Esta seção contém um conjunto de requisitos para serviços de segurança: cópias de segurança, controle de acesso (tanto baseado em papéis de usuário como em grupos de usuários), classes de sigilo, trilhas de auditoria de sistemas, criptografia para sigilo, assinatura digital e marcas d’água digitais.
Os requisitos de identificação, autenticação de usuário e trilhas de auditoria devem integrar qualquer SIGAD. Políticas de segurança específicas poderão definir o rigor, maior ou menor, do tratamento dos demais requisitos.
No que diz respeito ao controle de acesso, esta especificação contempla três tipos de requisitos:
• De controle de acesso baseado em papéis de usuário. Exemplo
• De controle de acesso por grupos. Exemplo
• De classificação quanto ao grau de sigilo. Exemplo
Os três tipos de controle de acesso podem ser combinados e os requisitos de administração de controle de acesso devem ser adaptados a cada tipo mencionado antes ou a uma combinação deles, de acordo com a legislação vigente.