co je triáda CIA?
informační bezpečnost se točí kolem tří klíčových zásad: důvěrnost, integrita a dostupnost (CIA). V závislosti na prostředí, aplikaci, kontextu nebo případu použití může být jeden z těchto principů důležitější než ostatní., Například pro finanční agentura, důvěrnost informací je prvořadá, takže to by pravděpodobně šifrování přísně tajný dokument je elektronicky převedena v pořadí, aby se zabránilo neoprávněnému lidi od čtení jeho obsahu. Na druhé straně, organizace, jako je internetové tržiště by být vážně poškozena, pokud se jejich síť byla mimo provoz po delší dobu, takže by se mohly zaměřit na strategie pro zajištění vysoké dostupnosti přes obavy o zašifrovaná data.,
Důvěrnost
Důvěrnost se týká brání neautorizovanému přístupu k citlivým informacím. Přístup mohl být úmyslné, jako je vetřelec vloupání do sítí a čtení informace, nebo by to mohlo být neúmyslné, z důvodu nepozornosti nebo neschopnosti jednotlivců zpracování informací. Dva hlavní způsoby, jak zajistit důvěrnost, jsou kryptografie a řízení přístupu.,
Šifrování
Šifrování pomáhá organizaci plnit třeba zajistit informace z obou náhodných informací a vnitřní i vnější pokusy o útok. Účinnost kryptografického systému při prevenci neoprávněného dešifrování je označována jako jeho síla. Silný kryptografický systém je obtížné prasknout. Síla je také vyjádřena jako pracovní faktor, což je odhad množství času a úsilí, které by bylo nezbytné k přerušení systému.,
systém je považován za slabý, pokud umožňuje slabé klíče, má vady ve svém designu nebo je snadno dešifrován. Mnoho systémů, které jsou dnes k dispozici, je více než dostačující pro obchodní a osobní použití, ale jsou nedostatečné pro citlivé vojenské nebo vládní aplikace. Kryptografie má symetrické a asymetrické algoritmy.
Symetrické Algoritmy
Symetrické algoritmy vyžadují odesílatele a příjemce šifrované zprávy mají stejný klíč a algoritmy zpracování., Symetrické algoritmy generují symetrický klíč (někdy nazývaný tajný klíč nebo soukromý klíč), který musí být chráněn; pokud je klíč ztracen nebo odcizen, je ohrožena bezpečnost systému. Zde jsou některé společné standardy pro symetrické algoritmy:
- Standard šifrování dat (DES). DES se používá od poloviny 1970. Pro let, to byl primární standard používaný ve vládě a průmyslu, ale to je nyní považováno za nespolehlivé, protože jeho malý velikost klíče — generuje 64-bitový klíč, ale osm z těchto bitů jsou jen pro opravu chyb a pouze 56 bitů je skutečný klíč., Nyní je AES primárním standardem.
- Triple-DES (3DES). 3DES je technologická modernizace DES. 3DES se stále používá, i když AES je preferovanou volbou pro vládní aplikace. 3DES je podstatně těžší rozbít než mnoho jiných systémů, a je to bezpečnější než DES. Zvyšuje délku klíče na 168 bitů (pomocí tří 56BITOVÝCH DES klíčů).
- Advanced Encryption Standard (AES). AES nahradil DES jako standard používaný vládními agenturami USA. Používá algoritmus Rijndael, pojmenovaný pro své vývojáře, Joan Daemen a Vincent Rijmen., AES podporuje klíčové velikosti 128, 192 a 256 bitů, přičemž výchozí je 128 bitů.
- Ronova šifra nebo Ronův kód (RC). RC je šifrovací rodina vyráběná laboratořemi RSA a pojmenovaná pro svého autora Rona Rivesta. Aktuální úrovně jsou RC4, RC5 a RC6. RC5 používá velikost klíče až 2,048 bitů; to je považováno za silný systém. RC4 je oblíbený u bezdrátového a WEP / WPA šifrování. Jedná se o streamovací šifru, která pracuje s velikostí klíčů mezi 40 a 2 048 bitů a používá se v SSL a TLS. To je také populární u nástrojů; používají to pro stahování torrent souborů., Mnoho poskytovatelů omezit stahování těchto souborů, ale pomocí RC4, aby obfuscate záhlaví a proud dělá to více obtížný pro poskytovatele služeb, aby si uvědomili, že je to torrent soubory, které jsou přesunuty.
- Blowfish a Twofish. Blowfish je šifrovací systém vynalezený týmem vedeným Brucem Schneierem, který provádí 64bitovou blokovou šifru při velmi rychlých rychlostech. Jedná se o symetrickou blokovou šifru, která může používat klíče s proměnnou délkou (od 32 bitů do 448 bitů). Twofish je docela podobný, ale funguje na 128bitových blocích. Jeho charakteristickým rysem je, že má složitý klíčový plán.,
- mezinárodní algoritmus šifrování dat (IDEA). IDEA byla vyvinuta švýcarským konsorciem a používá 128bitový klíč. Tento produkt je podobný rychlosti a schopnosti DES, ale je to bezpečnější. IDEA se používá v docela dobrém soukromí (PGP), což je systém šifrování veřejné domény, který mnoho lidí používá pro e-mail.
- jednorázové podložky. Jednorázové podložky jsou jedinou skutečně zcela bezpečnou kryptografickou implementací. Jsou tak bezpečné ze dvou důvodů. Nejprve používají klíč, který je dlouhý jako prostá textová zpráva. To znamená, že v klíčové aplikaci není žádný vzor, který by útočník mohl použít., Za druhé, jednorázové pad klíče se používají pouze jednou a pak zlikvidovat. Takže i kdybyste mohli rozbít jednorázovou šifru pad, stejný klíč by se už nikdy nepoužil, takže znalost klíče by byla zbytečná.
asymetrické algoritmy
asymetrické algoritmy používají dva klíče: veřejný klíč a soukromý klíč. Odesílatel používá veřejný klíč k šifrování zprávy, a přijímač používá soukromý klíč k dešifrování. Veřejný klíč může být skutečně veřejný nebo může být tajemstvím mezi oběma stranami. Soukromý klíč je však udržován v soukromí, zná ho pouze majitel (přijímač)., Pokud vám někdo chce poslat šifrovanou zprávu, může použít váš veřejný klíč k šifrování zprávy a poté vám zprávu odeslat. K dešifrování zprávy můžete použít svůj soukromý klíč. Pokud budou oba klíče k dispozici třetí straně, šifrovací systém nebude chránit soukromí zprávy. Skutečnou „magií“ těchto systémů je, že veřejný klíč nelze použít k dešifrování zprávy. Pokud Bob pošle Alice zprávu zašifrovanou pomocí veřejného klíče Alice, nezáleží na tom, zda všichni ostatní na Zemi mají veřejný klíč Alice, protože tento klíč nemůže zprávu dešifrovat., Zde jsou některé společné standardy pro asymetrické algoritmy:
- RSA. RSA je pojmenována po svých vynálezcích, Ron Rivest, Adi Shamir a Leonard Adleman. Algoritmus RSA je časný šifrovací systém veřejného klíče, který používá jako základ pro tento proces velká celá čísla. Je široce implementován a stal se de facto standardem. RSA pracuje jak s šifrováním, tak s digitálními podpisy. RSA se používá v mnoha prostředích, včetně Secure Sockets Layer (SSL), a může být použit pro výměnu klíčů.
- Diffie-Hellman., Whitfield Diffie a Martin Hellman jsou považováni za zakladatele konceptu veřejného / soukromého klíče. Jejich Diffie-Hellmanův algoritmus se používá především ke generování sdíleného tajného klíče napříč veřejnými sítěmi. Tento proces se nepoužívá k šifrování nebo dešifrování zpráv; používá se pouze k vytvoření symetrického klíče mezi dvěma stranami.
- kryptografie eliptické křivky (EHS). ECC poskytuje funkce podobné RSA, ale používá menší velikosti klíčů k získání stejné úrovně zabezpečení., Šifrovací systémy ECC jsou založeny na myšlence použití bodů na křivce v kombinaci s bodem v nekonečnu a obtížnosti řešení diskrétních problémů logaritmu.
