AC-03(07) - Contrôle d’accès basé sur les rôles (PaF-)
Énoncés :
Appliquer une stratégie de contrôle d’accès basé sur les rôles à des sujets et objets définis, et il contrôle l’accès en fonction des [Affectation : rôles et du personnel autorisé à assumer ces rôles définis par l’organisation].
Paramètres :Le contrôle d’accès basé sur les rôles (RBAC pour Role-Based Access Control) est une stratégie de contrôle d’accès qui applique l’accès à des objets et à des fonctions de système en se basant sur le rôle défini (par exemple, les fonctions) du sujet. Les organisations peuvent créer des rôles précis selon les fonctions du poste et les autorisations (c’est-à-dire les droits d’accès) nécessaires en vue d’exécuter les opérations requises sur les systèmes associés aux rôles définis par l’organisation. Lorsque des rôles particuliers sont attribués aux utilisatrices et utilisateurs, ceux-ci héritent des autorisations ou des privilèges définis pour ces rôles. Le RBAC simplifie l’administration des droits d’accès des organisations puisque les droits d’accès ne sont pas attribués directement à chaque utilisatrice ou utilisateur (ce qui peut représenter beaucoup d’utilisatrices et utilisateurs), mais plutôt à des rôles. Le RBAC peut également accroître les risques liés à la protection de la vie privée et à la sécurité si des personnes à qui un rôle a été attribué obtiennent l’accès à de l’information qui excède ce dont elles ont besoin pour appuyer les fonctions liées à la mission et aux activités de l’organisation. Le RBAC peut être mis en oeuvre de façon discrétionnaire ou non. Pour les organisations mettant en oeuvre le RBAC avec des contrôles d’accès non discrétionnaire, les exigences du contrôle AC-03(03) définissent la portée des sujets et des objets couverts par la stratégie.