Β.1 Μέτρα φυσικής ασφάλειας.Τεχνικά μέτρα ασφαλείας. Έλεγχος πρόσβασης




Photo by Luca Bravo on Unsplash


Έλεγχος πρόσβασης

Α) Διαχείριση λογαριασμών χρηστών

Ο υπεύθυνος επεξεργασίας πρέπει να υιοθετήσει συγκεκριμένες διαδικασίες για τη διαχείριση των λογαριασμών των χρηστών, οι οποίες πρέπει να περιλαμβάνουν κατ’ ελάχιστο διαδικασίες για την προσθήκη, μεταβολή ιδιοτήτων και διαγραφή λογαριασμού. Πρέπει να αποδίδεται διαφορετικός λογαριασμός πρόσβασης σε κάθε χρήστη.

Β) Μηχανισμοί ελέγχου πρόσβασης

Πρέπει να αναπτυχθούν μηχανισμοί που να μην επιτρέπουν προσβάσεις σε πόρους/εφαρμογές/αρχεία από μη εξουσιοδοτημένους χρήστες: ουσιαστικά,  πρέπει να υπάρχουν κατάλληλα μέτρα που να εξασφαλίζουν την εγγυημένα ορθή ταυτοποίηση και αυθεντικοποίηση των χρηστών, ενώ ταυτοχρόνως πρέπει να γίνεται σε τεχνικό επίπεδο συγκεκριμένη εκχώρηση δικαιωμάτων/εξουσιοδοτήσεων σε κάθε χρήστη.

Γ) Διαχείριση συνθηματικών

Ο υπεύθυνος επεξεργασίας οφείλει να υιοθετήσει συγκεκριμένη πολιτική διαχείρισης των συνθηματικών των χρηστών, η οποία να περιλαμβάνει τουλάχιστον κανόνες αποδοχής για το ελάχιστο μήκος (προτεινόμενο ελάχιστο μήκος αποτελούν οι 8 χαρακτήρες) και επιτρεπτούς χαρακτήρες των συνθηματικών (πολυπλοκότητα συνθηματικού), την ιστορικότητα του συνθηματικού και τη συχνότητα αλλαγής του.
Τα συνθηματικά δεν πρέπει να είναι κάπου καταγεγραμμένα στην πραγματική τους μορφή (ούτε σε φυσικό ούτε σε ηλεκτρονικό αρχείο). Εάν τα συνθηματικά διατηρούνται ηλεκτρονικά στο πλαίσιο της διαδικασίας ταυτοποίησης-αυθεντικοποίησης των χρηστών, τότε πρέπει να είναι σε μη αναγνώσιμη μορφή από την οποία δεν πρέπει να είναι εφικτή η ανάκτηση της αρχικής τους μορφής. Επίσης, οι χρήστες πρέπει να υποχρεώνονται να αλλάζουν οι ίδιοι το (προκαθορισμένο) συνθηματικό που τους ανατίθεται εξαρχής, καθώς επίσης και να υποχρεώνονται να αλλάζουν το συνθηματικό τους ανά τακτά χρονικά διαστήματα (οπωσδήποτε εντός διαστήματος μικρότερου του ενός έτους).

Δ) Μη επιτυχημένες προσπάθειες πρόσβασης

Πρέπει να υπάρχουν κατάλληλοι μηχανισμοί ώστε να απαγορεύεται η πρόσβαση σε έναν εξουσιοδοτημένο χρήστη, μετά από ένα πλήθος επαναλαμβανομένων αποτυχημένων αιτήσεων πρόσβασης (για παράδειγμα, υποβολή λανθασμένων συνθηματικών). Για έναν τέτοιο χρήστη, πρέπει να επανεξετάζεται η εξουσιοδότησή του για να έχει δικαίωμα πρόσβασης.

Ε) Αδρανοποιημένος υπολογιστής

Μέτρα πρέπει να ληφθούν προς αποφυγή περιπτώσεων όπου θα δύναται κάποιος να έχει εύκολα πρόσβαση οποιουδήποτε τύπου σε προσωπικά δεδομένα, λόγω ενός ανοιχτού υπολογιστή, ο οποίος μένει χωρίς επίβλεψη (έστω και για λίγα λεπτά). Προς αυτή την κατεύθυνση μπορούν ενδεικτικά να αναπτυχθούν διαδικασίες αυτόματης αποσύνδεσης (μετά από ένα εύλογο χρονικό διάστημα αδράνειας) ή/και ενεργοποίηση της προφύλαξης οθόνης (screen saver) του υπολογιστή – για την απενεργοποίηση της οποίας θα απαιτείται χρήση συνθηματικού. 

________________________________

Δειτε  Γ.2 Μέτρα φυσικής ασφάλειας.Τεχνικά μέτρα ασφαλείας. Αντίγραφα ασφαλείας
_______________________________



πηγή

Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Τι είναι τα Ασφαλιστικά cluster

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030