řízení přístupu
šifrování je jedním ze způsobů, jak zajistit důvěrnost; druhou metodou je řízení přístupu. Existuje několik přístupů k řízení přístupu, které pomáhají s důvěrnosti, každý s vlastní silné a slabé stránky:
- Povinné řízení přístupu (MAC). V prostředí MAC jsou předdefinovány všechny možnosti přístupu., Uživatelé nemohou sdílet informace, pokud jejich práva na sdílení nejsou stanovena správci. V důsledku toho musí správci provést jakékoli změny, které je třeba provést v těchto právech. Tento proces vynucuje rigidní model bezpečnosti. Je však také považován za nejbezpečnější model kybernetické bezpečnosti.
- diskreční řízení přístupu (DAC). V modelu DAC mohou uživatelé dynamicky sdílet informace s ostatními uživateli. Metoda umožňuje flexibilnější prostředí, ale zvyšuje riziko neoprávněného zveřejnění informací., Administrátoři mají obtížnější čas zajistit, aby k datům měli přístup pouze vhodní uživatelé.
- řízení přístupu založené na rolích (RBAC). Řízení přístupu založené na rolích implementuje řízení přístupu na základě funkce Úlohy nebo odpovědnosti. Každý zaměstnanec má jednu nebo více rolí, které umožňují přístup ke konkrétním informacím. Pokud se osoba přesune z jedné role do druhé, přístup k předchozí roli již nebude k dispozici. Modely RBAC poskytují větší flexibilitu než model MAC a menší flexibilitu než model DAC., Mají však tu výhodu, že jsou striktně založeny na pracovní funkci na rozdíl od individuálních potřeb.
- kontrola přístupu založená na pravidlech (RBAC). Řízení přístupu založené na pravidlech používá nastavení v předkonfigurovaných bezpečnostních zásadách k rozhodování o přístupu. Tato pravidla lze nastavit na:
- Popřít vše, ale ti, kdo konkrétně se objeví v seznamu (povolit přístup seznam)
- Popírat jen ti, kdo konkrétně se objeví v seznamu (pravda, odepřít přístup seznam)
Položky v seznamu mohou být uživatelská jména, IP adresy, názvy hostitelů nebo i domény., Modely založené na pravidlech se často používají ve spojení s modely založenými na rolích k dosažení nejlepší kombinace bezpečnosti a flexibility.
- řízení přístupu založeného na atributech (ABAC). ABAC je relativně nová metoda řízení přístupu definovaná v NIST 800-162, definice a úvahy založené na atributech., Je to logické řízení přístupu, metodiky, kde povolení provádět sadu operací je stanovena na základě vyhodnocení atributy spojené s předmětem, předmět, požadované operace, a, v některých případech, podmínky životního prostředí proti bezpečnostní politiky, pravidla nebo vztahy, které popisují povolené operace pro danou množinu atributů.
- čipové karty se obvykle používají pro účely řízení přístupu a zabezpečení. Samotná karta obvykle obsahuje malé množství paměti, které lze použít k ukládání oprávnění a přístupu k informacím.,
- bezpečnostní token byl původně hardwarové zařízení potřebné k získání přístupu, jako je bezdrátová karta nebo klíčenka. Nyní existují také softwarové implementace tokenů. Tokeny často obsahují digitální certifikát, který se používá k ověření uživatele.,
Poctivost
Celistvost má tři cíle, které pomáhají dosáhnout zabezpečení dat:
- Zamezení modifikace informací ze strany neoprávněných uživatelů
- Zamezení neoprávněné nebo neúmyslné změny informací ze strany oprávněných uživatelů
- Zachování vnitřní a vnější konzistence:
- Vnitřní konzistence — Zajišťuje, že data jsou vnitřně konzistentní., Například v organizační databázi se celkový počet položek ve vlastnictví organizace musí rovnat součtu stejných položek uvedených v databázi jako každý prvek organizace.
