AC-14 - Opérations permises sans identification ni authentification (PaF-)
Énoncés :
a. Identifier les [Affectation : opérations de l’utilisatrice ou utilisateur définies par l’organisation] que l’utilisatrice ou utilisateur peut exécuter dans le système sans devoir s’identifier ni s’authentifier, conformément aux fonctions opérationnelles et à la mission de l’organisation
b. Consigner et expliquer dans le plan de sécurité du système la logique sous-jacente qui permet à l’utilisatrice ou utilisateur d’effectuer des opérations qui ne nécessitent ni identification ni authentification
Les actions propres aux utilisatrices et utilisateurs peuvent être autorisées sans identification ni authentification si l’organisation détermine que l’identification et l’authentification ne sont pas requises pour de telles actions. Les organisations peuvent autoriser un nombre limité d’actions sans identification ni authentification, notamment lorsque des personnes accèdent à des sites Web publics ou à d’autres systèmesgouvernementaux accessibles au public, lorsque des personnes utilisent des téléphones mobiles pour recevoir des appels ou à la réception de télécopies. Les organisations identifient les actions nécessitant normalement une identification ou une authentification, mais permettent une dérogation à ces mécanismes dans certaines circonstances. Ces dérogations peuvent s’effectuer, par exemple, au moyen d’un commutateur physique, lisible par logiciel, qui permet de contourner la procédure d’ouverture de session et qui est protégé contre toute utilisation accidentelle ou non surveillée. Autoriser les actions sans identification ni authentification ne s’applique pas aux situations où l’identification et l’authentification ont déjà été effectuées et ne sont pas répétées. Il s’applique plutôt aux situations où les mécanismes d’identification et d’authentification n’ont pas encore eu lieu. Les organisations peuvent décider que les actions de l’utilisatrice ou utilisateur doivent être effectuées dans les systèmes organisationnels uniquement à l’aide de mécanismes d’identification et d’authentification. Par conséquent, la valeur pour les opérations d’attribution peut être « aucun ».