Specjaliści ds. bezpieczeństwa oceniają zagrożenia i luki w zabezpieczeniach na podstawie ich potencjalnego wpływu na poufność, integralność i dostępność zasobów organizacji, a mianowicie jej danych, aplikacji i krytyczne systemy. Na podstawie tej oceny zespół ds. Bezpieczeństwa wdraża zestaw zabezpieczeń, aby zmniejszyć ryzyko w swoim środowisku. W następnej sekcji przedstawimy dokładne i szczegółowe wyjaśnienia tych zasad w kontekście InfoSec, a następnie przyjrzymy się praktycznym zastosowaniom tych zasad.
Poufność
Poufność odnosi się do wysiłków organizacji, aby zachować prywatność lub tajemnicę swoich danych. W praktyce chodzi o kontrolowanie dostępu do danych, aby zapobiec ich nieuprawnionemu ujawnieniu. Zwykle wiąże się to z zapewnieniem, że tylko osoby upoważnione mają dostęp do określonych zasobów, a osoby nieupoważnione są aktywnie chronione przed uzyskaniem dostępu. Na przykład, tylko upoważnieni pracownicy płac powinni mieć dostęp do bazy danych płac pracowników. Ponadto w grupie upoważnionych użytkowników mogą istnieć dodatkowe, bardziej rygorystyczne ograniczenia dotyczące dokładnych informacji, do których dostęp mają ci upoważnieni użytkownicy. Inny przykład: klienci e-commerce rozsądnie oczekują, że dane osobowe, które przekazują organizacji (takie jak karta kredytowa, dane kontaktowe, wysyłka lub inne dane osobowe) będą chronione w sposób zapobiegający nieautoryzowanemu dostępowi lub ujawnieniu.
Poufność można naruszyć na wiele sposobów, na przykład poprzez bezpośrednie ataki mające na celu uzyskanie nieautoryzowanego dostępu do systemów, aplikacji i baz danych w celu kradzieży lub manipulowania danymi. Rozpoznanie sieci i inne rodzaje skanów, podsłuch elektroniczny (poprzez atak typu man-in-the-middle) i eskalacja uprawnień systemowych przez atakującego to tylko kilka przykładów. Ale poufność może również zostać naruszona nieumyślnie z powodu błędu ludzkiego, nieostrożności lub nieodpowiednich kontroli bezpieczeństwa. Przykłady obejmują niepowodzenie (ze strony użytkowników lub bezpieczeństwa IT) w odpowiedniej ochronie haseł; udostępnianie kont użytkowników; podsłuchiwanie fizyczne (znane również jako surfowanie po ramionach); brak szyfrowania danych (w trakcie przetwarzania, przesyłania i przechowywania); słabe, słabe lub nieistniejące systemy uwierzytelniania; oraz kradzież sprzętu fizycznego i urządzeń pamięci masowej.
Środki ochrony poufności obejmują klasyfikację i etykietowanie danych; silna kontrola dostępu i mechanizmy uwierzytelniania; szyfrowanie danych w trakcie przetwarzania, przesyłania i przechowywania; steganografia; możliwości zdalnego czyszczenia; oraz odpowiednią edukację i szkolenie dla wszystkich osób mających dostęp do danych.
Uczciwość
W codziennym użyciu uczciwość odnosi się do jakości czegoś, co jest kompletne lub kompletne. W InfoSec integralność polega na zapewnieniu, że dane nie zostały naruszone, a zatem można im ufać. Jest poprawny, autentyczny i niezawodny. Na przykład klienci e-commerce oczekują, że informacje o produkcie i cenach będą dokładne, a ilość, cena, dostępność i inne informacje nie zostaną zmienione po złożeniu zamówienia. Klienci bankowi muszą mieć zaufanie, że ich informacje bankowe i salda kont nie zostały naruszone. Zapewnienie integralności obejmuje ochronę danych w użyciu, podczas przesyłania (na przykład podczas wysyłania wiadomości e-mail, przesyłania lub pobierania pliku) oraz podczas ich przechowywania na laptopie, przenośnym urządzeniu pamięci masowej, w centrum danych lub w chmurze .
