Turvallisuusammattilaiset arvioivat uhkia ja haavoittuvuuksia niiden mahdollisten vaikutusten perusteella organisaation omaisuuden – nimittäin sen tietojen, sovellusten ja muiden tietojen – luottamuksellisuuteen, eheyteen ja saatavuuteen. kriittiset järjestelmät. Tämän arvioinnin perusteella tietoturvaryhmä toteuttaa joukon turvatarkastuksia vähentääkseen riskejä ympäristössään. Seuraavassa osassa annamme tarkat ja yksityiskohtaiset selitykset näistä periaatteista InfoSecin yhteydessä ja tarkastelemme sitten näiden periaatteiden tosiasiallisia sovelluksia.
Luottamuksellisuus
Luottamuksellisuus viittaa organisaation pyrkimyksiin pitää tietonsa salassa tai salassa. Käytännössä kyse on tietojen käytön valvonnasta luvattoman paljastumisen estämiseksi. Tyypillisesti tähän sisältyy sen varmistaminen, että vain valtuutetuilla on pääsy tiettyihin varoihin ja että luvattomia estetään aktiivisesti pääsystä. Esimerkiksi vain valtuutetuilla palkanlaskijoilla tulisi olla pääsy työntekijöiden palkkatietokantaan. Lisäksi valtuutettujen käyttäjien ryhmässä voi olla tiukempia lisärajoituksia sille, mihin tietoihin kyseisten valtuutettujen käyttäjien on pääsy. Toinen esimerkki: verkkokaupan asiakkaiden on kohtuullista olettaa, että organisaatioon toimittamansa henkilökohtaiset tiedot (kuten luottokortti, yhteystiedot, toimitus tai muut henkilökohtaiset tiedot) suojataan tavalla, joka estää luvattoman pääsyn tai altistumisen.
Luottamuksellisuutta voidaan loukata monin tavoin, esimerkiksi suorilla hyökkäyksillä, joiden tarkoituksena on saada luvaton pääsy järjestelmiin, sovelluksiin ja tietokantoihin tietojen varastamiseksi tai peukaloimiseksi. Verkkotiedustelu ja muun tyyppiset tarkistukset, elektroninen salakuuntelu (man-in-the-middle-hyökkäyksen kautta) ja hyökkääjän esittämät järjestelmäoikeudet ovat vain muutamia esimerkkejä. Luottamuksellisuutta voidaan kuitenkin tahattomasti loukata myös inhimillisten erehdysten, huolimattomuuden tai puutteellisten turvatarkastusten avulla. Esimerkkejä ovat salasanojen riittävän suojaamisen epäonnistuminen (käyttäjien tai tietoturvan vuoksi); käyttäjätilien jakaminen; fyysinen salakuuntelu (tunnetaan myös nimellä olkapään surffaus); tietojen salauksen epäonnistuminen (prosessissa, siirrettäessä ja tallennettaessa); heikot, heikot tai olemattomat todennusjärjestelmät; fyysisten laitteiden ja tallennuslaitteiden varkaudet.
Luottamuksellisuuden suojaamiseen tähtääviä toimenpiteitä ovat tietojen luokittelu ja merkinnät; vahva pääsynvalvonta ja todennusmekanismit; tietojen salaus prosessissa, siirrettäessä ja tallennettaessa; steganografia; etäpyyhintäominaisuudet; ja riittävä koulutus kaikille henkilöille, joilla on pääsy tietoihin.
Eheys
Päivittäisessä käytössä rehellisyys viittaa siihen, että jokin on kokonainen tai täydellinen. InfoSecissä eheys tarkoittaa sitä, että tietoja ei ole peukaloitu ja että siksi niihin voidaan luottaa. Se on oikea, aito ja luotettava. Esimerkiksi verkkokaupan asiakkaat odottavat tuote- ja hintatietojen olevan tarkkoja, eikä määrää, hinnoittelua, saatavuutta ja muita tietoja muuteta tilauksen tekemisen jälkeen. Pankki-asiakkaiden on voitava luottaa siihen, että heidän pankkitietojaan ja tilisaldojaan ei ole muutettu. Eheyden varmistaminen edellyttää tietojen suojaamista käytössä, siirrettäessä (kuten sähköpostin lähettämisen tai tiedoston lataamisen tai lataamisen yhteydessä) ja kun se on tallennettu joko kannettavaan tietokoneeseen, kannettavaan tallennuslaitteeseen, datakeskukseen tai pilveen
virheet, hoidon puute, koodausvirheet tai puutteelliset käytännöt, menettelyt ja suojamekanismit.
