Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Konkrétne jednotlivci alebo subjekty sa budú líšiť v závislosti od povahy informácií a bezpečnostných politík organizácie. Niektoré príklady však môžu obsahovať:
* Personál s potrebou vedieť pre svoje pracovné povinnosti: To by mohlo zahŕňať personál bezpečnosti IT, správcovia systému, respondenti incidentov, autorizovaní vyšetrovatelia alebo personál zapojený do riadenia rizík. Ich prístup by sa mal striktne obmedziť na to, čo je potrebné pre ich úlohy.
* Externí partneri so zmluvnou povinnosťou: To by mohlo zahŕňať predajcov tretích strán, ktorí poskytujú bezpečnostné služby, audítori vykonávajú hodnotenia bezpečnosti alebo vládne agentúry v regulovaných odvetviach. Tieto vzťahy by sa mali riadiť prísnymi dohodami o nezverejnení (NDA) a bezpečnostnými protokolmi.
* ONFERÁCIE PRÁCE ALEBO REGULÁCIA: V prípade bezpečnostného incidentu alebo právnej požiadavky bude možno potrebné zdieľať citlivé bezpečnostné informácie s orgánmi činnými v trestnom konaní alebo regulačnými agentúrami, aby sa dodržiavali právne povinnosti.
* určené interné tímy: Konkrétne interné tímy, ako je bezpečnostné operačné centrum (SOC) alebo tím reakcie na bezpečnostné incidenty (SIRT), by si vyžadovali prístup k riešeniu bezpečnostných problémov.
Je dôležité vyhnúť sa:
* zbytočné zdieľanie: Zdieľanie citlivých informácií s jednotlivcami, ktorí nepotrebujú vedieť, vytvára zbytočné riziko.
* zdieľanie prostredníctvom nezabezpečených kanálov: Citlivé informácie by sa mali zdieľať iba prostredníctvom zabezpečených komunikačných kanálov.
* príliš široké ovládacie prvky prístupu: Prístup by sa mal poskytnúť na prísnom „potrebe poznať“ a pravidelne sa preskúmať.
Organizácie by mali mať dobre definované bezpečnostné politiky a postupy, ktoré jasne naznačujú, kto má prístup k citlivým bezpečnostným informáciám, ako ich možno zdieľať a aké záruky sú zavedené na ich ochranu. Tieto politiky by mali spĺňať príslušné právne a regulačné požiadavky.