-
Segundo a referida norma ABNT NBR ISO/IEC 27002:2013 (com adaptações):
Que cuidados devem ser tomados na definição das regras de controle de acesso?
- diferenciar regras que sempre devem ser cumpridas das regras opcionais ou condicionais;
- estabelecer regras baseadas na premissa “Tudo deve ser proibido a menos que expressamente permitido” ao invés da regra “Tudo é permitido a menos que expressamente proibido”.
- diferenciar as permissões de usuários que são atribuídas automaticamente Tribunal de Contas da União;
- priorizar regras que necessitam da aprovação de um administrador antes da liberação daquelas que não necessitam de tal aprovação.
Gab certo
Fonte: http://www4.planalto.gov.br/cgd/assuntos/publicacoes/2511466.pdf
-
Conhecido também como princípio do privilégio mínimo.
-
Posso me basear no princípio da legalidade ?
-
9.1.1 Política de controle de acesso
Controle: Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.
Diretrizes para implementação:
.....
Informações adicionais
Convém que sejam tomados cuidados na especificação de regras de controle de acesso quando se considerar o seguinte:
a) estabelecer regra baseada na premissa de que “Tudo é proibido a menos que expressamente permitido" em lugar da regra mais fraca que "Tudo é permitido, a menos que expressamente proibido";
Fonte: Norma ISO 27002 de 2013
-
correto
é como uma lista de aniversário, lista branca: "quem não esta na lista de convidados, não entra" ou "tudo é proibido, a menos que seja expressamente permitido."
-
Um exemplo seria o firewall restritivo. Ele bloqueia todas as transmissões de dados que não sejam expressamente permitidas.
-
Em português claro: Bloqueia tudo, libera só o que for necessário.