Dyrektywa NIS2 – zarządzanie dostępem do systemów. Jak przygotować firmę?

poniedziałek, 1 Lipiec 2024 r.

Dyrektywa NIS2 zarządzanie dostępem

Dyrektywa NIS2 to istotne wyzwanie dla działów IT w firmach, szczególnie że termin wdrożenia (17 października 2024) zbliża się wielkimi krokami. Wymaga to od kierownictwa podjęcia natychmiastowych działań, aby dostosować się do nowych przepisów. NIS2 to rozszerzenie i aktualizacja wcześniejszej Dyrektywy NIS z 2016 roku, mająca na celu skuteczniejszą ochronę przed coraz większymi zagrożeniami cybernetycznymi w Europie, w tym w Polsce.

Kogo dotyczy dyrektywa NIS2? 

Nowe przepisy dotyczą firm zatrudniających powyżej 50 osób, w przypadku których roczny obrót przekracza 10 mln euro. Dyrektywa NIS2 rozszerza zakres podmiotów, które muszą spełniać jej wymagania. Oprócz sektorów krytycznych, takich jak energetyka, transport, bankowość i służba zdrowia, dyrektywa obejmuje również sektory, takie jak administracja publiczna i przemysł farmaceutyczny. W praktyce oznacza to, że więcej organizacji będzie musiało wdrożyć zaawansowane środki bezpieczeństwa cybernetycznego.

Dla szczegółowych informacji, kogo dokładnie dotyczą nowe przepisy, zachęcamy do sprawdzenia treści dyrektywy: tutaj

Zarządzania uprawnieniami w kontekście NIS2

Dyrektywa NIS2 wprowadza konkretne wymagania w zakresie zarządzania uprawnieniami, mające na celu zabezpieczenie dostępu do systemów i danych przed nieautoryzowanym dostępem. Zarządzanie uprawnieniami stanowi kluczowy element polityki cyberbezpieczeństwa każdej organizacji.
 

Wymogi dotyczące zarządzania uprawnieniami:

  • Identyfikacja i uwierzytelnianie użytkowników: Organizacje muszą wdrożyć zaawansowane mechanizmy uwierzytelniania, takie jak dwuskładnikowe uwierzytelnianie (2FA) czy biometryczne metody identyfikacji.
  • Zasada najmniejszych uprawnień (PoLP): Użytkownicy powinni mieć dostęp tylko do tych zasobów, które są niezbędne do wykonywania ich obowiązków, co minimalizuje ryzyko nieautoryzowanego dostępu.
  • Regularne przeglądy uprawnień: Organizacje muszą regularnie przeglądać i aktualizować uprawnienia użytkowników, aby były one zgodne z ich aktualnymi rolami i obowiązkami.
  • Ścisła kontrola dostępu do krytycznych zasobów: Krytyczne zasoby informacyjne muszą być objęte ścisłą kontrolą dostępu.
  • Audyt i monitorowanie: Wymagane jest monitorowanie i audytowanie aktywności użytkowników, aby szybko wykrywać i reagować na potencjalne incydenty bezpieczeństwa.

Rozwiązanie dla zarządzania uprawnieniami – Intalio Access Management 

W wielu organizacjach brakuje narzędzi, które pozwoliłyby na skuteczne zarządzanie uprawnieniami. Kontrola i rozliczalność użytkowników w zakresie udzielonych uprawnień systemów IT  i dostępów fizycznych jest niezwykle ważna. 

Odpowiedzią na wyzwania związane z wymaganą kontrolą dostępów jest Intalio Access Management (IAM), zaawansowane narzędzie, które zapewnia bezpieczny ''workflow'' dla procesów związanych z nadawaniem i modyfikacją uprawnień w systemach IT.  Jego wdrożenie w organizacji umożliwia uzyskanie pełnej kontroli i wiedzy na temat tego, kto ma dostęp do poszczególnych systemów i zasobów IT. System obrazuje kompletny stan organizacji w zakresie udzielonych uprawnień, jak i ich aktualizacji w czasie i odpowiedzialności.

Kluczowe funkcje i korzyści IAM:

  • Bezpieczeństwo i kontrola: IAM umożliwia kontrolę nad rolami i odpowiedzialnościami w organizacji, zapewniając, że uprawnienia są przyznawane i modyfikowane zgodnie z politykami bezpieczeństwa i strukturą organizacyjną (LDAP/Active Directory).
  • Śledzenie historii uprawnień: IAM pozwala na śledzenie aktualnych i historycznych uprawnień użytkowników, co jest kluczowe dla audytów i zgodności z regulacjami.  Szczegółowa historia każdego wniosku widoczna jest w postaci ścieżki/ timeline’u. 
  • Zabezpieczenie przed duplikacją uprawnień: System eliminuje ryzyko nadania tych samych uprawnień dla tego samego użytkownika w tym samym czasie, co zapobiega potencjalnym konfliktom i nieautoryzowanemu dostępowi.
  • Dostosowanie do potrzeb organizacji: IAM jest elastyczny i może być dostosowany do specyficznych potrzeb i struktury organizacyjnej, co ułatwia jego integrację i efektywne wykorzystanie.
  • Możliwość  automatycznego  nadawania uprawnień dla wybranych systemów IT (przy ścisłej współpracy z AD).
 

Jak wygląda praca z uprawnieniami w IAM?

  1. Złożenie wniosku: W systemie IAM, menadżer, posiadający dokładnie zdefiniowane uprawnienia do wyboru podległych użytkowników z Active Directory (AD) oraz określony zakres dostępnych dla jego roli systemów IT, składa wniosek o nadanie uprawnień poprzez dedykowany panel użytkownika.
  2. Proces zatwierdzania: W kolejnym etapie wniosek może wymagać zatwierdzenia lub odrzucenia przez osobę (lub osoby) odpowiedzialne za procesowanie takich wniosków, które są wskazane w systemie.
  3. Realizacja zlecenia: Po zatwierdzeniu wniosku, zadanie jest przekazywane do technika, którego rolą jest fizyczne nadanie odpowiednich uprawnień w systemie IT oraz potwierdzenie tego zdarzenia w systemie IAM.

Dążąc do zgodności z Dyrektywą NIS2, warto rozważyć wdrożenie systemu do zarządzania uprawnieniami. INTALIO Access Management to kompleksowe rozwiązanie, dzięki któremu można skutecznie chronić zasoby przed nieautoryzowanym dostępem, minimalizując ryzyko związane z cyberzagrożeniami. System wspiera także procesy audytowe i zapewnia zgodność z regulacjami, co jest kluczowe w kontekście NIS2.

 

Chcesz dowiedzieć się więcej? 

Jeżeli chcesz dowiedzieć się więcej, w naszym demo IAM 2.0 przygotowaliśmy dla Ciebie kilka scenariuszy (user story), które poprowadzą Cię przez cały proces związany z nadawaniem i pracą z uprawnieniami.  Zachęcamy do bezpłatnej konsultacji, rozmowy z nami. Skontaktuj się telefonicznie, mailowo lub skorzystaj z poniższego formularza. 

 
 
 
 
 

 

 

 

 

Tagi: 
Intalio
powrót na górę