Az anyag témája
Az Identity Management (IdM) elsődleges feladata, fókusza a felhasználói jogosultságok központi adminisztrációja és automatizálása. Ezen „provisioning” eszközök elsősorban a felhasználói jogosultság adminisztráció IT oldali megközelítésével jöttek létre.
Az elmúlt években azonban a jogosultság adminisztráció terén a compliance igények hatékony kielégítése került előtérbe, melynek eredményeképpen a nagy gyártók is komoly pénzeket áldoztak Identity Governance (IdG) rendszerek akvizíciójára, saját termékpalettájuk ilyen irányú bővítésére.
Miként az MNB ajánlása is megjegyzi, „az egyes pénzügyi szervezetek eltérő mérete, üzleti jellege és valós működése különböző biztonsági kockázatot jelent, továbbá az informatikai- és telekommunikációs technológia rohamos fejlődése miatt nem lehetséges „örök érvényű”, és a pénzügyi szervezetekre egységesen javasolható biztonsági kontrollokat meghatározni”. Ugyanakkor az MNB által készített, – „szakmai vezetői útmutatónak tekintendő” – ajánlásban foglaltak, jogszabályi kötelezettségekhez kötődnek. A jelen tanulmány alapjául szolgáló MNB ajánlás tételesen hivatkozik az 535/2013 Kormány rendelet, a Bszt., Mpt., Opt. és a Bit. vonatkozó előírásaira, továbbá érvényes a Kbftv. és a Tpt. hatálya alá tartozó szervezetekre és tevékenységekre.
Az anyag tartalma
- Felhasználói adminisztráció alapkövetelményei
- Felhasználói fiókok személyhez kötése és kontrollálása
- Hozzáférési jogok auditálhatósága
- Értesítés az alrendszeri szerepkörök megváltozásáról
- A felhasználói fiókok tipizálása
- SoD – az összeférhetetlen szerepkörök elkülönítése