Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.096 Definir privilegios requeridos de usuario

En el presente documento se detallan los requerimientos de seguridad relacionados a la gestión segura en cuanto al control de acceso en una organización. Por lo tanto, se recomienda que los privilegios requeridos para el acceso de usuarios estén bien definidos.

Requisito

Los privilegios requeridos por los usuarios que accederán al sistema deben estar definidos.

Referencias

  1. HIPAA Security Rules 164.312(a)(1): Control de Acceso: Implementar políticas y procedimientos técnicos para sistemas de información electrónica que almacenen información sensible, permitiendo el acceso sólo a personas o programas autorizados, de acuerdo a lo especificado en 164.308(a)(4)

  2. HIPAA Security Rules 164.312(d): Autenticación de Personas o Entidades: Implementar procedimientos para verificar que una persona o entidad que solicita acceso a la información sensible es quien dice ser.

  3. OWASP-ASVS v3.1-4.4 Verificar que el acceso a registros sensibles esté protegido, por ejemplo, que sólo objetos o datos autorizados sean accesibles a cada usuario (por ejemplo, proteger a los usuarios de la manipulación de parámetros para espiar o alterar otra cuenta de usuario)

  4. NIST 800-53 AC-2 (6) El sistema de información implementa el manejo dinámico de privilegios definidos por la organización.

  5. NIST 800-53 AC-2 (7) a La organización establece y administra las cuentas de usuario de acuerdo con un esquema de acceso basado en roles que organice los accesos permitidos al sistema de información y los privilegios en roles.

  6. NIST 800-53 AC-2 (7) b La organización monitorea las asignaciones de roles con privilegio asignadas.

  7. NIST 800-53 AC-2 (7) c La organización toma acciones definidas cuando la asignación de roles con privilegio ya no son apropiadas.


Estado de los servicios - Términos de Uso