. Om dit te kunnen bewerkstelligen, is er een direct verband met verschillende Beleidsdocumenten en (IT-)processen. Meer bepaald is er een link met:
Het beheer van wijzigingen (Change management):
4.4. Minimale maatregelen - Beheer van wijzigingenHet beheer van configuraties (Configuration management):
4.1. Minimale maatregelen - Asset- en configuratiebeheerHet configuratiebeheer bevat naast de informatieverwerking configuratie ook alle details over de toegangsmogelijkheden tot de informatieverwerking
Opmerking: We beschouwen het beheer van opeenvolgende configuratie versies of ‘Release management’ binnen dit document niet als apart proces maar als een interactie tussen configuration management en change management
Identiteits- en toegangsbeheer of Identity & Access Management (IAM):
5.1. Minimale maatregelen - Identity en Access Management (IAM)Log beheer (Log management):
5.2. Minimale maatregelen - logging en monitoring (SIEM)Risicobeheer (zie 5.5. Minimale maatregelen - proces risicobeheer ) op basis van:
Rapportering van operationele risico’s
Informatie uit bovenstaande processen of operationeel riskmanagement (ORM)Â
Â
Dit document legt uit hoe deze processen interageren met het Privileged Access Managementprincipe. Tezelfdertijd leggen we de verschillende niveaus uit die we binnen PAM erkennen en hoe deze de veiligheid van bedrijfsinformatie borgen.
Deze niveaus zijn gebaseerd op de veiligheidsbouwsteen PAMaaS, die een 1-op-1 implementatie is van dit Beleidsdocument. Ook zonder afname van deze veiligheidsbouwsteen zijn dit de logische verschillende niveaus binnen dit proces en zijn verhouding tot de Klasses van
het ICR.