- externí konzistence-zajišťuje, že data uložená v databázi jsou v souladu s reálným světem. Například celkový počet položek fyzicky sedících na polici musí odpovídat celkovému počtu položek uvedených v databázi.,
různé šifrovací metody mohou pomoci zajistit dosažení integrity poskytnutím ujištění, že zpráva nebyla během přenosu změněna. Modifikace by mohla způsobit nesrozumitelnou nebo ještě horší nepřesnou zprávu. Představte si vážné důsledky, pokud nebyly objeveny změny lékařských záznamů nebo lékařských předpisů. Pokud je zpráva manipulována, šifrovací systém by měl mít mechanismus, který by naznačoval, že zpráva byla poškozena nebo změněna.
Hashing
integrita může být také ověřena pomocí hash algoritmu., V podstatě, hash zprávy je generován a připojen ke konci zprávy. Přijímající strana vypočítá hash zprávy, kterou obdržela, a porovná ji s Haškem, který obdržela. Pokud se něco změní v tranzitu, hash nebude odpovídat.
Hashing je přijatelná kontrola integrity pro mnoho situací. Pokud však zachycující strana chce úmyslně změnit zprávu a zpráva není šifrována, pak je hash neúčinný., Zachycující strana může například vidět, že ke zprávě je připojen 160bitový hash, což naznačuje, že byl generován pomocí SHA-1 (což je popsáno níže). Poté může interceptor jednoduše změnit zprávu, jak si přejí, odstranit původní hash SHA-1 a přepočítat hash ze změněné zprávy.
hashovací algoritmy
hash používaný k ukládání dat se velmi liší od kryptografických hash. V kryptografii musí mít hašovací funkce tři vlastnosti:
- musí být jednosměrná. Jakmile něco hash, nemůžete uvolnit.,
- vstup s proměnnou délkou vytváří výstup s pevnou délkou. Ať už máte dva nebo dva miliony znaků, velikost hash je stejná.
- algoritmus musí mít několik nebo žádné kolize. Hash dva různé vstupy nedává stejný výstup.
zde jsou hashovací algoritmy a související pojmy, které byste měli znát:
- Secure Hash Algorithm (SHA). Původně se jmenoval Keccak, Sha navrhl Guido Bertoni, Joan Daemen, Michaël Peeters a Gilles Van Assche., SHA – 1 je jednosměrný hash, který poskytuje 160bitovou hash hodnotu, kterou lze použít pomocí šifrovacího protokolu. V roce 2016 byly objeveny problémy s SHA-1; Nyní se doporučuje místo toho použít SHA-2. SHA – 2 může produkovat 224, 256, 334 a 512 bit hashes. Neexistují žádné známé problémy s SHA-2, takže je to stále nejrozšířenější a doporučený hash algoritmus. SHA-3 byl publikován v roce 2012 a je široce použitelný, ale není široce používán. To není způsobeno žádnými problémy s SHA-3, ale spíše skutečností, že SHA-2 je naprosto v pořádku.
- algoritmus Message Digest (MD)., MD je další jednosměrný hash, který vytváří hodnotu hash použitou k udržení integrity. Existuje několik verzí MD; nejběžnější jsou MD5, MD4 a MD2. MD5 je nejnovější verze algoritmu; produkuje 128bitový hash. Přestože je složitější než jeho předchůdci MD a nabízí větší bezpečnost, nemá silnou kolizní odolnost, a proto se již nedoporučuje používat. SHA (2 nebo 3) jsou doporučené alternativy.
- Race Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD byl založen na MD4., Tam byly otázky týkající se jeho bezpečnosti, a to bylo nahrazeno RIPEMD-160, který používá 160 bitů. Existují také verze, které používají 256 a 320 bitů (RIPEMD-256 a RIPEMD-320).
- GOST je symetrická šifra vyvinutá ve starém Sovětském svazu, která byla upravena tak, aby fungovala jako hašovací funkce. GOST zpracovává zprávu s proměnnou délkou na výstup s pevnou délkou 256 bitů.
