Hyväksyttyjen tunnistautumistapojen määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
9.1.1: Access control policy
ISO 27001

Jaettujen käyttäjätunnusten välttäminen ja dokumentointi

Critical
High
Normal
Low

Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.

Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
32. Käsittelyn turvallisuus
GDPR
9.2.4: Management of secret authentication information of users
ISO 27001

Jaettujen käyttäjätunnusten hallinta salasanan hallintajärjestelmän kautta

Critical
High
Normal
Low

Yksi tapa hallita jaettuihin käyttäjätunnuksiin liittyviä riskejä on jaetun salasanan ja sen käyttäjien hallinnoiminen suoraan salasanojen hallintajärjestelmän kautta.

Tällöin voidaan toimia niin, että esimerkiksi ainoastaan yksittäinen henkilö tietää varsinaisesti salasanan ja sitä käyttävät henkilöt.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.4: Management of secret authentication information of users
ISO 27001
9.4.3: Password management system
ISO 27001

Tunnistautumistietoja ei välitetä sähköpostitse

Critical
High
Normal
Low

Tunnistautumistiedot olisi välitettävä käyttäjille turvallisesti. Salasanan toimittamista ulkopuolisen osapuolen välityksellä tai suojaamattomana (selväkielisenä) sähköpostiviestinä olisi vältettävä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.4: Management of secret authentication information of users
ISO 27001
5.17: Tunnistautumistiedot
ISO 27001

Tilapäisten kirjautumistietojen turvallinen asettaminen

Critical
High
Normal
Low

Tilapäisten tunnistautumistietojen olisi oltava yksilöllisiä, eivätkä ne saisi olla arvattavissa esimerkiksi käyttäjän tiedoista päättelemällä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.4: Management of secret authentication information of users
ISO 27001
5.17: Tunnistautumistiedot
ISO 27001
No items found.