Podobnie jak w przypadku poufności, integralność może zostać naruszona bezpośrednio przez wektor ataku (np. ingerencja w systemy wykrywania włamań, modyfikowanie plików konfiguracyjnych lub zmiana dzienników systemowych w celu uniknięcia wykrycia) lub nieumyślnie przez człowieka błąd, brak staranności, błędy w kodowaniu lub nieodpowiednie zasady, procedury i mechanizmy ochrony.
Środki zaradcze chroniące integralność danych obejmują szyfrowanie, haszowanie, podpisy cyfrowe, certyfikaty cyfrowe Zaufane urzędy certyfikacji (CA) wydają certyfikaty cyfrowe organizacje weryfikujące swoją tożsamość przed użytkownikami witryn internetowych, podobnie jak paszport lub prawo jazdy mogą być używane do weryfikacji tożsamości osoby., systemy wykrywania włamań, audyt, wersja kontr ol oraz silne mechanizmy uwierzytelniania i kontrola dostępu.
Zauważ, że integralność idzie w parze z koncepcją niezaprzeczalności: niezdolności do zaprzeczenia. Na przykład, używając podpisów cyfrowych w wiadomościach e-mail, nadawca nie może zaprzeczyć, że wysłał wiadomość, a odbiorca nie może twierdzić, że otrzymana wiadomość różni się od wysłanej. Niezaprzeczalność pomaga w zapewnieniu integralności.
Dostępność
Systemy, aplikacje i dane mają niewielką wartość dla organizacji i jej klientów, jeśli nie są dostępne, gdy potrzebują ich upoważnieni użytkownicy. Po prostu dostępność oznacza, że sieci, systemy i aplikacje działają i działają.Zapewnia autoryzowanym użytkownikom szybki i niezawodny dostęp do zasobów, gdy są potrzebne.
Wiele rzeczy może zagrozić dostępności, w tym awaria sprzętu lub oprogramowania, awaria zasilania, katastrofy naturalne i błędy ludzkie. Być może najbardziej znanym atakiem, który zagraża dostępności, jest atak typu „odmowa usługi”, w którym wydajność systemu, witryny internetowej, aplikacji internetowej lub usługi internetowej jest celowo i złośliwie obniżana lub system zostaje całkowicie nieosiągalny.
Środki zaradcze zapewniające dostępność obejmują nadmiarowość (w serwerach, sieciach, aplikacjach i usługach), odporność na awarie sprzętu (w przypadku serwerów i pamięci masowej), regularne instalowanie poprawek oprogramowania i uaktualnień systemu, kopie zapasowe, kompleksowe odzyskiwanie po awarii plany i rozwiązania chroniące przed atakami typu „odmowa usługi”.
Stosowanie zasad
W zależności od celów bezpieczeństwa organizacji, branży, charakteru prowadzonej działalności i wszelkich obowiązujących wymagań prawnych, jedna z tych trzech zasad może mieć pierwszeństwo przed inną. Na przykład poufność jest niezbędna w niektórych agencjach rządowych (takich jak służby wywiadowcze); uczciwość jest priorytetem w sektorze finansowym, w którym różnica między 1,00 a 1 000 000,00 USD może być katastrofalna; a dostępność ma kluczowe znaczenie zarówno w sektorze e-commerce (gdzie przestoje mogą kosztować firmy miliony dolarów), jak iw sektorze opieki zdrowotnej (gdzie ludzkie życie może zostać utracone, jeśli krytyczne systemy są niedostępne).
Kluczowa koncepcja do zrozumienia triada CIA polega na tym, że nadanie priorytetu jednej lub kilku zasadom może oznaczać kompromis między innymi. Na przykład system, który wymaga dużej poufności i integralności, może poświęcić błyskawiczną wydajność, którą inne systemy (takie jak e-commerce) mogą bardziej cenić. Ten kompromis niekoniecznie jest złą rzeczą; to świadomy wybór. Każda organizacja musi zdecydować, jak zastosować te zasady, biorąc pod uwagę swoje unikalne wymagania, zrównoważone chęcią zapewnienia bezproblemowej i bezpiecznej obsługi użytkownika.
Aby poznać inne podstawowe koncepcje bezpieczeństwa, przeczytaj artykuł Czym są zabezpieczenia?