Принцип Need-to-Know
Что такое Принцип Need-to-Know?
Принцип Need-to-KnowПринцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск.
Need-to-Know дополняет наименьшие привилегии тематическим фильтром поверх уровня допуска. Наличие допуска Secret не даёт права читать любой Secret-документ: нужно задокументированное служебное основание знать именно эту информацию. Принцип берёт начало в военной и разведывательной доктрине и предписан ISO/IEC 27002, NIST SP 800-53, а также HIPAA и GDPR. Реализуется через классификацию данных, RBAC/ABAC, just-in-time-доступ, маскирование данных и аудит, проверяющий, кто и зачем обращался к чувствительным записям.
● Примеры
- 01
Сотрудник HR с допуском не может читать медицинский файл коллеги без задокументированного HR-кейса.
- 02
DBA видят только маскированные номера карт, кроме случаев явного согласования для расследования.
● Частые вопросы
Что такое Принцип Need-to-Know?
Принцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Принцип Need-to-Know?
Принцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск.
Как защититься от Принцип Need-to-Know?
Защита от Принцип Need-to-Know обычно сочетает технические меры и операционные практики, как описано в определении выше.