IA-04 - Gestion des identifiants (PaF-)
Énoncés :
Gérer les identifiants de système des façons suivantes :
a. recevoir une autorisation de [Affectation : personnel ou rôles de l’organisation] pour attribuer un identifiant à une personne, à un groupe, à un rôle, à un service ou à un dispositif
b. sélectionner et déterminer un identifiant qui identifie une personne, un groupe, un rôle, un service ou un dispositif
c. attribuer l’identifiant à la personne, au groupe, au rôle, au service ou au dispositif prévu
d. prévenir la réutilisation d’identifiant pendant [Affectation : délai défini par l’organisation]
a. détenteur
d. minimalement 2 ans
Les identifiants de dispositif courants comprennent les adresses MAC ou IP, ou les identifiants à jeton unique. La gestion des identifiants de personnes ne s’applique pas aux comptes de systèmes partagés. En règle générale, les identifiants de personnes correspondent aux noms d’utilisateur des comptes de système qui leur ont été attribués. Dans une telle situation, les activités de gestion de compte du contrôle AC-2 utilisent les noms de comptes fournis par le contrôle IA-
04.
La gestion des identifiants porte également sur les identifiants de personnes qui ne sont pas nécessairement associés aux comptes du système. Le fait de prévenir la réutilisation d’identifiant empêche d’attribuer à une autre entité des identifiants utilisés précédemment par une personne, un groupe, un rôle, un service ou un dispositif. À l’occasion, la gestion des identifiants peut exiger la collecte de renseignements personnels. Afin de considérer le concept de la nécessité du point de vue de la protection de la vie privée par rapport à sa proportionnalité, les organisations doivent collecter juste assez de renseignements personnels pour garantir une authentification précise.