DOC-008 ← Portal dokumentów

Polityka Kontroli Dostępu

Zarządzanie tożsamością, hasłami, uprawnieniami i uwierzytelnianiem wieloskładnikowym (MFA)
Numer dokumentu
DOC-008
Wersja
▸ 1.0
Status
PROJEKT
Data wydania
▸ DD.MM.RRRR
Właściciel
▸ CISO / Administrator IT
Zatwierdził
▸ Zarząd / CEO
Podstawa prawna
Art. 21(2)(j) NIS2; Art. 8 KSC; ISO/IEC 27001:2022 A.5.15–A.5.18, A.8.2–A.8.5
Dokumenty powiązane
DOC-001 | DOC-009 | DOC-016 | DOC-019

1. Zasady Ogólne Kontroli Dostępu

  • Minimalne uprawnienia (Least Privilege) – użytkownik otrzymuje wyłącznie uprawnienia niezbędne do pracy.
  • Potrzeba wiedzy (Need-to-Know) – dostęp do danych wyłącznie dla osób wymagających ich w pracy.
  • Rozdzielenie obowiązków (Segregation of Duties) – krytyczne operacje wymagają więcej niż jednej osoby.
  • Domyślna odmowa (Default Deny) – dostęp jest zabroniony, dopóki nie zostanie jawnie przyznany.
  • Rozliczalność – każdy dostęp jest logowany i przypisany do konkretnego użytkownika.

2. Zarządzanie Kontami Użytkowników

2.1 Tworzenie i modyfikacja kont

Konta tworzone wyłącznie na podstawie formalnego wniosku zatwierdzonego przez przełożonego i administratora. Szablon wniosku: ▸ [link / lokalizacja formularza].

Typ kontaZatwierdzenieMFAPrzegląd uprawnień
Użytkownik standardowy ▸ [bezpośredni przełożony] ▸ Zalecanewymagane od 2025 ▸ co 12 mies.min. 1×/rok
Konto uprzywilejowane (admin) ▸ CISO + przełożony WYMAGANE BEZWZGLĘDNIE ▸ co 6 mies.min. 2×/rok
Konto usługowe / techniczne ▸ CISO + admin N/D (hasło rotowane) ▸ co 6 mies.
Konto zewnętrzne (dostawca) ▸ CISO + właściciel systemu WYMAGANE ▸ co 3 mies.min. 1×/rok
Konto awaryjne (break-glass) ▸ CISO + Zarząd WYMAGANE ▸ co 6 mies.

2.2 Blokada i usuwanie kont

  • Blokada przy zmianie stanowiska – natychmiast po decyzji HR.
  • Blokada przy rozwiązaniu stosunku pracy – nie później niż ▸ [w dniu odejścia, do godziny 17:00]max. 24h. Procedura w DOC-016.
  • Automatyczna blokada nieaktywnych kont po ▸ [90 dniach]max. 90 dni braku logowania.
  • Usunięcie konta po ▸ [30 dniach] od blokady, po potwierdzeniu przez właściciela systemu.

2.3 Przegląd uprawnień

Wymaganie – przegląd uprawnień minimum raz w roku (NIS2/KSC)

Właściciele systemów przeglądają uprawnienia co ▸ [6 miesięcy]min. 1×/rok. Konta uprzywilejowane co ▸ [3 miesiące]min. 2×/rok. Wyniki dokumentowane w rejestrze przeglądów. Nadmiarowe uprawnienia usuwane w ciągu ▸ [5 dni roboczych] od stwierdzenia.

3. Polityka Haseł

ℹ️
Pola pomarańczowe wskazują minimalne progi wymagane przez KSC / ENISA. Organizacja wpisuje swoją obowiązującą politykę – musi być co najmniej równa wartości minimalnej.

3.1 Hasła użytkowników standardowych

ParametrMinimum KSC / dobre praktykiPolityka organizacji
Minimalna długość hasła min. 8 znaków ▸ [wpisz liczbę, np. 12]min. 8 znaków
Wielkie litery (A–Z) Zalecane ▸ [wymagane / zalecane]
Małe litery (a–z) Zalecane ▸ [wymagane / zalecane]
Cyfry (0–9) Zalecane ▸ [wymagane / zalecane]
Znaki specjalne (!@#$…) Zalecane ▸ [wymagane / zalecane]
Maksymalna ważność hasła Brak obligatoryjnego max. (NIST SP 800-63B zaleca bez wygasania przy dobrej złożoności) ▸ [np. 365 dni / brak wygasania]
Historia haseł (zakaz powtórzeń) Zalecane min. 5 ▸ [np. ostatnie 10]min. 5
Blokada po nieudanych próbach Zalecane ▸ [np. po 5 próbach]max. 10 prób
Czas trwania blokady / odblokowanie ▸ [np. 15 min automatycznie / ręcznie przez admina]
Screen lock po nieaktywności Zalecane ▸ [np. 10 minut]max. 15 min

3.2 Hasła kont uprzywilejowanych (administratorzy)

ParametrMinimum (zalecenie ENISA)Polityka organizacji
Minimalna długość min. 16 znaków ▸ [np. 20 znaków]min. 16 znaków
Złożoność Wszystkie 4 kategorie znaków Wielkie + małe + cyfry + znaki specjalne – OBOWIĄZKOWE
Maksymalna ważność ▸ [np. 90 dni]max. 180 dni
Narzędzie PAM / menedżer haseł Zalecany ▸ [np. CyberArk / BeyondTrust / HashiCorp Vault / KeePass Enterprise]

3.3 Hasła kont usługowych (service accounts)

Długość: ▸ min. 32 znaki losowemin. 20 znaków, generowane automatycznie (PAM lub skrypt). Rotacja co ▸ [90 dni]max. 180 dni lub po każdym incydencie bezpieczeństwa.

