Памятка для CIO: Три основных составляющих информационной безопасности, их особенности и CIA-треугольник

Три основных составляющих информационной безопасности часто обозначаются аббревиатурой CIA (Confidentiality, Integrity, Availability), что означает Конфиденциальность, Целостность, Доступность. Рассмотрим их подробнее.

Содержание
  1. CIA-треугольник
  2. Это не линия. Тут нет последовательности
  3. Это треугольник. Тут есть проблема поиска баланса
  4. Конфиденциальность (Confidentiality)
  5. Цель
  6. Признаки нарушения конфиденциальности
  7. Прямые
  8. Косвенные
  9. Применяемые решения
  10. Целостность (Integrity)
  11. Цель
  12. Угрозы целостности
  13. Внутренние
  14. Внешние
  15. Техногенные
  16. Меры защиты
  17. Доступность (Availability)
  18. Цель
  19. Угрозы доступности
  20. Методы защиты
  21. Выводы

CIA-треугольник

История возникновения термина «CIA-треугольник» уходит корнями в развитие компьютерной индустрии середины XX века.

Основные идеи трех аспектов появились параллельно с формированием первых концепций информационной безопасности:

  1. Конфиденциальность: Эта концепция восходит к военным шифровальным технологиям времен Второй мировой войны, когда остро встала необходимость защиты важной информации от врагов. Затем она распространилась на коммерческие структуры, став важным элементом политики безопасности компаний и государственных учреждений.
  2. Целостность: Потребность поддерживать точность и полноту данных возникала вместе с первыми электронными базами данных. Ошибочные записи или потеря данных грозили серьёзными последствиями для бизнеса и государственного управления.
  3. Доступность: По мере роста зависимости от компьютеров и сети Интернет эта идея стала крайне актуальной. Если системы не работают должным образом или подвергаются сбоям, это влияет на бизнес-процессы и операционную деятельность организаций.

Хотя сам термин «CIA-треугольник» получил широкое распространение позже, основы этих принципов были заложены ещё в 1960–1970-е годы, когда начали развиваться первые стандарты информационной безопасности и компьютерные сети становились всё более сложными и уязвимыми перед угрозами.

Сегодня этот треугольник остается ключевым инструментом для понимания и оценки уровня защищенности любых систем обработки информации.

Это не линия. Тут нет последовательности

Представление в виде линии подразумевало бы последовательное движение или зависимость друг от друга. То есть один элемент следовал бы за другим линейно. Но в реальности ситуация гораздо сложнее:

  • Все элементы важны одновременно: Они влияют друг на друга, и изменение одного компонента может повлиять на остальные два. Например, усиление механизмов защиты конфиденциальности часто снижает доступность, а улучшение доступности может подвергнуть риску целостность данных.
  • Баланс и компромисс: Часто приходится находить золотую середину, учитывая ограничения бюджета, технических возможностей и организационных требований. Невозможно максимизировать все три элемента одновременно без потерь.
  • Зависимости и последствия: Каждый аспект должен учитываться комплексно. Например, чрезмерная доступность может сделать систему уязвимой для взломщиков, тогда как избыточная защита конфиденциальности способна замедлить рабочие процессы и вызвать недовольство пользователей.

Это треугольник. Тут есть проблема поиска баланса

Взаимное влияние и взаимодействие между элементами создает сложность и заставляет специалистов искать компромиссы в обеспечении информационной безопасности.

Именно поэтому использование геометрической фигуры типа треугольника лучше передает идею взаимозависимости и баланса, а также подчеркивает важность одновременного учета всех трёх компонентов.

Примеры взаимодействия:

  • Повышение доступности против снижения конфиденциальности: Более доступная сеть позволяет большему количеству сотрудников быстро получать необходимую информацию, но при недостаточной защите это открывает двери злоумышленникам.
  • Усиленная конфиденциальность против риска потери целостности: Строгие процедуры авторизации и шифрования снижают риск утечек, но усложняют процесс обновления и исправления ошибок в системах.
  • Обеспечение целостности против риска нарушения доступности: Постоянные проверки и резервное копирование помогают сохранить целостность данных, однако требуют значительных ресурсов и могут временно ограничивать доступ пользователей.

Конфиденциальность (Confidentiality)

Это защита информации от несанкционированного доступа. Информация должна оставаться доступной только авторизованным пользователям.

Например, персональные данные клиентов банка должны храниться так, чтобы доступ к ним имели только сотрудники, обладающие соответствующими полномочиями.

Цель

Основная цель конфиденциальности информации — ограничить доступ к данным исключительно теми субъектами, которым действительно разрешено получать такую информацию.