Tietojen eheyttä suojaavia vastatoimia ovat salaus, hajautus, digitaaliset allekirjoitukset, digitaaliset varmenteet Luotetut varmentajat myöntävät digitaalisia varmenteita organisaatiot todentamaan henkilöllisyytensä verkkosivuston käyttäjille, samalla tavalla kuin passiä tai ajokorttia voidaan käyttää yksilön henkilöllisyyden todentamiseen, tunkeutumisen havaitsemisjärjestelmät, auditointi, versionhallinta ja vahvat todennusmekanismit ja pääsynvalvonta.
Huomaa, että eheys kulkee käsi kädessä kieltäytymisen käsitteen kanssa: kyvyttömyys kieltää jotain. Lähettäjän ei voida kieltää lähettäneensä viestiä esimerkiksi käyttämällä digitaalisia allekirjoituksia sähköpostissa, eikä vastaanottaja voi väittää, että vastaanotettu viesti oli erilainen kuin lähetetty. Kieltäytymättömyys auttaa eheyden varmistamisessa.
Saatavuus
Järjestelmillä, sovelluksilla ja tiedoilla on vain vähän arvoa organisaatiolle ja sen asiakkaille, elleivät ne ole käytettävissä, kun valtuutetut käyttäjät tarvitsevat niitä. Yksinkertaisesti saatavuus tarkoittaa, että verkot, järjestelmät ja sovellukset ovat käynnissä.Se varmistaa, että valtuutetuilla käyttäjillä on oikea-aikainen ja luotettava pääsy resursseihin tarvittaessa.
Monet asiat voivat vaarantaa saatavuuden, mukaan lukien laitteisto- tai ohjelmistohäiriöt, virtakatkot, luonnonkatastrofit ja inhimilliset virheet. Ehkä tunnetuin hyökkäys, joka uhkaa saatavuutta, on palvelunestohyökkäys, jossa järjestelmän, verkkosivuston, verkkopohjaisen sovelluksen tai verkkopalvelun suorituskyky heikkenee tarkoituksella ja vahingollisesti tai järjestelmä muuttuu kokonaan
Saatavuuden varmistamiseksi tarvittavat vastatoimet ovat redundanssi (palvelimissa, verkoissa, sovelluksissa ja palveluissa), laitteistovikojen sietokyky (palvelimille ja tallennustilalle), säännöllinen ohjelmistojen korjaus ja päivitykset, varmuuskopiot, kattava hätäpalautus suunnitelmat ja palveluneston suojausratkaisut.
Periaatteiden soveltaminen
Organisaation turvallisuustavoitteiden, toimialan, liiketoiminnan luonteen ja sovellettavien lakisääteisten vaatimusten mukaan yksi näistä kolmesta periaatteesta saattaa olla etusijalla toiseen. Esimerkiksi luottamuksellisuus on elintärkeää tietyissä valtion virastoissa (kuten tiedustelupalveluissa); eheys on etusijalla rahoitusalalla, jossa 1,00–1 000 000,00 dollarin ero voi olla katastrofaalinen; ja saatavuus ovat kriittisiä sekä verkkokauppasektorilla (jossa seisokit voivat maksaa yrityksille miljoonia dollareita) että terveydenhuoltoalalla (missä ihmishenki voi kadota, jos kriittisiä järjestelmiä ei ole saatavana).
Keskeinen käsite ymmärrettäväksi CIA: n triadista on se, että yhden tai useamman periaatteen priorisointi voi tarkoittaa muiden kompromisseja. Esimerkiksi järjestelmä, joka vaatii suurta luottamuksellisuutta ja eheyttä, voi uhrata salamanopeuden suorituskyvyn, jota muut järjestelmät (kuten verkkokauppa) saattavat arvostaa enemmän. Tämä kompromissi ei ole välttämättä huono asia; se on tietoinen valinta. Jokaisen organisaation on päätettävä, kuinka näitä periaatteita noudatetaan, kun otetaan huomioon niiden ainutlaatuiset vaatimukset, tasapainossa heidän halunsa tarjota saumaton ja turvallinen käyttökokemus.
Jos haluat oppia muista perustavanlaatuisista tietoturvakonsepteista, lue Mitä ovat turvaohjaukset?