Triada CIA - Podstawowe Spojrzenie Na Bezpieczeństwo Informacji - Security Bez Tabu

Triada CIA – Podstawowe Spojrzenie Na Bezpieczeństwo Informacji

Do czego przyda nam się wiedza o triadzie CIA?

Liczba, jak również wyrafinowanie ataków prowadzących do pozyskania wrażliwych danych w ostatnich latach gwałtownie wzrosła. Z tego też powodu wzrasta zainteresowanie zapobiegania takim naruszeniom bezpieczeństwa. Obecnie nieodłączną pracą administratora jest obsługa systemów i sieci nie tylko poprzez pryzmat osiągania założonych celów ale również i przez zapewnienie jak najwyższego poziomu bezpieczeństwa.

Pamiętajmy, że celem wdrażania bezpieczeństwa komputerowego jest przede wszystkim bezpieczne przetwarzanie i ochrona informacji. W tym miejscu warto podążać za dobrymi praktykami lub przynajmniej obrać odpowiednią “optykę” jeśli mówimy o bezpieczeństwie informacji.

Dodatkowo jeśli ustalisz jaka część z triady jest dla szczególnie krytyczna dla Twoich systemów będzie Ci łatwiej dobrać odpowiednie środki do realizacji postawionych przed Tobą zadań.

Czym jest bezpieczeństwo komputerowe?

Definicją, która najbardziej przypadła mi do gustu to:

Bezpieczeństwo komputerowe (ang. computer security) środki i regulacje zapewniające poufność, nienaruszalność i dostępność aktywów systemu informacyjnego. Do aktywów zaliczamy sprzęt, oprogramowania, programówy fabrycznie wbudowane (ang. firmware) oraz przetwarzane, przechowywane i komunikowane informacje.

Ta definicja wprowadza trzy zasadnicze, centralne cele bezpieczeństwa komputerowego:

  1. Poufność (ang. confidentiality). Pod tym terminem kryją się dwa powiązane ze sobą pojęcia:
  • Poufność danych (ang. data confidentiality) – Zapewnia, że poufne lub prywatne informacje nie zostaną udostępnione lub ujawnione osobom nieupoważnionym.
  • Prywatność (ang. privacy) – Zapewnia, że osoby sprawują kontrolę lub mają wpływ na to, które z dotyczących ich informacji mogą być gromadzone i przechowywane oraz przez kogo i komu informacje te mogą być ujawnione.
  1. Nienaruszalność (integralność, ang. integrity). Ten termin obejmuje dwa powiązane ze sobą pojęcia:
  • Nienaruszalność danych (ang. data integrity) – Zapewnia, że informacje i programy podlegają zmianom tylko w określony i upoważniony sposób
  • Integralność systemu (ang. system integrity) – Zapewnia, że system wykonuje przewidziane funkcje bez zakłóceń (w pełni sprawnie), nienarażony na umyślne lub niezamierzone, niedozwolone manipulacje.
  1. Dostępność (ang. availability) – Zapewnia, że systemy działają natychmiast, nie odmawiając usług upoważnionym użytkownikom.

Te trzy pojęcia tworzą coś, co jest często określane jako triada CIA.

Tylko co to właściwie znaczy?

Poprzez tę triadę rozumiemy fundamentalne cechy bezpieczeństwa zarówno w określeniu do danych, informacji czy usług komputerowych. Standard FIPS 199 podaje użyteczną charakterystykę tych trzech celów za pomocą wymagań i definicji utraty bezpieczeństwa w każdej z tych kategorii:

