Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Хэрэглэгчийн эрхүүдийг хянах, хязгаарлах арга хэмжээ авч байгаа юу?

Хэрэглэгчийн эрх (permissions) гэдэг нь тухайн хэрэглэгч системд ямар үйлдэл хийх, юунд хандах, ямар мэдээллийг засах эсвэл унших боломжтойг тодорхойлдог хяналтын механизм юм. Эдгээр эрхийг зөвхөн үүрэгт нь тохирсон байдлаар олгох ёстой. Түүнчлэн эрх олгосны дараа тогтмол хянах, сэргээх, устгах, хязгаарлах үйл явц үргэлж хэрэгтэй.

Яагаад чухал вэ?
    Зөвшөөрөлгүй эрх олгосноор:
  1. Хэрэглэгч шаардлагагүй модулиудад хандах,
  2. Хэрэглэгч мэдээлэл устгах/өөрчлөх,
  3. Дотоод халдлага, мэдээлэл алдагдах эрсдэл үүснэ.
    4. Ажилтан ажлаас гарсан ч эрх нь хадгалагдсаар байвал хожим хөндлөн халдлага хийх боломж бүрдэнэ. ISO 27001 болон NIST зэрэг стандартуудад энэ хяналтыг заавал хэрэгжүүлэхийг зөвлөдөг.
Шалгах зүйлс
    Хэрэглэгч бүрт олгосон эрх бүртгэлтэй юу?
  • Жишээ нь: role_permissions хүснэгт байна уу?
    • Тухайн эрх зөвхөн шаардлагатай хугацаанд хүчинтэй юу?
  • Түр эрх (temporary access) хугацаагаа дуусгаад автоматаар цуцлагдаж байна уу?
    • Ажилтан ажлаас гарахад эрхүүд шууд хязгаарлагдаж байна уу?
  • Автомат устгал эсвэл хандалт түгжих систем байна уу?
    • Эрхийн өөрчлөлт бүр log бүртгэлтэй юу?
  • Хэн, хэзээ, ямар эрх өөрчилсөн нь хадгалагдаж байна уу?
    • Хэрэглэгч хандсан хуудас бүр шалгалттай юу?
  • Controller болон view түвшинд permission шалгаж байна уу?
    • Админ хэрэглэгчид бусдын эрхийг хязгаарлаж чадах уу?
  • Үүрэг дээр үндэслэн бусдын хандах хүрээг багасгаж чадаж байна уу?
    • Илүүдэл эрхтэй хэрэглэгч байгааг тогтмол шалгаж байна уу?
  • Audit хийж, илүүдэл permission-ийг цэвэрлэдэг эсэх?
Жишээ
roles, permissions, role_permissions хүснэгтийн бүтэц: roles ├─ id ├─ name permissions
├─ id
├─ key
├─ description

role_permissions
├─ role_id
├─ permission_id