Principio da Necessidade de Conhecer (Need-to-Know)
O que é Principio da Necessidade de Conhecer (Need-to-Know)?
Principio da Necessidade de Conhecer (Need-to-Know)Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado.
O need-to-know complementa o menor privilegio com um filtro tematico sobre o nivel de credenciacao. Ter acesso Secret nao da direito a ler qualquer documento Secret; e preciso uma razao operacional documentada para conhecer essa informacao especifica. E originario da doutrina militar e de informacoes e e exigido pela ISO/IEC 27002, NIST SP 800-53 e regulamentos como HIPAA e RGPD. Implementa-se com classificacao de dados, RBAC/ABAC, acessos just-in-time, mascaramento e logs de auditoria que revisam quem consultou dados sensiveis e porque.
● Exemplos
- 01
Pessoal de RH credenciado nao pode ler o processo medico de um colega sem caso de RH documentado.
- 02
DBAs so veem numeros de cartao mascarados, exceto aprovacao explicita para uma investigacao.
● Perguntas frequentes
O que é Principio da Necessidade de Conhecer (Need-to-Know)?
Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Principio da Necessidade de Conhecer (Need-to-Know)?
Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado.
Como funciona Principio da Necessidade de Conhecer (Need-to-Know)?
O need-to-know complementa o menor privilegio com um filtro tematico sobre o nivel de credenciacao. Ter acesso Secret nao da direito a ler qualquer documento Secret; e preciso uma razao operacional documentada para conhecer essa informacao especifica. E originario da doutrina militar e de informacoes e e exigido pela ISO/IEC 27002, NIST SP 800-53 e regulamentos como HIPAA e RGPD. Implementa-se com classificacao de dados, RBAC/ABAC, acessos just-in-time, mascaramento e logs de auditoria que revisam quem consultou dados sensiveis e porque.
Como se defender contra Principio da Necessidade de Conhecer (Need-to-Know)?
As defesas contra Principio da Necessidade de Conhecer (Need-to-Know) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 854
Princípio do menor privilégio
Princípio de segurança que concede a cada utilizador, processo ou serviço apenas os privilégios estritamente necessários para desempenhar a sua função.
- compliance№ 1007
Segregacao de Funcoes (SoD)
Principio de controlo que divide uma tarefa sensivel entre varias pessoas ou sistemas para que nenhum ator a complete sozinho.
- identity-access№ 946
Controlo de Acesso Baseado em Funções (RBAC)
Modelo de autorização que atribui permissões a funções em vez de diretamente aos utilizadores, que herdam o acesso através das funções que lhes são atribuídas.
- identity-access№ 074
Controlo de Acesso Baseado em Atributos (ABAC)
Modelo de autorização que avalia políticas sobre atributos do sujeito, do recurso, da ação e do ambiente para decidir se um pedido de acesso é autorizado.
- privacy№ 276
Classificação de dados
Processo de rotular os dados pela sua sensibilidade e valor, para aplicar de forma consistente os controlos de proteção, manuseamento e retenção adequados.
- identity-access№ 861
Gestão de Acesso Privilegiado (PAM)
Conjunto de práticas e ferramentas que protegem, controlam, monitorizam e auditam o acesso a contas e sistemas com privilégios administrativos elevados.