- před vydáním systému Windows NT operační systémy společnosti Microsoft používaly protokol LANMAN pro autentizaci., Zatímco Lanman fungoval pouze jako ověřovací protokol, používal lm Hash a dva DES klíče. To bylo nahrazeno NT LAN Manager (NTLM) s vydáním Windows NT.
- Microsoft nahradil protokol LANMAN NTLM (NT LAN Manager) vydáním Windows NT. NTLM používá hashovací algoritmy MD4 / MD5. Existuje několik verzí tohoto protokolu (NTLMv1 a NTLMv2) a je stále široce používán navzdory skutečnosti, že společnost Microsoft jmenovala Kerberos svůj preferovaný autentizační protokol., Ačkoli LANMAN a NTLM používají hašování, používají se především pro účely autentizace.
- běžná metoda ověření integrity zahrnuje přidání kódu autentizace zprávy (MAC) do zprávy. MAC se počítá pomocí symetrické šifry v cipher block chaining mode (CBC), přičemž pouze poslední blok se vyrábí. V podstatě se výstup CBC používá jako výstup hash algoritmu. Na rozdíl od hash algoritmu však šifra vyžaduje symetrický klíč, který se mezi oběma stranami předem vyměňuje.,
- HMAC (hash-based message authentication code) používá hash algoritmus spolu se symetrickým klíčem. Tak například dvě strany souhlasí s použitím hash MD5. Jakmile je hash vypočítán, je to výhradně nebo (XOR) s digestem a tato výsledná hodnota je HMAC.
Základní
stanovit základní linii (konfigurace, základní, systémy základní, činnost základní) je důležitou strategií pro bezpečné sítě. V podstatě najdete základní linii, kterou považujete za bezpečnou pro daný systém, počítač, aplikaci nebo službu., Absolutní bezpečnost samozřejmě není možná-cíl je dostatečně bezpečný, založený na bezpečnostních potřebách vaší organizace a chuti k riziku. Jakákoli změna může být porovnána s výchozí hodnotou, aby se zjistilo, zda je změna dostatečně bezpečná. Jakmile je definována základní linie, dalším krokem je sledování systému, aby se zajistilo, že se neodchýlil od této základní linie. Tento proces je definován jako měření integrity.
dostupnost
dostupnost zajišťuje, že autorizovaní uživatelé systému mají včasný a nepřerušený přístup k informacím v systému a síti., Zde jsou metody dosažení dostupnosti:
- distribuční alokace. Běžně známý jako load balancing, distributivní alokace umožňuje distribuci zatížení (požadavky na soubory, směrování dat a tak dále), takže žádné zařízení není příliš zatíženo.
- vysoká dostupnost (HA). Vysoká dostupnost se týká opatření, která se používají k udržení provozu služeb a informačních systémů během výpadku. Cílem HA je často mít k dispozici klíčové služby 99.999 procent času (známý jako „pět devět“ dostupnost)., HA strategie zahrnují redundanci a selhání, které jsou popsány níže.
- redundance. Redundance se týká systémů, které jsou buď duplikovány, nebo selhávají v jiných systémech v případě poruchy. Failover označuje proces rekonstrukce systému nebo přepnutí na jiné systémy, když je zjištěna porucha. V případě serveru se server přepne na redundantní server, když je zjištěna chyba. Tato strategie umožňuje službě Pokračovat nepřerušovaně, dokud nebude možné obnovit primární server., V případě sítě to znamená, že zpracování přepne na jinou síťovou cestu v případě selhání sítě v primární cestě.
Failover systémy mohou být drahé implementovat. Ve velké podnikové síti nebo e-commerce prostředí, failover může znamenat přepnutí veškeré zpracování na vzdálené místo, dokud primární zařízení je funkční. Primární web a vzdálený web by synchronizovaly data, aby zajistily, že informace jsou co nejaktuálnější.,
Mnoho operačních systémů, jako je Linux, Windows Server a Novell Open Enterprise Server, jsou schopny shlukování zajistit převzetí služeb při selhání schopnosti. Clustering zahrnuje více systémů spojených dohromady kooperativně (který poskytuje load balancing) a propojené takovým způsobem, že pokud některý ze systémů selže, ostatní systémy převezmou štafetu a pokračovat v činnosti. Celková schopnost serverového clusteru se může snížit, ale síť nebo služba zůstanou v provozu., Chcete-li ocenit krásu shlukování, zvažte skutečnost, že se jedná o technologii, na které je Google postaven. Nejen, že shlukování vám umožní mít redundanci, ale také vám nabízí možnost škálovat s rostoucí poptávkou.
