Принцип Need-to-Know
Что такое Принцип Need-to-Know?
Принцип Need-to-KnowПринцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск.
Need-to-Know дополняет наименьшие привилегии тематическим фильтром поверх уровня допуска. Наличие допуска Secret не даёт права читать любой Secret-документ: нужно задокументированное служебное основание знать именно эту информацию. Принцип берёт начало в военной и разведывательной доктрине и предписан ISO/IEC 27002, NIST SP 800-53, а также HIPAA и GDPR. Реализуется через классификацию данных, RBAC/ABAC, just-in-time-доступ, маскирование данных и аудит, проверяющий, кто и зачем обращался к чувствительным записям.
● Примеры
- 01
Сотрудник HR с допуском не может читать медицинский файл коллеги без задокументированного HR-кейса.
- 02
DBA видят только маскированные номера карт, кроме случаев явного согласования для расследования.
● Частые вопросы
Что такое Принцип Need-to-Know?
Принцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Принцип Need-to-Know?
Принцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск.
Как работает Принцип Need-to-Know?
Need-to-Know дополняет наименьшие привилегии тематическим фильтром поверх уровня допуска. Наличие допуска Secret не даёт права читать любой Secret-документ: нужно задокументированное служебное основание знать именно эту информацию. Принцип берёт начало в военной и разведывательной доктрине и предписан ISO/IEC 27002, NIST SP 800-53, а также HIPAA и GDPR. Реализуется через классификацию данных, RBAC/ABAC, just-in-time-доступ, маскирование данных и аудит, проверяющий, кто и зачем обращался к чувствительным записям.
Как защититься от Принцип Need-to-Know?
Защита от Принцип Need-to-Know обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 854
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.
- compliance№ 1007
Разделение обязанностей (SoD)
Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку.
- identity-access№ 946
Ролевая модель доступа (RBAC)
Модель авторизации, в которой права назначаются ролям, а не напрямую пользователям; пользователи получают доступ через назначение в соответствующую роль.
- identity-access№ 074
Атрибутная модель доступа (ABAC)
Модель авторизации, которая принимает решение по запросу на основе политик над атрибутами субъекта, ресурса, действия и среды.
- privacy№ 276
Классификация данных
Процесс маркировки данных по уровню чувствительности и ценности, позволяющий последовательно применять меры защиты, обработки и хранения.
- identity-access№ 861
Управление привилегированным доступом (PAM)
Совокупность практик и инструментов для защиты, контроля, мониторинга и аудита доступа к учётным записям и системам с повышенными правами.