Эта концепция важна везде, где существует риск утечки секретных сведений. Например, личные данные сотрудников организации или клиенты банков требуют строгого контроля доступа.

Признаки нарушения конфиденциальности

Признаки подразделяют на прямые (явное нарушение конфиденциальности) и косвенные (сведений о нарушении нет, но есть сигналы, которые на это намекают).

Прямые

  1. Незаконный доступ: Появление следов активности в системе, которой там быть не должно. Например, необычные попытки входа в систему, странные запросы базы данных, новые учётные записи или изменение прав доступа.
  2. Утечка данных: Обнаружение информации вне контролируемой среды, например, публикация персональных данных в открытом доступе или получение писем с подозрительным содержанием от неизвестных отправителей.
  3. Уязвимости системы: Сообщения об обнаруженных уязвимостях программного обеспечения или инфраструктуры, позволяющих потенциальному нарушителю получить доступ к защищённым данным.
  4. Шпионское ПО: Обнаружение шпионских программ (кейлоггеров, троянов, руткитов), собирающих конфиденциальную информацию.
  5. Фишинговые атаки: Письма или сообщения, маскирующиеся под официальные уведомления организаций с целью получения доступа к личной информации пользователей.
  6. Отсутствие отчетности: Отсутствие необходимой документации о санкционированном доступе к чувствительной информации, отсутствие журналов регистрации попыток доступа.
  7. Физический доступ: Физическое проникновение посторонних лиц в помещение с ограниченным доступом, где хранятся конфиденциальные данные.
  8. Изменение поведения системы: Система начинает вести себя необычно: замедляется работа, появляются необъяснимые всплески трафика, начинают исчезать файлы или появляется дополнительная активность сети.

Косвенные

  1. Рост числа жалоб: Увеличение количества сообщений от пользователей или клиентов о проблемах с системой, частых сбоях, неожиданных изменениях интерфейсов сервисов.
  2. Нестабильность операций: Замедления в работе систем, частые отключения или проблемы с обработкой транзакций, заказов или платежей.
  3. Неправильные отчёты: Отчёты и аналитические показатели показывают расхождения между фактическими и ожидаемыми значениями.
  4. Необычные взаимодействия с клиентами: Клиенты сообщают о получении сообщений или звонков от якобы вашей организации с просьбой подтвердить конфиденциальные данные.
  5. Замедленная реакция сотрудников: Сотрудники медленно реагируют на внутренние запросы, касающиеся обращения с конфиденциальной информацией, либо демонстрируют недостаток осведомлённости относительно правил хранения и распространения данных.

Применяемые решения

Реализация политики конфиденциальности предполагает использование:

  • шифрования,
  • аутентификации
  • различных уровней доступа, обеспечивающих защиту данных.

Целостность (Integrity)

Обеспечение целостности информации заключается в защите её от изменения или уничтожения неавторизованными пользователями или процессами. Это включает защиту данных от случайных ошибок, сбоев оборудования и злонамеренных действий хакеров.

Примером нарушения целостности может служить подделывание финансовых документов или изменение результатов выборов.

Цель

Цель принципа целостности состоит в том, чтобы гарантировать неизменность и точность передаваемых или хранимых данных. Это значит, что информация не должна подвергаться изменениям, удалению или искажениям посторонними людьми или процессами.

Для примера, представьте бухгалтерские записи предприятия: любые намеренные или случайные изменения могли бы вызвать серьезные последствия для бизнеса.

Угрозы целостности

Угрозы подразделяют на внутренние, внешние и техногенные.

Внутренние

Ошибочные действия персонала

— Непреднамеренное удаление важной информации сотрудником.
— Ошибка ввода данных, приводящая к некорректным значениям.
— Неверное обновление программного обеспечения, нарушающее структуру данных.

Технические неисправности

— Аппаратные сбои жестких дисков, оперативной памяти или другого оборудования, приводящие к повреждению данных.
— Потеря электроэнергии или перебои питания, вызывающие внезапное завершение процессов и потерю несохранённой информации.

Проблемы с инфраструктурой

— Некорректная настройка бэкапов или репликации данных, из-за чего восстановление невозможно или затруднено.
— Устаревшие протоколы обмена данными, повышающие вероятность потери пакетов или повреждения данных при передаче.

Внешние

Атака вирусов и вредоносного ПО

— Вирусные программы способны изменять, удалять или зашифровывать важные данные, делая их недоступными.
— Троянские программы незаметно вносят изменения в базу данных или файлы.

Хакерские атаки

— Подмена или модификация данных в результате целенаправленных действий киберпреступников.
— Инсайдерские атаки сотрудников, злоупотребляющих своими правами доступа ради нанесения вреда предприятию.

