🕵 Что такое триада КЦД: шпаргалка для начинающих специалистов в сфере кибербезопасности

В этом контексте конфиденциальность относится к системе правил, которая ограничивает доступ к информации, целостность означает уверенность в том, что эта информация корректна и заслуживает доверия, а доступность – уверенность в том, что уполномоченные лица будут иметь надежный доступ к информации.

История появления парадигмы КЦД

Идея трио КЦД возникла не у одного человека и развивалась с течением времени. Не исключено, что близкая к современной концепция конфиденциальности была первоначально предложена еще в 1976 году в проведенном специалистами ВВС США исследовании. Подобно этому, идея целостности была подробно рассмотрена Дэвидом Кларком и Дэвидом Уилсоном в статье 1987 года «Сравнение коммерческой и военной политики компьютерной безопасности». Авторы отметили, что бизнес-компьютеры нуждаются в бухгалтерских записях, а также в точности и согласованности данных. Хотя найти первоначальный источник сложно, идея доступности стала популярной в 1988 году.

Представление о трех идеях триады КЦД, как о части более крупной системы, а не как об отдельных концепциях, может помочь компаниям лучше понять связи между тремя компонентами.

Конфиденциальность

Когда дело доходит до защиты конфиденциальных данных, необходимо обеспечить специальное обучение лиц, которые имеют доступ к информации. Профессиональная подготовка может помочь в ознакомлении персонала с рисками и с тем, как от них защититься. Обучение может содержать, например, сведения о надежных паролях и лучших практиках кибербезопасности, а также сведения о методах социальной инженерии.

Популярным способом поддержания секретности является использование шифрования данных. Идентификаторы пользователей и пароли являются обычной практикой, а двухфакторная аутентификация (2FA) все чаще применяется в качестве меры дополнительной безопасности. Биометрическая проверка и токены безопасности также доступны в качестве альтернатив. Кроме того, пользователи могут принимать меры по сокращению числа мест, где появляется информация. Также могут быть реализованы дополнительные меры предосторожности, такие как хранение данных исключительно на компьютерах с «воздушными» зазорами между ними, на не подключенных к сети устройствах или только в форме физических (бумажных) документов.

Целостность

Использование системы управления версиями для предотвращения ошибочных изменений или непреднамеренного удаления авторизованными пользователями поможет сохранить ваши данные в безопасности. Кроме того, предприятия должны предпринимать меры для выявления любых изменений в данных, которые могут произойти в результате не вызванных людьми событий, вроде электромагнитного импульса или поломки оборудования.

Контрольные суммы и даже криптографические контрольные суммы могут быть включены в данные, чтобы исключить подделку. Для восстановления поврежденных данных до их первоначального состояния необходимо создавать резервные копии и использовать отказоустойчивые (за счет избыточности) устройства хранения. Цифровые подписи могут также гарантировать невозможность компрометации электронных документов.

Доступность

Правильно функционирующая и свободная от программных конфликтов ИТ-инфраструктура – лучший способ обеспечить доступность информации. Решающее значение здесь имеют своевременное обслуживание оборудования, настройка и обновление ПО и обеспечение достаточной пропускной способности каналов передачи данных. При возникновении аппаратных сбоев помогут уже упомянутые резервные копии и отказоустойчивые устройства хранения.

Дополнительное оборудование или программное обеспечение безопасности, такое как брандмауэры и прокси-серверы, могут защитить от простоев и недоступности данных, вызванных злонамеренными атаками типа «отказ в обслуживании» (DoS) и вторжениями в сеть.

Трудности реализации парадигмы

Из-за огромного количества нуждающейся в защите информации, а также из-за разнообразия источников и форм информации, парадигма КЦД плохо совмещается с большими данными (Big Data). Дублирование информации и стратегии аварийного восстановления могут увеличить и без того высокие расходы на хранение и извлечение данных. Когда основной задачей является сбор и интерпретация информации для извлечения из нее знаний, ответственное управление данными часто отсутствует. Достаточно вспомнить ситуацию с Эдвардом Сноуденом, чтобы это стало очевидным.

Кроме того, безопасности сетей «вещей и услуг» трудно достичь, поскольку они состоят из огромного количества устройств, на которых часто не обновляется встраиваемое ПО или используются настройки по умолчанию (включая пароли администраторов). Таким образом Интернет вещей может использоваться как автономный вектор атаки или как компонент thingbot.

Когда больше и больше товаров создаются с возможностью сетевого включения, необходимо включение мер безопасности в процесс разработки продуктов.

Практики реализации КЦД

Конфиденциальность:

• Данные должны управляться в соответствии с необходимым бизнесу уровнем конфиденциальности.
• Для защиты данных следует использовать двухфакторную аутентификацию (2FA) и другие дополнительные меры.
  
• Поддерживайте текущее состояние списков управления доступом и других разрешений для файлов.
  
• Проводите регулярное обучение персонала. Человеческий фактор – одна из основных причин утечек конфиденциальных данных.

Целостность:

• Убедитесь, что все работники осведомлены о соответствии и нормативных стандартах, чтобы снизить вероятность человеческой ошибки.
• Следует использовать программное обеспечение для резервного копирования и восстановления.
  
• Контроль версий, журналы данных и контрольные суммы – все это инструменты, которые могут использоваться для обеспечения целостности данных.

Доступность:

• Должны быть реализованы превентивные меры, такие как избыточность, отработка отказа и ИНД (избыточный массив независимых дисков).
• Используйте решения для мониторинга сети, серверов, а также работоспособности информационных систем.
  
• Убедитесь, что у вас есть стратегия восстановления данных и обеспечения непрерывности бизнеса.
  

Если вы собираетесь профессионально заняться проблемами конфиденциальности, целостности и доступности информации, обратите внимание на «Факультет информационной безопасности» образовательной онлайн-платформы GeekBrains. Под руководством опытных экспертов из ведущих технологических компаний вы получите там много практики по разным направлениям: тестам на проникновение, Python, реверс-инженирингу, безопасности сетей и криптографии. Успешно завершившим курс студентам выдается диплом о профессиональной подготовке, а специалисты платформы помогают им с поиском работы.