IG3

Definisikan dan Pelihara Kontrol Akses Berbasis Peran

Kelompok Kontrol: 6. Manajemen Kontrol Akses

Jenis Aset: Data

Fungsi Keamanan: Lindungi

Deskripsi

Definisikan dan pelihara kontrol akses berbasis peran, melalui penentuan dan pemeliharaan peran dan hak istimewa untuk setiap akun perusahaan dan penyedia layanan. Tinjau dan definisikan peran minimal setiap tahun, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Platform tata kelola dan administrasi identitas dengan sertifikasi akses, manajemen siklus hidup, dan intelijen akses berbasis AI

SailPoint · Langganan per identitas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Platform identitas cloud yang menyediakan SSO, MFA adaptif, manajemen siklus hidup, dan manajemen akses API

Okta · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Peningkatan Hak Istimewa yang Mengarah ke Akses Data Tidak Sah

Confidentiality

Tanpa akses berbasis peran yang ditetapkan, pengguna mengumpulkan izin seiring waktu saat mereka berpindah antar tim, akhirnya memiliki akses berlebihan yang melanggar prinsip least privilege.

Ancaman Orang Dalam Diperkuat oleh Batas Akses yang Tidak Terdefinisi

Confidentiality

Orang dalam yang berbahaya mengeksploitasi hak akses yang ditetapkan secara samar untuk mengakses data dan sistem jauh melampaui persyaratan pekerjaan mereka yang sebenarnya, karena tidak ada model RBAC yang membatasi mereka ke akses yang diperlukan.

Kegagalan Kepatuhan dari Hak Akses yang Tidak Terdokumentasi

Integrity

Auditor regulasi menemukan hak akses tidak didokumentasikan berdasarkan peran, membuat tidak mungkin mendemonstrasikan kepatuhan least-privilege dengan kerangka kerja seperti SOX, HIPAA, atau PCI DSS.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Model Kontrol Akses Berbasis Peran yang Ditetapkan

Tanpa peran yang ditetapkan yang memetakan fungsi pekerjaan ke hak akses yang diperlukan, izin diberikan secara ad-hoc berdasarkan permintaan individual daripada persyaratan peran yang terstandarisasi.

Tidak Ada Proses Tinjauan Hak Istimewa Akses Berulang

Tanpa tinjauan akses tahunan atau lebih sering yang memvalidasi hak istimewa terhadap definisi peran, izin yang terakumulasi tidak pernah diidentifikasi atau dicabut.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akses Istimewa

Control 5, Control 6

Pengamanan Terkait di Kontrol 6

6.1 Tetapkan Proses Pemberian Akses

6.2 Tetapkan Proses Pencabutan Akses

6.3 Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal

6.4 Wajibkan MFA untuk Akses Jaringan Jarak Jauh

6.5 Wajibkan MFA untuk Akses Administratif

6.6 Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi

6.7 Sentralisasi Kontrol Akses