  1. Poufność. Utrzymywanie wynikających z upoważnień ograniczeń na dostęp do informacji i jej ujawnianie. Brane są tu pod uwagę środki ochrony prywatności osobistej i informacji zastrzeżonych. Utratą poufności jest nielegalne ujawnienie informacji.
    Notatka osobista: Zachowaniem poufności będą wszystkie czynności i narzędzia mające na celu zapewnienie, że informacja nie zostanie ujawniona osobom nieuprawnionym.
  1. Nienaruszalność (integralność). Niedopuszczanie do niewłaściwego modyfikowania informacji lub ich niszczenia. W szczególności ważne jest zapewnianie niezaprzeczalności i autentyczności informacji. Utratą nienaruszalności jest nieupoważnione zmodyfikowanie lub zniszczenie informacji.
    Notatka osobista: Zapewnienie nienaruszalności pomaga nam przede wszystkim w zapewnieniu, że przetwarzane informacje są tym za co je uważamy.
  1. Dostępność. Zapewnienie punktualnego i niezawodnego dostępu do informacji oraz możliwości jej użytkowania. Utratą dostępności jest zaburzenie dostępu lub zakłócenie możliwości użytkowania informacji lub systemu informacyjnego.
    Notatka osobista: Potrzeba dostępności do danych jest zależna od danych jakie nasze systemy przetwarzają. Należy zadbać aby dostępność pozwalała realizować wszystkie zadania stojące przed organizacją.

Przydatne rozszerzenie triady

Chociaż stosowanie triady CIA do definiowania celów bezpieczeństwa jest dobrze ugruntowane to pełniejszy obraz mogą nadać nam dwa dodatkowe pojęcia:

  1. Autentyczność (oryginalność, ang. authenticity). Właściwość bycia prawdziwym i zdolnym do zweryfikowania oraz zaufania. Zachowując tę zasadę możemy mieć pewność co do rzetelności transmisji, komunikatu lub ich pochodzenia. Oznacza to możliwość sprawdzenia, że użytkownicy są tymi, za których się podają, i że każda porcja danych napływająca do systemu pochodzi z zaufanego źródła.
    Notatka osobista: Jest to również potwierdzenia, że informacje są na tyle prawdziwe na ile potrzebujemy. Dzięki temu mamy pewność, że reprezentują to co powinny.
  1. Rozliczalność (ang. accountability). Cel bezpieczeństwa generujący wymaganie, aby działania jednostki były jednoznacznie przypisywane danej jednostce. Jest to pomocne w osiąganiu niezaprzeczalności, wykrywaniu naruszeń i zapobieganiu im oraz w działaniach naprawczych i postępowaniu prawnym po fakcie. Ponieważ prawdziwie bezpieczne systemy nie są jak dotąd celem osiągalnym, musimy mieć możliwość śledzenia naruszeń bezpieczeństwa aż do miejsc i osób, które są za nie odpowiedzialne. Dzięki temu będziemy mogli dążyć do doskonalenia. Systemy muszą utrzymywać zapisy swojej aktywności, aby pozwalać na późniejszą analizę w celu wyśledzenia naruszeń bezpieczeństwa lub stanowić pomoc w spornych kwestiach.
    Notatka osobista: Jest to zazwyczaj jedna z najtrudniejszych w wdrażaniu kwestii. Często budzi to największy opór wśród użytkowników i nie tylko. Należy być bardzo delikatnym w wdrażaniu rozwiązań mających na celu wsparcie tej zasady.

Podsumowanie

Bezpieczeństwo komputerowe nie jest stanem osiągniętym. Niestety ale nigdy nie będziemy w stanie powiedzieć, że w danej chwili jesteśmy w 100% bezpieczni i nic już nas nie zaskoczy. Bezpieczeństwo jest procesem. Należy ciągle o nie zabiegać i doskonalić organizację w tym aspekcie. Jak wszystkie procesy biznesowe bezpieczeństwo w tym wydaniu również podlega analizie ryzyka ale o tym dokładniej później.

Triada CIA jest podstawowym sposobem patrzenia na bezpieczeństwo informacji. Sama wiedza na jej temat nie zmieni Twojej organizacji. Wspomoże Cię natomiast w procesie podnoszenia bezpieczeństwa w systemach i sieciach i jest dobrym startem. Zastanowienie się, która z jej części jest kluczowa oraz jak możesz zapewnić zaspokojenie potrzeb organizacji w wszystkich aspektach tej triady ułatwi Ci ten proces.

BONUS

Dziękuję Ci za dotarcie do końca artykułu. W ramach podziękowania TUTAJ możesz pobrać przygotowaną przeze mnie ikonografikę. Wspomoże Cię ona w opanowaniu opisanych w tym artykule informacji.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *