Dove si inseriscono i controlli di accesso nell'Hexad di Parker?

3

Gli elementi di sicurezza di Parkerian Hexad sono:

Confidentiality
Possession or Control
Integrity
Authenticity
Availability
Utility

Dove si inseriscono i controlli di accesso (obbligatorio, discrezionale e ACL)?

    
posta Whome 02.12.2015 - 16:25
fonte

2 risposte

1

Guardando indietro alla pagina di wikipedia a cui sei collegato, posso vedere il controllo dell'accesso cadere nel primo punto, riservatezza .

Citando Wikipedia

Confidentiality refers to limits on who can get what kind of information. For example, executives concerned about protecting their enterprise’s strategic plans from competitors; individuals are concerned about unauthorized access to their financial records.

I controlli di accesso riguardano esattamente chi può ottenere il tipo di informazioni.

Nei commenti sottostanti la risposta, qualcuno ha suggerito che sarebbe all'interno dell'autenticità e anch'io mi sono appoggiato a quello, ma dopo aver letto quello che dice Wikipedia, l'autenticità è più che altro per dimostrare che ciò che affermi è vero. Il controllo dell'accesso consiste nel determinare che cosa si può fare con tale affermazione. Il controllo di accesso presuppone che le attestazioni siano autentiche.

Se vai alla definizione di riservatezza della triade della CIA, troverai lo stesso approccio dell'esadero di Parker:

In information security, confidentiality "is the property, that information is not made available or disclosed to unauthorized individuals, entities, or processes" (Excerpt ISO27000).

Quindi i controlli di accesso (siano ACL, RBAC o ABAC) appartengono alla riservatezza.

    
risposta data 03.12.2015 - 20:21
fonte
1

I controlli di qualsiasi tipo sono meccanismi di implementazione; l'esadecimale di Parker sono obiettivi o risorse. Implementerai i controlli di accesso per garantire che l'insieme di potenziali azioni che riguardano questi obiettivi siano limitati solo all'insieme di azioni che sono esplicitamente consentite.

I controlli di accesso sono una risposta alla domanda:

  • Che cosa hai fatto per garantire che il sistema continui a proteggere la riservatezza delle informazioni? (Ho implementato i controlli di accesso per garantire che solo le persone del gruppo A abbiano accesso alle informazioni nel gruppo A)
  • Che cosa hai fatto per garantire che il sistema continui a proteggere il possesso? (Ho implementato un cavo di chiusura che lega il sistema a un desktop, solo le persone autorizzate a spostare il sistema hanno una chiave)
  • Che cosa hai fatto per proteggere l'integrità delle informazioni? (I dati nel gruppo A sono protetti da un hash che viene verificato una volta / ora da un meccanismo fuori sede) (Ho eseguito un ampio modello di processo aziendale che identifica le operazioni richieste, tutte le operazioni richieste e solo le operazioni richieste e ho implementato un modello di autorizzazione che corrisponde al modello del processo di business)
  • Che cosa hai fatto per garantire l'autenticità? (Disponiamo di controlli di accesso che impediscono ai processi aziendali di agire su informazioni che non sono state firmate da un agente di certificazione attendibile.)
  • Che cosa hai fatto per proteggere la disponibilità delle informazioni? (Disponiamo di controlli di accesso che limitano la capacità dell'utente di utilizzare il sistema a meno del 10% delle risorse / utenti disponibili.)
  • che cosa hai fatto per assicurarti l'utilità? (Disponiamo di controlli di accesso che vietano all'utente di intraprendere azioni che potrebbero degradare l'utilità del sistema ...)
risposta data 03.12.2015 - 20:39
fonte