většina poskytovatelů internetových služeb a poskytovatelů sítí má rozsáhlé interní selhání, které poskytuje klientům vysokou dostupnost. Obchodní klienti a zaměstnanci, kteří nemají přístup k informacím nebo službám, mají tendenci ztrácet důvěru.
kompromis pro spolehlivost a důvěryhodnost je samozřejmě nákladný: systémy selhání se mohou stát neúměrně drahými., Budete muset pečlivě prostudovat své potřeby, abyste zjistili, zda váš systém vyžaduje tuto schopnost. Pokud například vaše prostředí vyžaduje vysokou úroveň dostupnosti, měly by být vaše servery seskupeny. To umožní ostatním serverům v síti převzít zatížení, pokud selže jeden ze serverů v clusteru. - odolnost proti poruchám. Odolnost proti poruchám je schopnost systému udržovat operace v případě selhání součásti. Systémy odolné proti poruchám mohou pokračovat v provozu, i když kritická součást, jako je disková jednotka, selhala., Tato schopnost zahrnuje nadměrné inženýrské systémy přidáním redundantních komponent a subsystémů, aby se snížilo riziko prostojů. Například odolnost proti chybám může být zabudována do serveru přidáním druhého zdroje napájení, druhého CPU a dalších klíčových komponent. Většina výrobců (například HP, Sun a IBM) nabízí servery odolné proti chybám; obvykle mají více procesorů, které se automaticky nezdaří, pokud dojde k poruše.
existují dvě klíčové součásti tolerance poruch, které byste nikdy neměli přehlížet: náhradní díly a elektrická energie., Náhradní díly by měly být vždy snadno dostupné k opravě jakékoli součásti kritické pro systém, pokud by selhala. Redundance strategie „N+1“ znamená, že máte počet komponent, které potřebujete, plus jeden pro připojení do jakéhokoli systému, pokud to bude potřeba. Od počítačových systémů nemůže fungovat v nepřítomnosti elektrické energie, je nutné, aby fault tolerance zabudování do elektrické infrastruktury, stejně. Minimálně by měl každý server a pracovní stanici doprovázet nepřerušitelný zdroj napájení (UPS) s přepěťovou ochranou., Že UPS by měla být dimenzována pro zatížení se očekává, že nést v případě výpadku napájení (factoring v počítači, monitoru a jiných zařízení připojených k němu) a být pravidelně kontrolována jako součást preventivní údržby rutiny, ujistěte se, že baterie je funkční. Budete muset vyměnit baterii každých pár let, abyste udrželi UPS v provozu.
UPS vám umožní pokračovat v práci bez napájení pouze na krátkou dobu. Pro toleranci poruch v situacích delšího trvání budete potřebovat záložní generátor., Záložní generátory běží na benzín, propan, zemní plyn nebo naftu a generují elektřinu potřebnou k zajištění stabilního výkonu. Ačkoli některé záložní generátory mohou přijít na okamžitě v případě výpadku napájení, většina trvat krátkou dobu, než se zahřát, než mohou poskytnout konzistentní výkon. Proto zjistíte, že stále potřebujete implementovat UPSs ve vaší organizaci. - redundantní pole nezávislých disků (RAID). RAID je technologie, která používá více disků k zajištění odolnosti proti chybám., Existuje několik úrovní RAID: RAID 0 (striped disky), RAID 1 (zrcadlení disků), RAID 3 nebo 4 (striped disky s dedicated parity), RAID 5 (prokládání disků s distributed parity), RAID 6 (striped disky s dual parity), RAID 1+0 (nebo 10) a RAID 0+1. Více o nich si můžete přečíst v tomto seznamu osvědčených postupů zabezpečení dat.
