ANEXO II Medidas de seguridad\4 Marco operacional [op]4 Marco operacional [op]\4.2 Control de acceso [op.acc]

4.2 Control de acceso [op.acc]

El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para realizar una determinada acción.

 

El control de acceso que se implante en un sistema real será un punto de equilibrio entre la comodidad de uso y la protección de la información. En sistemas de nivel Bajo, se primará la comodidad, mientras que en sistemas de nivel Alto se primará la protección.

 

 En todo control de acceso se requerirá lo siguiente:

a)      Que todo acceso esté prohibido, salvo concesión expresa.

b)      Que la entidad quede identificada singularmente [op.acc.1].

c)      Que la utilización de los recursos esté protegida [op.acc.2].

d)      Que se definan para cada entidad los siguientes parámetros: a qué se necesita acceder, con qué derechos y bajo qué autorización [op.acc.4].

e)      Serán diferentes las personas que autorizan, usan y controlan el uso [op.acc.3].

f)       Que la identidad de la entidad quede suficientemente autenticada [op.acc.5].

g)      Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]).

 

Con el cumplimiento de todas las medidas indicadas se garantizará que nadie accederá a recursos sin autorización. Además, quedará registrado el uso del sistema ([op.exp.8]) para poder detectar y reaccionar a cualquier fallo accidental o deliberado.

 

Cuando se interconecten sistemas en los que la identificación, autenticación y autorización tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en los casos en que sea necesario, las medidas de seguridad locales se acompañarán de los correspondientes acuerdos de colaboración que delimiten mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema ([op.ext]).

 

principio