Maak gebruik van de concepten 'need to know', 'least privilege' en scheiding van taken in uw beleid en uw businessprocessen

Need to know, Least Privilege and Segregation of duties

De uitdrukking 'need to know' beschrijft het principe dat de toegang tot een informatie/systeem die/dat als gevoelig beschouwd wordt, strikt beperkt wordt tot die personen die hem nodig hebben. De toegang kan eventueel zelfs beperkt zijn in de tijd.

Het 'need to know'-principe legt vast wie toegang krijgt tot een bepaald type van informatie. De toegang kan daarbij enkel worden gegeven wanneer de persoon de specifieke behoefte heeft (door zijn functie, rol, verantwoordelijkheid) om de informatie te kennen.

 

Need to know

De uitdrukking 'need-to-know' beschrijft het beperken van de toegang tot informatie of een systeem dat als gevoelig wordt beschouwd voor degenen die dergelijke toegang nodig hebben, mogelijk slechts voor een beperkte periode. De eigenaar moet evalueren wie een specifieke behoefte heeft om te lezen of te wijzigen, en voor hoe lang deze toegang nodig is.

Least Privilege

Het principe van de minste rechten is het idee dat elke gebruiker, programma of service alleen de absolute minimumrechten moet hebben die nodig zijn om zijn functie uit te voeren. Een gebruikersaccount die is gemaakt om records uit een database te halen, heeft bijvoorbeeld geen toegang nodig tot gedeelde bestanden.

Segregation of duties

Functiescheiding dient twee hoofddoelen: het zorgt ervoor dat er toezicht en herziening is om fouten op te vangen. Het helpt om fraude of diefstal te voorkomen, omdat twee personen moeten samenspannen om een ​​transactie te verbergen.