Principio da Necessidade de Conhecer (Need-to-Know)
O que é Principio da Necessidade de Conhecer (Need-to-Know)?
Principio da Necessidade de Conhecer (Need-to-Know)Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado.
O need-to-know complementa o menor privilegio com um filtro tematico sobre o nivel de credenciacao. Ter acesso Secret nao da direito a ler qualquer documento Secret; e preciso uma razao operacional documentada para conhecer essa informacao especifica. E originario da doutrina militar e de informacoes e e exigido pela ISO/IEC 27002, NIST SP 800-53 e regulamentos como HIPAA e RGPD. Implementa-se com classificacao de dados, RBAC/ABAC, acessos just-in-time, mascaramento e logs de auditoria que revisam quem consultou dados sensiveis e porque.
● Exemplos
- 01
Pessoal de RH credenciado nao pode ler o processo medico de um colega sem caso de RH documentado.
- 02
DBAs so veem numeros de cartao mascarados, exceto aprovacao explicita para uma investigacao.
● Perguntas frequentes
O que é Principio da Necessidade de Conhecer (Need-to-Know)?
Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Principio da Necessidade de Conhecer (Need-to-Know)?
Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado.
Como se defender contra Principio da Necessidade de Conhecer (Need-to-Know)?
As defesas contra Principio da Necessidade de Conhecer (Need-to-Know) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.