Sensible Sicherheitsinformationen sollten nur mit Einzelpersonen und Unternehmen geteilt werden, die einen legitimen Bedarf haben, um zu wissen und besitzen die entsprechende
Sicherheitsfreigabe oder
Autorisierung . Dies ist entscheidend für die Aufrechterhaltung der Vertraulichkeit und zur Verhinderung von Verstößen.
Die spezifischen Personen oder Unternehmen variieren je nach Art der Informationen und den Sicherheitsrichtlinien der Organisation. Einige Beispiele können jedoch:
* Personal mit der Notwendigkeit, für ihre beruflichen Aufgaben zu wissen: Dies könnte IT -Sicherheitspersonal, Systemadministratoren, Incidents -Responder, autorisierte Ermittler oder Personal des Risikomanagements umfassen. Ihr Zugang sollte streng auf das beschränkt sein, was für ihre Rollen notwendig ist.
* externe Partner mit einer vertraglichen Verpflichtung: Dies kann dazu führen, dass Drittanbieter Anbieter anbieten, die Sicherheitsdienste anbieten, Prüfer, die Sicherheitsbewertungen durchführen, oder Regierungsbehörden in regulierten Branchen. Diese Beziehungen sollten durch strenge Geheimhaltungsvereinbarungen (NDAs) und Sicherheitsprotokolle bestimmt werden.
* Strafverfolgung oder Regulierungsbehörden: Im Falle eines Sicherheitsvorfalls oder eines gesetzlichen Anforderungens müssen sensible Sicherheitsinformationen möglicherweise an Strafverfolgungs- oder Aufsichtsbehörden weitergegeben werden, um die rechtlichen Verpflichtungen zu erfüllen.
* Bezeichnete interne Teams: Bestimmte interne Teams wie ein Sicherheitsbetriebszentrum (SOC) oder ein SIRT -Reaktionsteam (Security Incident Response Team) erfordern Zugriff auf Adressierungssicherheitsprobleme.
Es ist wichtig zu vermeiden:
* unnötige Freigabe: Das Teilen sensibler Informationen mit Personen, die nicht wissen müssen, schafft ein unnötiges Risiko.
* Teilen über ungesicherte Kanäle: Sensible Informationen sollten nur über sichere Kommunikationskanäle gemeinsam genutzt werden.
* Übermäßig breite Zugangskontrollen: Der Zugang sollte auf strenger Basis "Notwendig" gewährt und regelmäßig überprüft werden.
Organisationen sollten genau definierte Sicherheitsrichtlinien und -verfahren haben, die eindeutig beschreiben, wer auf sensible Sicherheitsinformationen zugreifen kann, wie sie geteilt werden können und welche Schutzmaßnahmen vorhanden sind, um sie zu schützen. Diese Richtlinien sollten den relevanten rechtlichen und regulatorischen Anforderungen entsprechen.