diferencia entre necesidad de saber, privilegio mínimo y confidencial

3

Estoy estudiando para CISSP. ¿Es el menor privilegio, necesidad de saber y confidencialidad todo lo mismo?

En mi libro dice que "a veces se hace referencia a la confidencialidad como el principio de privilegios mínimos" y también en el índice que se encuentra entre paréntesis (se debe conocer).

Encontré este sitio que los reclamos deben saber es una extensión del privilegio mínimo enlace

Y encontré esta pregunta de práctica

  

¿Cuál es la diferencia entre el menor privilegio y la necesidad de saber?

y la respuesta dada es

  

Un usuario debe tener una necesidad de saber para acceder a recursos particulares;   se debe implementar el privilegio mínimo para garantizar que solo accede a la   recursos que ella necesita saber.

aunque no sigo el razonamiento.

    
pregunta Celeritas 18.02.2016 - 05:12
fuente

4 respuestas

3

Dependiendo de cómo lo mires, son sombras de lo mismo. La confusión viene cuando los mismos términos se usan para otras cosas, también.

El principio de "privilegio mínimo" establece que uno solo debe tener acceso a lo que necesita y nada más. Extienda esta idea a la "confidencialidad de los datos" y terminará con la "necesidad de saber".

Para decirlo de otra manera, para mantener la confidencialidad de los datos, debe asegurarse de que solo aquellos que necesitan acceso a esos datos tengan acceso, y nadie más. Nuevamente, es una forma de "necesidad de saber" y "privilegio mínimo".

No diría que las 3 ideas son la misma idea, pero para lograr la "confidencialidad", terminas necesitando emplear el "privilegio mínimo" y, por extensión, "debes saberlo".

Por cierto, la cita que tiene está tratando con la aplicación de "privilegio mínimo" como su propia idea, aparte de la "necesidad de saber", que es válida. El privilegio mínimo puede aplicarse al acceso y la capacidad, así como a la confidencialidad de los datos.

    
respondido por el schroeder 18.02.2016 - 06:31
fuente
1

La necesidad de saber significa que el usuario tiene una razón legítima para acceder a algo. Luego se puede implementar el menor privilegio para limitar ese acceso y limitar lo que el usuario puede hacer con ese algo. Por ejemplo, una vez que se determina que un usuario tiene una necesidad comercial de acceder ("necesita saber") los datos del usuario, la pregunta de "privilegio mínimo" es, ¿QUÉ TIPO DE acceso debería tener para esos datos de usuario? ¿Solo lectura? ¿Actualizar? ¿Borrar? Bríndele al usuario la menor cantidad de privilegios que necesite para satisfacer sus necesidades.

    
respondido por el Doug 07.08.2017 - 21:44
fuente
0

Digamos que James Bond tiene una autorización "secreta". Ese es su privilegio. ¿Debería tener "alto secreto"? No. Por diversas razones, aunque es James Bond, tiene el menor privilegio que necesita: no necesita saber cosas "de alto secreto", por lo que su nivel de privilegio (mínimo) se establece en "secreto". / p>

Ahora, supongamos que Bond está luchando contra el mal en Jamaica. Conoce bastante sobre Jamaica debido a su "necesidad de saber". ¿También él conoce información "secreta" sobre Cuba? No. En este momento, no necesita saber eso.

Y por cierto: ¿Su "licencia para matar"? Se trata más de una capacidad y, por lo tanto, más como, por ejemplo, obtener acceso de escritura a un archivo; y, así, más un aspecto de su privilegio en lugar de su "necesidad" de explotarlo en un lugar determinado. De hecho, si James le disparó a alguien en Cuba mientras se encontraba en una misión con respecto a Jamaica, probablemente M estaría muy molesto a menos que James pudiera probar que el asesinato en Cuba fue esencialmente para sus "necesidades" con respecto a su trabajo en Jamaica.

    
respondido por el John 18.03.2017 - 01:30
fuente
0

Casi me atrevería a decir que Least Privilege es un control lógico, mientras que la necesidad de saber es un control administrativo.

    
respondido por el Harry Johnson 22.03.2017 - 18:03
fuente

Lea otras preguntas en las etiquetas