3.4 Zakazy bezwzględne

  • Zakaz używania haseł słownikowych, imion, dat urodzin, nazwy organizacji.
  • Zakaz współdzielenia haseł między użytkownikami.
  • Zakaz zapisywania haseł w plikach tekstowych, e-mailach, komunikatorach, kartkach przyklejonych do monitora.
  • Zakaz używania tych samych haseł do systemów służbowych i prywatnych.

4. Uwierzytelnianie Wieloskładnikowe (MFA)

⚠ Krytyczne – art. 21(2)(j) NIS2: MFA wymagane dla wszystkich użytkowników systemów kluczowych
Scenariusz dostępuWymaganie MFAAkceptowane metody
Dostęp zdalny (VPN, RDP, SSH) WYMAGANE BEZWZGLĘDNIE ▸ [TOTP (Google/MS Authenticator) / FIDO2 / hardware token]
Konta uprzywilejowane (admini) WYMAGANE BEZWZGLĘDNIE ▸ [FIDO2 / hardware token (YubiKey) / TOTP]
Systemy kluczowe / OT/ICS WYMAGANE – SMS niedopuszczalne ▸ FIDO2 lub hardware token WYŁĄCZNIE
Panele administracyjne chmury (AWS/Azure/GCP) WYMAGANE
Poczta e-mail (zdalny dostęp web) ▸ [Wymagane]min. dla zdalnego dostępu ▸ [TOTP / push notification]
Dostęp z sieci wewnętrznej (biuro) ▸ [Wymagane / Zalecane]

Niedopuszczalne: SMS jako metoda MFA dla kont uprzywilejowanych i systemów kluczowych (podatność SIM swapping). SMS dopuszczalny wyłącznie dla kont standardowych jako opcja zastępcza.

▸ Organizacja uzupełnia – wdrożone rozwiązanie MFA

Platforma MFA: ▸ [np. Microsoft Entra ID MFA / Duo Security / RSA SecurID / YubiKey / FreeOTP]

Data pełnego wdrożenia MFA dla kont uprzywilejowanych: ▸ DD.MM.RRRR

Procent kont objętych MFA: ▸ [np. 100% uprzywilejowane, X% standardowe]

5. Zarządzanie Dostępem Uprzywilejowanym (PAM)

  • Każdy administrator posiada dwa oddzielne konta: standardowe (praca codzienna) i uprzywilejowane (wyłącznie zadania administracyjne).
  • Logowania na konta uprzywilejowane rejestrowane w centralnym logu audytowym.
  • Sesje uprzywilejowane nagrywane i archiwizowane przez ▸ [12 miesięcy]min. 12 mies. – KSC.
  • Dostęp tymczasowy Just-In-Time (JIT): przyznawany na maks. ▸ [4 godziny], wymaga ponownego zatwierdzenia przez CISO.
  • Konta break-glass: hasło w zapieczętowanej kopercie w sejfie CISO; otwarcie rejestrowane w rejestrze incydentów.
▸ Organizacja uzupełnia

System PAM: ▸ [np. CyberArk / BeyondTrust / HashiCorp Vault / zarządzanie ręczne z rejestrem]

Rejestr kont uprzywilejowanych: ▸ [lokalizacja rejestru / link do DOC-020]

6. Dostęp Zdalny i Zewnętrzny

Typ dostępuWymaganiaNarzędzie
VPN pracownicy MFA wymagane; tylko firmowe urządzenia lub MDM; Split tunneling: ▸ [dozwolone/niedozwolone] ▸ [np. OpenVPN / Cisco AnyConnect / WireGuard]
Dostęp zdalny dostawcy MFA wymagane; wyłącznie na czas prac; sesja nadzorowana przez PAM; zakaz dostępu poza zakresem umowy ▸ [np. dedykowany VPN / BeyondTrust Remote Access]
Praca zdalna (home office) Szyfrowany dysk; VPN obligatoryjny; screen lock po ▸ [5 min]max. 15 min
BYOD (własne urządzenia) ▸ [Dopuszczone / Niedopuszczone] – jeśli dopuszczone: MDM obowiązkowy, separacja danych służbowych ▸ [np. Microsoft Intune / JAMF]

7. Logowanie i Monitoring Dostępu

Wszystkie logowania do systemów są rejestrowane i przechowywane przez ▸ [12 miesięcy]min. 12 mies. – KSC. Minimalna zawartość logu: identyfikator użytkownika, timestamp (UTC), adres IP źródłowy, system docelowy, typ zdarzenia, wynik (sukces/odmowa).

Alerty SIEM skonfigurowane dla: logowań poza godzinami pracy, wielokrotnych błędów uwierzytelnienia, logowań z nowych lokalizacji, eskalacji uprawnień. Szczegóły w DOC-019.

8. Historia Zmian

WersjaDataAutorOpisZatwierdził
▸ 1.0▸ DD.MM.RRRR ▸ Pierwsze wydanie ▸ Zarząd
DOC-008 Polityka Kontroli Dostępu | v1.0 | NIS2/KSC