kategorie i typy kontroli dostępu

Kategorie i typy kontroli dostępu

W poprzednich dwóch wpisach zdefiniowaliśmy sobie czym jest kontrola dostępu i jak przebiega zarządzanie uprawnieniami. W dzisiejszym wpisie opowiem natomiast o kategoriach i typach kontroli dostępu. Kontrola dostępu nie jest bowiem procesem ograniczającym się do zdefiniowania i egzekwowania uprawnień. Poszczególne kategorie mechanizmów kontrolnych mają swoje zastosowanie na kolejnych etapach przed, w trakcie oraz po wykryciu incydentu bezpieczeństwa.

Fazy stosowania mechanizmów kontrolnych

Osadzając proces kontroli dostępu na osi czasu rozróżnić możemy następujące fazy:

  • Planowanie
  • Ustanowienie ochrony
  • Wystąpienie incydentu
  • Wykrycie i reakcja na incydent
  • Dostosowanie i przegrupowanie

Kategorie kontroli dostępu

W poszczególnych wymienionych powyżej fazach swoje zastosowanie mają od jednej do dwóch z następujących kategorii mechanizmów kontrolnych:

  1. Directive controls: mechanizmy zarządcze, czasem też nazywane administracyjnymi. Polegają na zdefiniowaniu akceptowalnych reguł zachowań w danej organizacji. Obejmują m.in. politykę bezpieczeństwa oraz procedury zdefiniowane nie tylko dla pracowników, ale również gości, kontrahentów, dostawców itd.
  2. Deterrent controls: mechanizmy zniechęcające, mające na celu odstraszyć i zapobiec łamaniu ustalonych reguł. Polegają na prawidłowym zakomunikowaniu ewentualnym intruzom, że w organizacji występują ścisłe reguły podlegające ciągłemu monitorowaniu i egzekwowaniu w przypadku ich naruszenia.
  3. Preventive controls: mechanizmy prewencyjne mające na celu uniemożliwienie naruszenia dostępu. Tutaj zastosowanie mają m.in. rozwiązania techniczne polegające na uwierzytelnianiu i autoryzowaniu do wykonywania określonych działań.
  4. Compensating controls: mechanizmy wyrównujące bądź kompensujące brak możliwości zastosowania reguł przewidzianych w polityce bezpieczeństwa. Mają charakter tymczasowy, służący obniżeniu ryzyka związanego z występującym brakiem. Przykładowo: jeśli polityka bezpieczeństwa narzuca konieczność stosowania uwierzytelniania dwuskładnikowego, a nasz system go nie wspiera, mechanizmem kompensującym może być dołożenie dodatkowej warstwy dostępowej, np. VPN.
  5. Detective controls: mechanizmy mające na celu monitorowanie i wykrycie sytuacji naruszenia dostępu bądź złamania obowiązujących reguł. Odpowiadają za prawidłową identyfikację i zgłoszenie incydentu bezpieczeństwa.
  6. Corrective controls: mechanizmy naprawcze, mające na celu załagodzenie skutków incydentu, przywrócenie kontroli oraz przywrócenie środowiska do stanu bezpiecznego. Istotny element stanowi wśród nich prawidłowa obsługa incydentu bezpieczeństwa.
  7. Recovery controls: mechanizmy mające na celu przywrócenie środowiska do normalnej pracy i zakończenie obsługi incydentu.

Typy kontroli dostępu

Kolejnym podziałem, który odnosi się do mechanizmów kontrolnych są typy kontroli dostępu. Rozróżniamy trzy podstawowe:

  1. Administrative controls. Kontrola administracyjna lub zarządcza. Zawiera w sobie następujące grupy:
    • Polityki i procedury (np. zarządzanie podatnościami i aktualizacjami, zarządzanie czasem życia produktu, zarządzanie zasobami sieciowymi itd.), plany ciągłości działania (BCP/DRP)
    • Bezpieczeństwo personelu, w tym ocena i weryfikacja personelu
    • Polityki bezpieczeństwa
    • Monitoring, w tym przegląd i zarządzanie logami
    • Zarządzanie dostępem użytkowników, w tym zarządzanie identyfikatorami i hasłami użytkowników
    • Zarządzanie uprawnieniami
  1. Logical (technical) Controls. Kontrola polegająca na egzekwowaniu reguł logicznych z użyciem rozwiązań technicznych. Obejmuje następujące grupy:
    • Dostęp na poziomie sieci (ACL, Radius, VLANS, Proxy)
    • Dostęp zdalny (VPN)
    • Dostęp na poziomie systemu (również dostęp na poziomie plikowym)
    • Dostęp na poziomie aplikacyjnym
    • Kontrola malware-u (AV, IPS, antyspam)
    • Kryptografia
  1. Physical Controls. Kontrola fizyczna nazywana też czasem operacyjną. Obejmuje strefy dostępu fizycznego.

„Bezpieczna Pigułka” to codzienna, mała dawka wiedzy z zakresu cyberbezpieczeństwa. Wszystkie teksty z tej kategorii znajdziesz TUTAJ.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.