Need-to-know-Prinzip

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Das Need-to-know-Prinzip (Kenntnis nur bei Bedarf) beschreibt ein Sicherheitsziel für geheime Informationen. Auch wenn eine Person grundsätzlich Zugriff auf Daten oder Informationen dieser Sicherheitsebene hat, verbietet das Need-to-know-Prinzip den Zugriff, wenn die Informationen nicht unmittelbar für die Erfüllung einer konkreten Aufgabe von dieser Person benötigt werden.[1] Das Prinzip ist unter anderem eines der grundlegenden Konzepte für die interne Arbeitsweise von Geheimdiensten.

In der Informationstechnologie findet das Need-to-know-Prinzip im Discretionary Access Control-Modell Anwendung. Das Mandatory Access Control-Modell hingegen verwendet für die Zugriffskontrolle zusätzlich generelle Gruppen-Freigaben.[2]

Quellen[Bearbeiten]

  1. Peter Trommler: The Application Profile Model. vdf, Zürich 2000, ISBN 3-7281-2739-6.
  2. Mike Meyers, Shon Harris: CISSP. (Certified Information Systems Security Professional. Das Zertifikat für IT-Sicherheit – die optimale Prüfungsvorbereitung). 2. überarbeitete Auflage. mitp, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 78.

Siehe auch[Bearbeiten]