Данная политика разъясняет, каким образом согласие и авторизация пользователей должны быть получены, задокументированы и применены, чтобы обеспечить законный и ответственный доступ в организационной среде.
Целью данной политики является определение принципов, регулирующих согласие пользователей и авторизацию доступа к системам, данным и цифровым ресурсам. Политика применяется к сотрудникам, администраторам, подрядчикам и всем другим авторизованным пользователям.
Согласие и авторизация являются разными понятиями. Оба элемента должны присутствовать, если это требуется законодательством или внутренними правилами управления.
Согласие означает информированное, добровольное и явное согласие пользователя или субъекта данных на предоставление доступа или осуществление обработки данных.
Авторизация означает технические и административные меры, определяющие, какие действия вправе выполнять аутентифицированный пользователь.
Согласие не предоставляет автоматически неограниченный доступ. Авторизации всегда должны быть ограничены определенными ролями и законными целями.
Административные привилегии, функции мониторинга и доступ к чувствительным системам требуют дополнительного обоснования, документации и усиленного контроля.
Организации несут ответственность за получение согласия пользователей до предоставления доступа, осуществления мониторинга или обработки данных, если это требуется законом.
Согласие должно быть четким, задокументированным и представлено в форме, понятной пользователям. Не допускается использование подразумеваемых или скрытых механизмов согласия, если требуется явное согласие.
Доступ должен предоставляться на основе определенных ролей, обязанностей и операционных потребностей. Принцип минимальных привилегий должен применяться постоянно.
Авторизации должны регулярно пересматриваться и оперативно обновляться, если роли изменяются или доступ больше не требуется.
Решения, связанные с согласием и авторизацией, должны документироваться таким образом, чтобы поддерживать внутренние проверки, аудиты и регуляторные запросы.
Записи должны подтверждать, когда было получено согласие, какой доступ был авторизован и кем он был одобрен.
Ответственность за получение согласия, определение правил авторизации и применение контроля доступа полностью возлагается на организацию. Нарушения данной политики могут привести к приостановке доступа или внутренним дисциплинарным мерам.