ДОКУМЕНТЫ ПО БЕЗОПАСНОСТИ
Безопасность — Управление правами пользователей в инфраструктуре AWS
Последнее обновление: 01 декабря 2022
Цель:
Ликвид стремится обеспечить безопасное управление правами пользователей в своей инфраструктуре AWS. Настоящая политика описывает руководящие принципы и процедуры, действующие для предоставления, проверки и отзыва прав пользователей в соответствии со стандартом ISO 27001.
Ликвид стремится обеспечить безопасное управление правами пользователей в своей инфраструктуре AWS. Настоящая политика описывает руководящие принципы и процедуры, действующие для предоставления, проверки и отзыва прав пользователей в соответствии со стандартом ISO 27001.
Область применения:
Данная политика распространяется на всех сотрудников, подрядчиков и сторонних поставщиков, имеющих доступ к инфраструктуре AWS компании Ликвид
Данная политика распространяется на всех сотрудников, подрядчиков и сторонних поставщиков, имеющих доступ к инфраструктуре AWS компании Ликвид
Предоставление прав пользователей:
a) Права пользователей предоставляются, исходя из принципа наименьших привилегий, гарантируя, что пользователи получают минимально необходимый уровень доступа для выполнения своих обязанностей.
b) Права пользователей предоставляются назначенным администратором AWS или уполномоченным лицом, ответственным за управление пользователями.
c) Запросы на доступ к инфраструктуре AWS подаются через утверждённый процесс запроса доступа, который включает необходимые согласования и обоснование запрошенного доступа.
a) Права пользователей предоставляются, исходя из принципа наименьших привилегий, гарантируя, что пользователи получают минимально необходимый уровень доступа для выполнения своих обязанностей.
b) Права пользователей предоставляются назначенным администратором AWS или уполномоченным лицом, ответственным за управление пользователями.
c) Запросы на доступ к инфраструктуре AWS подаются через утверждённый процесс запроса доступа, который включает необходимые согласования и обоснование запрошенного доступа.
Проверка прав пользователей:
a) Регулярные проверки прав пользователей проводятся для обеспечения соответствия уровней доступа бизнес-требованиям и должностным обязанностям.
b) Проверка прав пользователей осуществляется не реже одного раза в год или при изменении должностных обязанностей.
c) В ходе проверки прав пользователей администратор AWS и соответствующие руководители подразделений совместно оценивают необходимость доступа и отзывают ненужные привилегии.
a) Регулярные проверки прав пользователей проводятся для обеспечения соответствия уровней доступа бизнес-требованиям и должностным обязанностям.
b) Проверка прав пользователей осуществляется не реже одного раза в год или при изменении должностных обязанностей.
c) В ходе проверки прав пользователей администратор AWS и соответствующие руководители подразделений совместно оценивают необходимость доступа и отзывают ненужные привилегии.
Отзыв прав пользователей:
a) Права пользователей незамедлительно отзываются или изменяются, когда сотруднику, подрядчику или стороннему поставщику больше не требуется доступ к инфраструктуре AWS.
b) Процесс отзыва прав пользователей инициируется через стандартизированную процедуру, обеспечивающую удаление всех привилегий доступа.
c) Отзыв прав координируется между администратором AWS, отделом кадров (HR) и другими заинтересованными сторонами.
a) Права пользователей незамедлительно отзываются или изменяются, когда сотруднику, подрядчику или стороннему поставщику больше не требуется доступ к инфраструктуре AWS.
b) Процесс отзыва прав пользователей инициируется через стандартизированную процедуру, обеспечивающую удаление всех привилегий доступа.
c) Отзыв прав координируется между администратором AWS, отделом кадров (HR) и другими заинтересованными сторонами.
Ведение и мониторинг журналов доступа:
a) Доступ к инфраструктуре AWS регистрируется и контролируется для выявления и расследования любых несанкционированных или подозрительных действий.
b) Логи доступа и системы мониторинга регулярно проверяются для обнаружения аномалий, потенциальных угроз безопасности или нарушений политики.
a) Доступ к инфраструктуре AWS регистрируется и контролируется для выявления и расследования любых несанкционированных или подозрительных действий.
b) Логи доступа и системы мониторинга регулярно проверяются для обнаружения аномалий, потенциальных угроз безопасности или нарушений политики.
Обучение и осведомлённость:
a) Пользователи, имеющие доступ к инфраструктуре AWS, проходят обучение по вопросам управления правами пользователей и корректному использованию предоставленных привилегий.
b) Для всех сотрудников, подрядчиков и сторонних поставщиков регулярно проводятся тренинги по безопасности, посвящённые важности управления правами пользователей и рискам, связанным с неправильным доступом.
a) Пользователи, имеющие доступ к инфраструктуре AWS, проходят обучение по вопросам управления правами пользователей и корректному использованию предоставленных привилегий.
b) Для всех сотрудников, подрядчиков и сторонних поставщиков регулярно проводятся тренинги по безопасности, посвящённые важности управления правами пользователей и рискам, связанным с неправильным доступом.
Соответствие и аудит:
a) Соблюдение настоящей политики периодически оценивается в ходе внутренних аудитов и проверок на соответствие установленным требованиям.
b) Любые случаи несоответствия или нарушения устраняются незамедлительно, и принимаются соответствующие корректирующие меры.
a) Соблюдение настоящей политики периодически оценивается в ходе внутренних аудитов и проверок на соответствие установленным требованиям.
b) Любые случаи несоответствия или нарушения устраняются незамедлительно, и принимаются соответствующие корректирующие меры.
Пересмотр политики:
Эта политика пересматривается не реже одного раза в год или по мере необходимости, обусловленной изменениями в бизнес-требованиях, технологиях или нормативных положениях.
Эта политика пересматривается не реже одного раза в год или по мере необходимости, обусловленной изменениями в бизнес-требованиях, технологиях или нормативных положениях.