Bezpečnostní profesionálové hodnotí hrozby a zranitelná místa na základě potenciálního dopadu, který mají na důvěrnost, integritu a dostupnost aktiv organizace – jmenovitě jejích dat, aplikací a kritické systémy. Na základě tohoto vyhodnocení implementuje bezpečnostní tým sadu bezpečnostních kontrol ke snížení rizika v jejich prostředí. V další části poskytneme přesné a podrobné vysvětlení těchto principů v kontextu InfoSec a poté se podíváme na aplikace těchto principů v reálném světě.
Důvěrnost údajů
Důvěrnost informací odkazuje na snahu organizace uchovat svá data v tajnosti. V praxi jde o kontrolu přístupu k datům, aby se zabránilo neoprávněnému vyzrazení. Obvykle to zahrnuje zajištění toho, že ke konkrétním aktivům mají přístup pouze ti, kteří mají oprávnění, a že neoprávněným osobám je v přístupu aktivně bráněno. Například pouze oprávnění zaměstnanci mezd by měli mít přístup k databázi mezd zaměstnanců. Kromě toho v rámci skupiny oprávněných uživatelů mohou existovat další přísnější omezení, pokud jde o to, ke kterým informacím mají tito oprávnění uživatelé přístup. Další příklad: je rozumné, aby zákazníci elektronického obchodování očekávali, že osobní údaje, které poskytnou organizaci (jako jsou kreditní karty, kontakty, přeprava nebo jiné osobní údaje), budou chráněny způsobem, který zabrání neoprávněnému přístupu nebo vystavení.
Důvěrnost lze narušit mnoha způsoby, například přímými útoky, jejichž cílem je získat neoprávněný přístup k systémům, aplikacím a databázím za účelem krádeže nebo manipulace s daty. Síťový průzkum a další typy skenů, elektronické odposlechy (prostřednictvím útoku typu man-in-the-middle) a eskalace systémových oprávnění útočníkem jsou jen několika příklady. Důvěrnost však může být také porušena neúmyslně lidskou chybou, nedbalostí nebo nedostatečnými bezpečnostními kontrolami. Jako příklady lze uvést selhání (ze strany uživatelů nebo zabezpečení IT) odpovídající ochrany hesel; sdílení uživatelských účtů; fyzické odposlechy (známé také jako procházení ramen); selhání šifrování dat (v procesu, při přenosu a při uložení); špatné, slabé nebo neexistující ověřovací systémy; a krádež fyzického vybavení a úložných zařízení.
Protiopatření na ochranu důvěrnosti zahrnují klasifikaci a označení dat; silné kontroly přístupu a ověřovací mechanismy; šifrování dat v procesu, přenosu a skladování; steganografie; funkce vzdáleného vymazání; a adekvátní vzdělání a školení pro všechny jednotlivce s přístupem k datům.
Integrita
V každodenním používání se integritou rozumí kvalita něčeho, co je celé nebo úplné. V InfoSecu je integrita o zajištění toho, že s daty nebylo manipulováno, a proto jim lze důvěřovat. Je správný, autentický a spolehlivý. Například zákazníci elektronického obchodu očekávají, že informace o produktu a ceně budou přesné, a že množství, cena, dostupnost a další informace nebudou po zadání objednávky změněny. Bankovní zákazníci musí mít možnost věřit, že jejich bankovní informace a zůstatky na účtech nebyly pozměněny. Zajištění integrity zahrnuje ochranu dat při používání, při přenosu (například při odesílání e-mailu nebo nahrávání nebo stahování souboru) a při jejich ukládání, ať už na notebooku, přenosném úložném zařízení, v datovém centru nebo v cloudu .
Stejně jako v případě důvěrnosti lze integritu narušit přímo prostřednictvím vektoru útoku (například neoprávněnou manipulací se systémy detekce narušení, úpravou konfiguračních souborů nebo změnou systémových protokolů za účelem vyhnutí se detekci) nebo neúmyslně prostřednictvím chyba, nedostatek péče, chyby v kódování nebo nedostatečné zásady, postupy a ochranné mechanismy.
Protiopatření, která chrání integritu dat, zahrnují šifrování, hašování, digitální podpisy, digitální certifikáty Důvěryhodné certifikační autority (CA) vydávají digitální certifikáty organizace k ověření jejich identity uživatelům webových stránek, podobně jako je možné použít pas nebo řidičský průkaz k ověření identity jednotlivce., systémy detekce narušení, auditování, kontrola verzí ol a silné autentizační mechanismy a kontroly přístupu.
Všimněte si, že integrita jde ruku v ruce s konceptem nepopiratelnosti: neschopnost něco popřít. Například pomocí digitálních podpisů v e-mailu nemůže odesílatel odmítnout odeslání zprávy a příjemce nemůže tvrdit, že přijatá zpráva se liší od odeslané zprávy. Nepopiratelnost pomáhá zajistit integritu.
Dostupnost
Systémy, aplikace a data mají pro organizaci a její zákazníky malou hodnotu, pokud nejsou přístupné, když je potřebují oprávnění uživatelé. Jednoduše řečeno, dostupnost znamená, že sítě, systémy a aplikace jsou funkční.Zajišťuje, že oprávnění uživatelé mají včasný a spolehlivý přístup ke zdrojům, když jsou potřební.
Mnoho věcí může ohrozit dostupnost, včetně selhání hardwaru nebo softwaru, výpadku napájení, přírodních katastrof a lidských chyb. Snad nejznámějším útokem, který ohrožuje dostupnost, je útok denial-of-service, při kterém je výkon systému, webu, webové aplikace nebo webové služby úmyslně a nebezpečně snížen, nebo se systém stane úplně nedostupná.
Protiopatření k zajištění dostupnosti zahrnují redundanci (na serverech, sítích, aplikacích a službách), odolnost proti chybám hardwaru (pro servery a úložiště), pravidelné opravy softwaru a aktualizace systému, zálohy, komplexní zotavení po katastrofě plány a řešení ochrany proti odmítnutí služby.
Uplatňování zásad
V závislosti na bezpečnostních cílech organizace, odvětví, povaze podnikání a veškerých příslušných regulačních požadavcích, jeden z těchto tří principů může mít přednost před druhým. Například důvěrnost je nezbytná v některých vládních agenturách (jako jsou zpravodajské služby); integrita má přednost ve finančním sektoru, kde by rozdíl mezi 1,00 USD a 1 000 000,00 USD mohl být katastrofický; a dostupnost je kritická jak v odvětví elektronického obchodu (kde prostoje mohou společnosti stát miliony dolarů), tak ve zdravotnictví (kde by mohl být ztracen lidský život, pokud by kritické systémy nebyly k dispozici).
Klíčový koncept k pochopení o triádě CIA je to, že upřednostňování jednoho nebo více principů může znamenat kompromis ostatních. Například systém, který vyžaduje vysokou důvěrnost a integritu, by mohl obětovat rychlost blesku, kterou by si jiné systémy (například elektronický obchod) mohly více vážit. Tento kompromis nemusí být nutně špatná věc; je to vědomá volba. Každá organizace se musí rozhodnout, jak uplatnit tyto principy vzhledem ke svým jedinečným požadavkům vyváženým s jejich touhou zajistit bezproblémové a bezpečné uživatelské prostředí.
Chcete-li se dozvědět další základní koncepty zabezpečení, přečtěte si část Co jsou ovládací prvky zabezpečení? p>