5.2.3 Έλεγχος Πρόσβασης (Access Control)
Για να μπορέσει ένας οργανισμός να προστατεύσει τις πληροφορίες του από τυχαίες ή εσκεμμένες αλλοιώσεις εξουσιοδοτημένων και από εσκεμμένες αλλοιώσεις από μη εξουσιοδοτημένα άτομα θα πρέπει να εφαρμόσει Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know στα συστήματα και τους δικτυακούς του πόρους.


Ο έλεγχος πρόσβασης εφαρμόζεται σε τρεις περιπτώσεις:


1. Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know: οι χρήστες έχουν την δυνατότητα πρόσβασης στους πόρους του δικτύου.
Για το λόγο αυτό θα πρέπει να υπάρχουν περιορισμοί (π.χ. ποιος είναι - τι εργασία κάνει στο δίκτυο), να προστατεύονται και να παρακολουθούνται.
Για παράδειγμα, οι χρήστες του Τμήματος Προσωπικού δεν θα πρέπει να έχουν πρόσβαση στο δίκτυο του Οικονομικού Τμήματος ενός οργανισμού.


2. Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know: οι χρήστες χρησιμοποιούν διάφορα συστήματα του δικτύου όπως διακομιστές (servers), εκτυπωτές (printers) αλλά και κάθε άλλο είδος διαμοιραζόμενης συσκευής (shared device) στο δίκτυο. Η πρόσβαση σ’ αυτές τις συσκευές θα πρέπει να περιορίζεται, να προστατεύεται και να παρακολουθείται.


3. Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know: οι χρήστες έχουν πρόσβαση στα δεδομένα του δικτύου. Για παράδειγμα, διαβάζουν και τροποποιούν αρχεία (files) και Βάσεις Δεδομένων (Databases).
Η πρόσβαση στα δεδομένα θα πρέπει να περιορίζεται, να προστατεύεται και να παρακολουθείται.


Ο Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know είναι σημαντικότατος για επιχειρήσεις, κυβερνητικούς οργανισμούς και χρησιμοποιείται για να αποτρέπονται απάτες και λάθη. Για παράδειγμα, εάν τροποποιηθούν στοιχεία μιας τράπεζας ή τα στοιχεία ενός ληξιαρχείου θα δημιουργηθεί πρόβλημα.


Η Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know Δεδομένων θα πρέπει να προστατεύεται, δίνοντας δικαιώματα πρόσβασης σε πόρους με βάση τις αρχές:
Χρειάζεται-Να-Ξέρω (στα αγγλικά: Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know) και Χρειάζεται-Να-Κάνω (στα αγγλικά: Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know).


Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know χρηστών θα πρέπει να χορηγούνται ανάλογα με τον ρόλο τους, τις ευθύνες τους και τις εργασίες που εκτελούν μέσα στον οργανισμό.


Οι πόροι θα πρέπει να κατηγοριοποιούνται σε Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know. Για παράδειγμα ένα έγγραφο μπορεί να χαρακτηριστεί Απόρρητο, Εμπιστευτικό, Δημόσιο.


Θα πρέπει να υπάρχουν Αρχεία Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know (στα αγγλικά: Έλεγχος ΠρόσβασηςΑκεραιότηταΔικτυακή πρόσβασηΚαταγραφής ΣυμβάντωνΠρόσβαση σε συστήματαΠρόσβαση στα δεδομέναΤα δικαιώματαελέγχους πρόσβασηςεπίπεδα ασφαλείαςLog Filesneed-to-doneed-to-know) ώστε σε περίπτωση π.χ. απάτης ή απώλειας, να μπορεί να αναζητηθεί η πηγή (π.χ. Η/Υ ή χρήστης) που την προκάλεσε και να τιμωρηθεί ο ένοχος.
Θα πρέπει λοιπόν να χορηγούνται δικαιώματα με σύνεση για να διασφαλιστεί η προστασία των δεδομένων.