«  
  »

Controle de acesso – tipos e serviços associados

Uma das 10 áreas importantes que são cobertas no CISSP é o controle de acesso (access control).

Este é a capacidade de permitir ou negar o uso de um objeto (uma entidade passiva tal como um sistema ou arquivo) a um solicitante (uma entidade ativa como uma pessoa ou um processo). O uso é normalmente definido através de regras : escrita, leitura, execução, listagem, modificação e deleção.

Tipos de controle

Os controles podem ser preventivos (redução de riscos), detectivos (identificam violações e incidentes), corretivos (que amenizam as violações e incidentes e melhoram os controles preventivos e detectivos), de dissuação (que desencorajam violações), de recuperação (que restauram sistemas e informações e de compensação (controles alternativos)

Os controles de acesso podem ser :

  1. administrativos
  2. técnicos
  3. físicos

* Controles administrativos

Incluem as políticas e procedimentos que uma organização implementa como parte de sua estratégia de segurança. Os controles administrativos asseguram que os controles técnicos e físicos são entendidos e corretamente implementados de acordo com a política de segurança da organização

Eles incluem:

  • Políticas e procedimentos
  • Treinamento de sensibilização de segurança
  • Classificação e controle de bens
  • Políticas e práticas de contratação
  • Administração de contas
  • Monitoramento de contas, logs e eventos (journal)
  • Revisão de registros de auditoria

* Controles técnicos

Utilizam hardware e software para implementar o controle de acesso

Preventivos

  • Criptografia
  • Mecanismos de controle de acesso (biometrica, smartcard etc)
  • Listas de controle de acesso
  • Protocolos de autenticação remota (PAP, CHAP, RADIUS, LDAP)

Detectivos

  • Reports de violação
  • Logs de auditoria
  • Monitoramento de rede e detecção de intrusão (IDS)

* Controles Físicos

Garantem a proteção e segurança do ambiente físico.

Preventivo

  • Controles de aquecimento, ventilação e ar condicionado (HVAC)
  • Perímetros de segurança (muros, grades, portas trancadas)
  • Guardas e cachorros

Detectivos

  • Sensores de movimentos
  • Câmeras
  • Sensores ambientais (detectar fumaça, calor, fogo)

Uma característica relevante quando se trata de controle de acesso é como ele se comporta quando falha. Quando um controle de acesso falha e restringe o acesso ele é chamado de fail closed. Quando um controle de acesso falha e permite o acesso ele é considerado fail open.

Serviços

Os sistemas de controle de acesso proveêm três serviços essenciais :

  1. Autenticação
  2. Autorização
  3. Responsabilização

Autenticação

Composto de duas etapas : identificação e autenticação determina quem pode efetuar o login.

Autorização

Define os direitos e permissões do usuário ou processo. Se dá após a autenticação e define o que o usuário pode fazer com um sistema ou recurso.

Resposibilização (Accountability)

É a capacidade de associar as ações com o usuário que as executou. Define o que o usuário fez.

Associado a responsibilização um sistema deve ser capaz de impedir a repudiação, ou seja um usuário não pode negar uma ação realizada pelo mesmo.

No próximo blog abordaremos as categorias de controle de acesso.

August 1st, 2009 | Tags: , , | Category: Segurança

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Powered by WP Hashcash