¿Dónde encajan los controles de acceso en el hexadecimal de Parker?

Navega tus respuestas
3

Los elementos de seguridad del Parkerian Hexad son: 

Confidentiality
Possession or Control
Integrity
Authenticity
Availability
Utility

¿Dónde encajan los controles de acceso (obligatorio, discrecional y ACL)?

    
pregunta Whome 02.12.2015 - 16:25
fuente

2 respuestas

1

Mirando hacia atrás en la página de wikipedia a la que está vinculado, puedo ver que el control de acceso cae en la primera viñeta, confidencialidad .

Cotizando Wikipedia

  

La confidencialidad se refiere a los límites sobre quién puede obtener qué tipo de información. Por ejemplo, ejecutivos preocupados por proteger los planes estratégicos de su empresa de los competidores; las personas están preocupadas por el acceso no autorizado a sus registros financieros.

Los controles de acceso son exactamente sobre quién puede obtener qué tipo de información.

En los comentarios debajo de la respuesta, alguien sugirió que estaría dentro de la autenticidad y yo también me incliné hacia eso, pero después de leer lo que dice Wikipedia, la autenticidad se trata más de demostrar que lo que dices es cierto. El control de acceso se trata de determinar qué es lo que puede hacer con esa reclamación. El control de acceso asume que las reclamaciones son auténticas.

Si va a la definición de confidencialidad de la tríada de la CIA, encontrará el mismo enfoque que en la hexad Parkeriana:

  

En seguridad de la información, la confidencialidad "es la propiedad, esa información no se pone a disposición o se divulga a personas, entidades o procesos no autorizados" (Extracto ISO27000).

Por lo tanto, los controles de acceso (ya sea ACL, RBAC o ABAC) pertenecen a la confidencialidad.

    
respondido por el David Brossard 03.12.2015 - 20:21
fuente
1

Los controles de cualquier tipo son mecanismos de implementación; El Hexad Parkeriano son objetivos o activos. Debería implementar controles de acceso para garantizar que el conjunto de acciones potenciales que afectan estos objetivos se limite solo al conjunto de acciones que están explícitamente permitidas.

Los controles de acceso son una respuesta a la pregunta:

  • ¿Qué ha hecho para garantizar que el sistema continúe protegiendo la confidencialidad de la información? (He implementado controles de acceso para garantizar que solo las personas del grupo A tengan acceso a la información del grupo A)
  • ¿Qué has hecho para asegurarte de que el sistema continúe protegiendo la posesión? (He implementado un cable de bloqueo que ata el sistema a una computadora de escritorio; solo las personas autorizadas para mover el sistema tienen una clave)
  • ¿Qué has hecho para proteger la integridad de la información? (Los datos en el grupo A están protegidos por un hash que se verifica una vez por hora mediante un mecanismo externo) (He ejecutado un modelo de proceso de negocios extenso que identifica las operaciones requeridas, todas las operaciones requeridas y solo las operaciones requeridas y he implementado un modelo de permiso que coincida con el modelo de proceso de negocio)
  • ¿Qué has hecho para garantizar la autenticidad? (Tenemos controles de acceso que impiden que los procesos comerciales actúen sobre información que no ha sido firmada por un agente de certificación confiable).
  • ¿Qué has hecho para proteger la disponibilidad de la información? (Tenemos controles de acceso que limitan la capacidad del usuario para usar el sistema a menos del 10% de los recursos / usuario disponibles).
  • ¿Qué has hecho para asegurar la utilidad? (Tenemos controles de acceso que prohíben al usuario tomar acciones que puedan degradar la utilidad del sistema ...)
respondido por el Mark C. Wallace 03.12.2015 - 20:39
fuente

Lea otras preguntas en las etiquetas

donde se almacena la sal para "crypto_pwhash" en una aplicación web sin almacenamiento local Detectar botnets que usan HTTP en lugar de IRC