Триада доступности, целостности и конфиденциальности (КЦД) – очень важная парадигма в сфере информационной безопасности. Рассказываем о ее практическом применении в небольшом обзоре.

Триада КЦД (конфиденциальность, целостность, доступность) – это парадигма, предназначенная для регулирования правил информационной безопасности внутри компании. Хотя компоненты триады являются наиболее фундаментальными и критическими требованиями кибербезопасности, эксперты считают, что они нуждаются в обновлении.

В этом контексте конфиденциальность относится к системе правил, которая ограничивает доступ к информации, целостность означает уверенность в том, что эта информация корректна и заслуживает доверия, а доступность – уверенность в том, что уполномоченные лица будут иметь надежный доступ к информации.

История появления парадигмы КЦД

Идея трио КЦД возникла не у одного человека и развивалась с течением времени. Не исключено, что близкая к современной концепция конфиденциальности была первоначально предложена еще в 1976 году в проведенном специалистами ВВС США исследовании. Подобно этому, идея целостности была подробно рассмотрена Дэвидом Кларком и Дэвидом Уилсоном в статье 1987 года «Сравнение коммерческой и военной политики компьютерной безопасности». Авторы отметили, что бизнес-компьютеры нуждаются в бухгалтерских записях, а также в точности и согласованности данных. Хотя найти первоначальный источник сложно, идея доступности стала популярной в 1988 году.

В сфере информационных технологий данные обычно классифицируются на основе количества и вида вреда, который они могут нанести, если попадут в чужие руки. После этого могут применяться более или менее суровые меры в соответствии с категориями. Целостность данных – это процесс обеспечения их согласованности, точности и заслуживающими доверия в течение всего срока их службы. Посторонние лица не должны иметь возможность изменять данные во время их передачи, и должны быть приняты меры предосторожности, чтобы предотвратить это (например, при нарушении конфиденциальности).

Представление о трех идеях триады КЦД, как о части более крупной системы, а не как об отдельных концепциях, может помочь компаниям лучше понять связи между тремя компонентами.

Примеры трио КЦД Ниже приведены некоторые примеры различных методов и технологий управления, которые составляют трио конфиденциальности, целостности и доступности. Хотя многие из тактик кибербезопасности включают в себя эти технологии и методы – это далеко не полный список.

Конфиденциальность

Когда дело доходит до защиты конфиденциальных данных, необходимо обеспечить специальное обучение лиц, которые имеют доступ к информации. Профессиональная подготовка может помочь в ознакомлении персонала с рисками и с тем, как от них защититься. Обучение может содержать, например, сведения о надежных паролях и лучших практиках кибербезопасности, а также сведения о методах социальной инженерии.

Популярным способом поддержания секретности является использование шифрования данных. Идентификаторы пользователей и пароли являются обычной практикой, а двухфакторная аутентификация (2FA) все чаще применяется в качестве меры дополнительной безопасности. Биометрическая проверка и токены безопасности также доступны в качестве альтернатив. Кроме того, пользователи могут принимать меры по сокращению числа мест, где появляется информация. Также могут быть реализованы дополнительные меры предосторожности, такие как хранение данных исключительно на компьютерах с «воздушными» зазорами между ними, на не подключенных к сети устройствах или только в форме физических (бумажных) документов.

Целостность

Использование системы управления версиями для предотвращения ошибочных изменений или непреднамеренного удаления авторизованными пользователями поможет сохранить ваши данные в безопасности. Кроме того, предприятия должны предпринимать меры для выявления любых изменений в данных, которые могут произойти в результате не вызванных людьми событий, вроде электромагнитного импульса или поломки оборудования.

Контрольные суммы и даже криптографические контрольные суммы могут быть включены в данные, чтобы исключить подделку. Для восстановления поврежденных данных до их первоначального состояния необходимо создавать резервные копии и использовать отказоустойчивые (за счет избыточности) устройства хранения. Цифровые подписи могут также гарантировать невозможность компрометации электронных документов.

