Три слона информационной безопасности — это конфиденциальность, целостность и доступность, которые называются триадой CIA (Confidentiality, Integrity, Availability)
Триада CIA — это модель, с помощью которой можно решать и обсуждать концепции безопасности. Иногда она записывается как CAI или выражается в виде противоположных понятий: раскрытие, изменение и отрицание (DAD — Disclosure, Alteration, Denial).
Конфиденциальность
Конфиденциальность — это способность защитить данные от тех, кто не имеет прав доступа к ним. Можно обеспечить конфиденциальность на разных уровнях процесса.
Например, представьте, что человек снимает деньги в банкомате. Скорее всего, он захочет сохранить в тайне ПИН-код, который позволяет ему снимать средства.
Кроме того, владелец банкомата будет сохранять конфиденциальность номера счета, баланса счета и любой другой информации, которая передается банку, из
которого выводятся средства. Банк также будет сохранять конфиденциальность транзакции с банкоматом и изменения баланса на счете после снятия средств.
Конфиденциальность может быть нарушена несколькими способами. Например, вы можете потерять ноутбук с данными. Когда вы вводите пароль, другой
человек сможет его подсмотреть. Вы можете отправить файл по электронной почте не тому человеку, или в вашу систему может проникнуть злоумышленник.
Целостность
Целостность — это способность предотвратить несанкционированное или нежелательное изменение ваших данных другими лицами. Чтобы сохранить целостность, нужны не только средства предотвращения несанкционированных изменений ваших данных, но и возможность откатить такие изменения.
Хороший пример механизма, позволяющего контролировать целостность, реализован в файловых системах многих современных операционных систем, таких как Windows и Linux. В целях предотвращения несанкционированных изменений в этих системах введены разрешения, ограничивающие действия, которые неавторизованный пользователь может выполнять с данным файлом.
Например, владелец файла может иметь разрешение на чтение и запись в него, а другие могут иметь только разрешение на чтение или вообще не иметь доступа к файлу. Кроме того, некоторые системы и многие приложения, такие как базы данных, позволяют отменить или откатить нежелательные изменения.
Целостность особенно важна, когда речь идет о данных, которые служат основой для принятия других решений. Если злоумышленник изменит данные результатов медицинских тестов, врач может назначить неправильное лечение, которое навредит пациенту.
Доступность
Последний слон триады CIA — доступность. Доступность — это возможность доступа к нашим данным, когда они нам нужны. Вы можете потерять доступность из-за потери питания, проблем с ОС или приложением, сетевых атак или компрометации системы. Когда внешняя сторона, например злоумышленник, вызывает такие проблемы, мы обычно называем это DoS-атакой (denial-ofservice, DoS — отказ обслуживания).
Как триада CIA связана с безопасностью?
Зная элементы триады CIA, мы можем начать обсуждение вопросов безопасности более подробно, чем без них. Рассмотрим поставку резервных лент, на которых вы сохранили единственную существующую и незашифрованную копию некоторых конфиденциальных данных.
Если вы потеряете груз в пути, у вас возникнут проблемы с безопасностью.
Вероятно, это связано с нарушением конфиденциальности, поскольку файлы не были зашифрованы. Отсутствие шифрования также может вызвать проблемы с целостностью. Если вы восстановите ленты в будущем, вам может быть не сразу очевидно, изменил ли злоумышленник незашифрованные файлы, поскольку у вас не будет способа отличить измененные данные от неизмененных. Что касается доступности, у вас возникнет проблема, если ленты не будут восстановлены, поскольку у вас нет резервных копий файлов.
ᅠ