Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Хэрэглэгчийн эрхийг зөв тодорхойлсон уу?

Хэрэглэгч бүрийн систем дэх эрх, үүрэг, хандах хязгаарлалт тодорхой байх ёстой. Энэ нь role-based access control (RBAC) буюу хэрэглэгчийн үүрэгт суурилсан хандалтын хяналтын зарчим юм. Зөв тодорхойлоогүй эрх нь хэрэглэгчдэд илүү эрх олгож, шаардлагагүй мэдээлэлд хандах, засварлах, устгах эрсдэлийг нэмэгдүүлдэг.

Яагаад чухал вэ?
    Эрх бүхий хэрэглэгч системд хяналтгүй хандвал:
  1. Мэдээлэл алдагдах, эвдрэх,
  2. Баталгаагүй өөрчлөлт хийх,
  3. Системийн бүрэн бүтэн байдал алдагдах аюултай.
    4. ISMS (Information Security Management System) болон ISO 27001 стандартуудад access control-ийн шаардлага заавал байдаг.
Шалгах зүйлс
    Үүрэг (role)-үүд тодорхойлолттой юу?
  • Жишээ нь: админ, хэрэглэгч, хянагч, зочин гэх мэт үүргүүд тус тусдаа тодорхой эрхтэй юу?
    • Хэрэглэгч бүрт зөв үүрэг оноосон уу?
  • Андуурч админ эрх өгсөн хэрэглэгч байгаа юу?
    • Хэрэглэгчийн эрхийг төвлөрсөн байдлаар удирддаг уу?
  • users_role, permissions гэх мэт хүснэгттэй эсэх.
    • Хэрэглэгч бүр зөвхөн өөрт хамааралтай модулиуд руу ханддаг уу?
  • Жишээ: Санхүүгийн модульд зөвхөн нягтлан ханддаг уу?
    • Админ эрх зөвхөн тодорхой хэдхэн хүнд олгогдсон уу? Устгагдсан, идэвхгүй хэрэглэгч системд хандах боломжгүй юу? Хэрэглэгчийн эрхийн аудит бүртгэл байдаг уу?
  • Ямар хэрэглэгч хэзээ ямар эрх авсан гэх мэт.
Жишээ
users
├─ id
├─ name
├─ role_id

roles
├─ id
├─ name (admin, moderator, user)

role_permissions
├─ role_id
├─ permission_id