Доступность

Правильно функционирующая и свободная от программных конфликтов ИТ-инфраструктура – лучший способ обеспечить доступность информации. Решающее значение здесь имеют своевременное обслуживание оборудования, настройка и обновление ПО и обеспечение достаточной пропускной способности каналов передачи данных. При возникновении аппаратных сбоев помогут уже упомянутые резервные копии и отказоустойчивые устройства хранения.

Для наихудших ситуаций потребуется быстрое и адаптируемое аварийное восстановление, а вероятность непредсказуемых явлений (стихийных бедствий и пожаров) должна быть учтена при разработке мер защиты.

Дополнительное оборудование или программное обеспечение безопасности, такое как брандмауэры и прокси-серверы, могут защитить от простоев и недоступности данных, вызванных злонамеренными атаками типа «отказ в обслуживании» (DoS) и вторжениями в сеть.

Трудности реализации парадигмы

Из-за огромного количества нуждающейся в защите информации, а также из-за разнообразия источников и форм информации, парадигма КЦД плохо совмещается с большими данными (Big Data). Дублирование информации и стратегии аварийного восстановления могут увеличить и без того высокие расходы на хранение и извлечение данных. Когда основной задачей является сбор и интерпретация информации для извлечения из нее знаний, ответственное управление данными часто отсутствует. Достаточно вспомнить ситуацию с Эдвардом Сноуденом, чтобы это стало очевидным.

Благодаря развитию технологий Интернета вещей (IoT), автономной связь доступна практически любому физическому или логическому объекту. В зависимости от конечной точки, отправляемые данные могут вызывать или не вызывать опасений по поводу конфиденциальности. Однако, когда даже фрагментированные данные из многих конечных точек собираются, агрегируются и анализируются, в них можно выявить конфиденциальную информацию.

Кроме того, безопасности сетей «вещей и услуг» трудно достичь, поскольку они состоят из огромного количества устройств, на которых часто не обновляется встраиваемое ПО или используются настройки по умолчанию (включая пароли администраторов). Таким образом Интернет вещей может использоваться как автономный вектор атаки или как компонент thingbot.

Когда больше и больше товаров создаются с возможностью сетевого включения, необходимо включение мер безопасности в процесс разработки продуктов.

Практики реализации КЦД

Принимая триаду КЦД, компания должна придерживаться широкого набора лучших отраслевых практик. Ниже приведены некоторые рекомендации, разбитые по каждому из трех предметов.

Конфиденциальность:

• Данные должны управляться в соответствии с необходимым бизнесу уровнем конфиденциальности.
• Для защиты данных следует использовать двухфакторную аутентификацию (2FA) и другие дополнительные меры.
• Поддерживайте текущее состояние списков управления доступом и других разрешений для файлов.
• Проводите регулярное обучение персонала. Человеческий фактор – одна из основных причин утечек конфиденциальных данных.

Целостность:

• Убедитесь, что все работники осведомлены о соответствии и нормативных стандартах, чтобы снизить вероятность человеческой ошибки.
• Следует использовать программное обеспечение для резервного копирования и восстановления.
• Контроль версий, журналы данных и контрольные суммы – все это инструменты, которые могут использоваться для обеспечения целостности данных.

Доступность:

• Должны быть реализованы превентивные меры, такие как избыточность, отработка отказа и ИНД (избыточный массив независимых дисков).
• Используйте решения для мониторинга сети, серверов, а также работоспособности информационных систем.
• Убедитесь, что у вас есть стратегия восстановления данных и обеспечения непрерывности бизнеса.

***

Если вы собираетесь профессионально заняться проблемами конфиденциальности, целостности и доступности информации, обратите внимание на «Факультет информационной безопасности» образовательной онлайн-платформы GeekBrains. Под руководством опытных экспертов из ведущих технологических компаний вы получите там много практики по разным направлениям: тестам на проникновение, Python, реверс-инженирингу, безопасности сетей и криптографии. Успешно завершившим курс студентам выдается диплом о профессиональной подготовке, а специалисты платформы помогают им с поиском работы.

Интересно, хочу попробовать