Tilgangsstyring er et sett med regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Se mer om tilgangsstyring på nettsidene til Datatilsynet (datatilsynet.no) Tilgangsstyring har som formål å gi personell med tjenstlig behov tilgang til opplysninger eller informasjonssystemer, samtidig som uautoriserte blir hindret tilgang til opplysninger eller informasjonssystemer.
Formålet med tilgangsstyring er altså ikke bare det å begrense personers tilgang til opplysninger og informasjonssystemer, men vel så mye å sikre at personell får de riktige tilgangene til riktig tid og av riktig grunn.
Å etablere et sett med regler for tilgangsstyring i en virksomhet, som fullt ut dekker alle behov og situasjoner, er utfordrende og nærmest umulig. Det er derfor viktig at reglene som etableres er forholdsmessige og basert på risikovurderinger (se kapittel 2.4 og 2.5). At det er etablert en tilfredsstillende tilgangsstyring i virksomheten, er en forutsetning for å oppnå forsvarlig sikkerhet. Dette oppnås gjennom en helhetlig tilnærming, der både teknologiske og organisatoriske sikkerhetstiltak spiller inn.
Tilfredsstillende tilgangsstyring forutsetter at virksomheten har gode rutiner for hvordan tilganger skal etableres, endres og avsluttes, og har identifisert hvilke sikkerhetstiltak som må være implementert hos virksomheten og i hele verdikjeden for informasjonssystemet. Dette kan for eksempel være rutiner og sikkerhetstiltak knyttet til administrative og operasjonelle prosesser, sikkerhetsstyring, personellsikkerhet, fysisk sikkerhet og adgangskontroll, opplæring og bevisstgjøring, design av IKT-arkitekturen og teknologivalg.
Tilgangsstyring er et vesentlig virkemiddel for å ivareta kravet til konfidensialitet, integritet og tilgjengelighet.
|