- disaster recovery (DR) plán. Plán obnovy po havárii pomáhá organizaci účinně reagovat, když dojde k katastrofě. Katastrofy zahrnují selhání systému, selhání sítě, selhání infrastruktury a přírodní katastrofy, jako jsou hurikány a zemětřesení., Plán DR definuje metody pro co nejrychlejší obnovu služeb a ochranu organizace před nepřijatelnými ztrátami v případě katastrofy.
v menší organizaci může být plán obnovy po havárii relativně jednoduchý a přímočarý. Ve větší organizaci by to mohlo zahrnovat více zařízení, firemní strategické plány a celá oddělení.
plán obnovy po havárii by měl řešit přístup k informacím a jejich ukládání. Váš plán zálohování citlivých dat je nedílnou součástí tohoto procesu.
F. a. Q.
Jaké jsou složky CIA triad?,
- důvěrnost: systémy a data jsou přístupná pouze oprávněným uživatelům.
- integrita: systémy a data jsou přesné a úplné.
- dostupnost: systémy a data jsou přístupné, pokud jsou potřeba.
proč je triáda CIA důležitá pro zabezpečení dat?
konečným cílem zabezpečení dat je zajistit důvěrnost, integritu a dostupnost kritických a citlivých dat. Použití principů triády CIA pomáhá organizacím vytvořit efektivní bezpečnostní program na ochranu jejich cenných aktiv.,
jak lze trojici CIA aplikovat v řízení rizik?
během hodnocení rizik organizace měří rizika, hrozby a zranitelnosti, které by mohly ohrozit důvěrnost, integritu a dostupnost svých systémů a dat. Zavedením bezpečnostních kontrol ke zmírnění těchto rizik splňují jeden nebo více základních principů triády CIA.
jak může být ohrožena důvěrnost dat?
důvěrnost vyžaduje zabránění neoprávněnému přístupu k citlivým informacím., Přístup mohl být úmyslné, jako je vetřelec vloupání do sítí a čtení informace, nebo by to mohlo být neúmyslné, z důvodu nepozornosti nebo neschopnosti jednotlivců zpracování informací.
jaká opatření mohou pomoci zachovat důvěrnost dat?
jedním z nejlepších postupů pro ochranu důvěrnosti dat je šifrování všech citlivých a regulovaných dat. Nikdo nemůže číst obsah šifrovaného dokumentu, pokud nemá dešifrovací klíč, takže šifrování chrání před škodlivými i náhodnými kompromisy důvěrnosti.,
jak může být ohrožena integrita dat?
integrita dat může být ohrožena jak lidskými chybami, tak kybernetickými útoky, jako je destruktivní malware a ransomware.
jaká opatření mohou pomoci zachovat integritu dat?,
Chcete-li zachovat integritu dat, musíte:
- Zabránit změnám dat neoprávněnými uživateli
- Zabránit neoprávněné nebo neúmyslné změny údajů ze strany oprávněných uživatelů
- Zajištění správnosti a konzistence dat prostřednictvím procesů, jako je kontrola chyb a ověření dat
cenný nejlepší praxe pro zajištění přesnosti dat je file integrity monitoring (FIM)., FIM pomáhá organizacím detekovat nesprávné změny kritických souborů ve svých systémech auditem všech pokusů o přístup nebo úpravu souborů a složek obsahujících citlivé informace a kontrolou, zda jsou tyto akce povoleny.
jak může být ohrožena dostupnost dat?
Ohrožení dostupnosti infrastruktury zahrnují poruchy, jako jsou sítě nebo hardwarové problémy; neplánované software prostoje; infrastruktura, přetížení, výpadky proudu, a kybernetických útoků, jako jsou DDoS nebo ransomware útoků.
jaká opatření mohou pomoci zachovat dostupnost dat?,
je důležité nasadit ochranná opatření proti přerušení do všech systémů, které vyžadují nepřetržitou provozuschopnost. Možnosti zahrnují redundanci hardwaru, selhání, clustering a rutinní zálohy uložené na geograficky odděleném místě. Kromě toho je důležité vyvinout a otestovat komplexní plán obnovy po havárii.