Несанкционированный физический доступ

— Взлом серверной комнаты или помещения, где хранится важная документация, ведущий к потере или изменению информации.
— Украденные ноутбуки или внешние носители с корпоративными файлами.

Техногенные

Катастрофы природного характера

— Землетрясения, наводнения, пожары, способные уничтожить оборудование вместе с находящимися на нём данными.
— Электромагнитные импульсы от молнии или электромагнитного оружия, повреждающие электронные устройства.

Экологические воздействия

— Загрязнение окружающей среды промышленностью, ведущее к коррозии металлических элементов оборудования и утрате записанных данных.
— Чрезмерная влажность воздуха, способствующая образованию конденсата внутри устройств и последующему выходу их из строя.

Меры защиты

Меры защиты включают:

  • контроль версий,
  • резервное копирование,
  • цифровую подпись и хеш-функции для проверки подлинности информации.

Доступность (Availability)

Доступность подразумевает, что информация доступна уполномоченным лицам тогда, когда это необходимо. Нарушение доступности может привести к серьезным последствиям, особенно в критически важных системах, таких как медицинские учреждения или финансовые сервисы.

Примеры угроз доступности — атаки типа DDoS, вирусы-шифровальщики и отказ аппаратуры.

Цель

Доступность обеспечивает возможность быстрого и надежного доступа к необходимым ресурсам и данным всеми легитимными пользователями системы.

Представьте ситуацию, когда сайт онлайн-магазина внезапно становится недоступен из-за атак злоумышленников или технических проблем. Такая ситуация существенно нарушает работу сервиса и ведет к финансовым потерям.

Угрозы доступности

Атаки типа «отказ в обслуживании» (DDoS): Масштабированные атаки, направленные на перегрузку ресурса чрезмерным количеством запросов, что делает сервис временно недоступным для законных пользователей.

Физическая потеря оборудования: Выход из строя серверов, поломка или кража оборудования, пожар, затопление помещений с серверами, отключение электричества или повреждение коммуникаций (например, разрыв волоконно-оптического кабеля).

Технические неполадки: Проблемы с оборудованием, такими как жесткие диски, серверы, каналы связи, программное обеспечение, ведущие к временному прекращению функционирования системы.

Несвоевременное обслуживание: Недостаточное внимание к техническому обслуживанию систем, устаревшие версии программного обеспечения, отсутствие регулярного обновления антивирусных баз, недостаточная проверка работоспособности бэкапов.

Политика ограничения доступа: Чрезмерно строгий контроль доступа, ошибочные настройки политик безопасности, ограничение доступа самим предприятием, приводящее к невозможности получить необходимую информацию вовремя.

Ложные срабатывания защитных механизмов: Избыточная чувствительность систем мониторинга и блокировка нормальных действий пользователя или процесса из-за ложноположительных сигналов тревоги.

Атаки путем эксплуатации уязвимостей: Использование известных или недавно найденных слабых мест в архитектуре системы для вывода её из строя или захвата управления над ресурсами.

Недобросовестные инсайдеры: Сотрудник, умышленно препятствующий нормальной работе системы, например, путём удаления важных компонентов инфраструктуры или саботажа настроек.

Дефицит пропускной способности канала: Ограниченная полоса пропускания сети не справляется с объёмом трафика, поступающего одновременно, что вызывает задержки и отказы соединений.

Экстремальные погодные условия: Катастрофы природного происхождения (ураганы, землетрясения, наводнения), уничтожающие инфраструктуру и снижающие доступность сервисов.

Методы защиты

Методы поддержания доступности включают создание:

  • дублирующих каналов передачи данных,
  • резервных копий баз данных,
  • распределённых центров обработки данных.

Выводы

Подведём итог:

Конфиденциальность гарантирует, что доступ имеют лишь авторизованные лица.
Целостность защищает данные от изменений и повреждений.
Доступность позволяет быстро и надежно обращаться к информации в нужный момент.

Все три элемента важны для комплексной защиты информационных ресурсов любого предприятия или структуры.

CIO-NAVIGATOR

© 2024-2026 CIO-NAVIGATOR. Все права защищены.
Копирование материалов допускается только с разрешения редакции и с активной ссылкой на источник.

Данный проект функционирует при участии Клуба ИТ-директоров города Санкт-Петербург https://www.spbcioclub.ru
197022, Россия, г. Санкт-Петербург, пр.Медиков д.3, Конгресс-центр «ЛЕНПОЛИГРАФМАШ», этаж Н
Электронная почта: cio@cio-navigator.ru, office@spbcioclub.ru
Телефон: +7 (921) 954-37-67