Skip to main content

8.3 Ograniczenie dostępu do informacji

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność
Koncepcje cyberbezpieczeństwa: Ochrona, Zarządzanie tożsamością i dostępem
Obszary operacyjne: Kontrola

Kontrola

Dostęp do informacji oraz innych powiązanych zasobów powinien być ograniczony zgodnie z ustanowioną polityką kontroli dostępu.

Cel

Zapewnienie dostępu wyłącznie autoryzowanym użytkownikom oraz zapobieganie nieautoryzowanemu dostępowi do informacji i innych powiązanych zasobów.

Wytyczne

Dostęp do informacji oraz innych zasobów powinien być ograniczony zgodnie z ustanowionymi politykami dostępu. W celu wsparcia wymagań ograniczenia dostępu należy rozważyć:

  • a) uniemożliwienie dostępu do informacji wrażliwych przez nieznane tożsamości użytkowników lub anonimowo. Dostęp publiczny lub anonimowy powinien być udzielany wyłącznie do lokalizacji przechowywania, które nie zawierają informacji wrażliwych;
  • b) zapewnienie mechanizmów konfiguracyjnych do kontrolowania dostępu do informacji w systemach, aplikacjach i usługach;
  • c) kontrolowanie, które dane mogą być dostępne dla poszczególnych użytkowników;
  • d) kontrolowanie, które tożsamości lub grupy tożsamości mają określone uprawnienia dostępu, takie jak odczyt, zapis, usuwanie i wykonywanie;
  • e) zapewnienie kontroli dostępu fizycznego lub logicznego dla izolacji wrażliwych aplikacji, danych aplikacyjnych lub systemów.

Dynamiczne zarządzanie dostępem

W celu ochrony informacji o wysokiej wartości dla organizacji należy rozważyć wdrożenie dynamicznych technik zarządzania dostępem w następujących przypadkach:

  • a) konieczność szczegółowej kontroli, kto i w jaki sposób może uzyskać dostęp do informacji oraz przez jaki czas;
  • b) potrzeba udostępniania informacji osobom spoza organizacji przy jednoczesnym utrzymaniu kontroli nad dostępem;
  • c) wymóg dynamicznego zarządzania dostępem w czasie rzeczywistym, obejmującego wykorzystanie i dystrybucję informacji;
  • d) ochrona informacji przed nieautoryzowanymi zmianami, kopiowaniem i dystrybucją (w tym drukowaniem);
  • e) konieczność monitorowania użycia informacji;
  • f) potrzeba rejestrowania wszelkich zmian w informacji w celu ewentualnego wykorzystania w przyszłych dochodzeniach.

Techniki zarządzania dynamicznym dostępem powinny chronić informacje przez cały ich cykl życia (tj. tworzenie, przetwarzanie, przechowywanie, przesyłanie i usuwanie), w tym:

  • a) ustanowienie reguł dotyczących dynamicznego zarządzania dostępem, opartych na konkretnych przypadkach użycia, uwzględniając:
    1. przyznawanie uprawnień dostępu na podstawie tożsamości, urządzenia, lokalizacji lub aplikacji;
    2. wykorzystywanie schematu klasyfikacji informacji w celu określenia, które dane powinny być chronione dynamicznymi technikami zarządzania dostępem;
  • b) ustanowienie procesów operacyjnych, monitorowania i raportowania oraz wsparcie ich poprzez odpowiednią infrastrukturę techniczną.

Systemy zarządzania dynamicznym dostępem powinny zapewniać ochronę informacji poprzez:

  • a) wymaganie uwierzytelnienia, odpowiednich poświadczeń lub certyfikatów do uzyskania dostępu do informacji;
  • b) ograniczenie dostępu, np. poprzez określenie ram czasowych dostępu (np. po danej dacie lub do określonego momentu);
  • c) wykorzystanie szyfrowania do ochrony informacji;
  • d) definiowanie uprawnień do drukowania informacji;
  • e) rejestrowanie, kto uzyskał dostęp do informacji i w jaki sposób ją wykorzystał;
  • f) generowanie alertów w przypadku wykrycia prób niewłaściwego wykorzystania informacji.

Inne informacje

Techniki zarządzania dynamicznym dostępem oraz inne technologie ochrony informacji mogą wspierać ochronę danych nawet po ich udostępnieniu poza organizację, w sytuacjach, w których tradycyjne mechanizmy kontroli dostępu nie mogą być egzekwowane.

Techniki te mogą być stosowane do dokumentów, wiadomości e-mail lub innych plików zawierających informacje, ograniczając dostęp i sposób ich wykorzystania. Mogą być stosowane na szczegółowym poziomie i dostosowywane w całym cyklu życia informacji.

Dynamiczne zarządzanie dostępem nie zastępuje klasycznego zarządzania dostępem (np. listy kontroli dostępu – ACL), ale może wprowadzać dodatkowe czynniki warunkowe, ocenę w czasie rzeczywistym, tymczasowe ograniczenia dostępu oraz inne ulepszenia przydatne w przypadku informacji wrażliwych. Pozwala również na kontrolę dostępu do danych poza środowiskiem organizacji.

Techniki zarządzania dynamicznym dostępem mogą wspierać reagowanie na incydenty, umożliwiając modyfikację lub cofnięcie uprawnień w dowolnym momencie.

Dodatkowe informacje dotyczące ram zarządzania dostępem można znaleźć w normie ISO/IEC 29146.