differenza tra bisogno di sapere, minimo privilegio e riservatezza

3

Sto studiando per CISSP. Il minimo privilegio, la necessità di conoscere e la riservatezza sono la stessa cosa?

Nel mio libro si dice "la riservatezza viene a volte indicata come il principio del privilegio minimo" e anche nell'indice che ha tra parentesi (è necessario sapere).

Ho trovato questo sito che afferma che è necessario conoscere un'estensione ai privilegi minimi link

E ho trovato questa domanda di pratica

What is the difference between least privilege and need-to-know?

e la risposta data è

A user should have a need-to-know to access particular resources; least privilege should be implemented to ensure she only accesses the resources she has a need-to-know.

anche se non seguo il ragionamento.

    
posta Celeritas 18.02.2016 - 05:12
fonte

4 risposte

3

A seconda di come la guardi, sono ombre della stessa cosa. La confusione arriva quando gli stessi termini sono usati anche per altre cose.

Il principio del "minimo privilegio" afferma che si dovrebbe solo avere accesso a ciò di cui hanno bisogno e nulla più. Estendi questa idea a "riservatezza dei dati" e finisci con "bisogno di sapere".

Per dirla in altro modo, per mantenere riservati i dati, è necessario assicurarsi che solo coloro che hanno bisogno di accedere a tali dati abbiano accesso e nessun altro. Ancora una volta, è una forma di "bisogno di sapere" e "minimo privilegio".

Non direi che le 3 idee sono la stessa idea, ma per ottenere la "riservatezza", si finisce per dover impiegare "il minimo privilegio" e, per estensione, "bisogno di sapere".

BTW, la citazione che hai ha a che fare con l'applicazione del "minimo privilegio" come sua idea a parte "bisogno di sapere", che è valida. Il minimo privilegio può essere applicato all'accesso e alle capacità, nonché alla riservatezza dei dati.

    
risposta data 18.02.2016 - 06:31
fonte
1

È necessario sapere che l'utente ha una ragione legittima per accedere a qualcosa. Il minimo privilegio può quindi essere implementato per limitare tale accesso e limitare ciò che l'utente può fare con quel qualcosa. Ad esempio, dopo che è stato determinato che un utente ha bisogno di un business per accedere ('need to know') ai dati dell'utente, la domanda 'least privilege' è quindi quale tipo di accesso dovrebbe avere a quei dati utente? Sola lettura? Aggiornare? Elimina? Offri all'utente il minimo di privilegi di cui hanno bisogno per fare il loro bisogno.

    
risposta data 07.08.2017 - 21:44
fonte
0

Diciamo che James Bond ha un permesso "segreto". Questo è il suo privilegio. Dovrebbe avere "top secret"? No. Per una serie di ragioni, anche se è James Bond, ha il minimo privilegio di cui ha bisogno: non ha bisogno di sapere cose "top secret", quindi il suo (minimo) livello di privilegio è impostato su "segreto".

Ora, supponiamo che Bond combatta il male in Giamaica. Conosce un sacco di cose sulla Giamaica a causa del suo "bisogno di sapere". Conosce anche informazioni "segrete" su Cuba? No. Al momento, non ha bisogno di saperlo.

E a proposito: la sua "licenza per uccidere"? Si tratta più di una capacità, e quindi più, ad esempio, di ottenere l'accesso in scrittura a un file; e, quindi, più un aspetto del suo privilegio piuttosto che il suo "bisogno" di sfruttarlo in un certo posto. In effetti, se James avesse sparato a qualcuno a Cuba durante una missione riguardante la Giamaica, M sarebbe probabilmente piuttosto incazzato a meno che James potesse provare che l'uccisione di Cuba era essenzialmente ai suoi "bisogni" riguardo al suo lavoro in Giamaica.

    
risposta data 18.03.2017 - 01:30
fonte
0

Quasi mi azzarderei a dire che Least Privilege è un controllo logico, mentre è necessario conoscere un controllo amministrativo.

    
risposta data 22.03.2017 - 18:03
fonte

Leggi altre domande sui tag