TerminologyБЛОГ

CIA триада

Специалистът по сигурност трябва да разбира ключовите цели на информационната сигурност, а именно поверителността (confidentiality), целостта (integrity) и наличността (availability) на всички критични активи. Организационните ценности изискват различно ниво на защита спрямо всеки един от трите принципа. Мерките, механизмите и защитите за сигурност се имплементират за да осигурят един или повече от CIA обектите, а всички рискове, заплахи и уязвимости се измерват с тяхната потенциална възможност да компрометират всички или няколко от тях. Нека разгледаме по-подробно тези основополагащи принципи:

Поверителност (C в CIA триадата)

Поверителността (Privacy, Confidentiality) означава, че само оторизиран (authorized) човек/система може да има достъп до чувствителна (sensitive) или класифицирана (classified) информация и следователно, че неоторизиран индивид/система не трябва да има какъвто и да било достъп. Съществуват два типа данни: в движение (data in motion – в мрежа), и в покой (data at rest – в устройство за съхранение). Един от начините за защита на поверителността на данните в движение, е те да бъдат криптирани преди да бъдат изпратени по мрежата. Друга опция е да се използва отделна криптирана мрежа (канал) за изпращане на конфиденциална информация. Пример за нарушаване на принципа поверителност е сайта WikiLeaks.

Цялост (I в CIA триадата)

Цялостта на данните означава, че промени по тях задължително се извършват само от оторизирани лица/системи. Освен това този принцип гарантира, че оторизираните лица/системи не могат да правят промени в данни на други оторизирани лица/системи. Подправянето на информация е провал в защитата на този принцип.

Достъпност (A в CIA триадата)

Достъпността гарантира надежден достъп до данни и ресурси на оторизираните потребители. Ако мрежата или съхраняваната в нея информация не са налични за оторизираните потребители – може би поради DoS (Denial-of-Service) атака или друг мрежови проблем – последствията могат да бъдат значителни за компаниите и потребителите, които разчитат на тази мрежа за да вършат работата си. Отпадане на мрежата обикновенно е равно на загуба на доходи (loss of revenue).

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *