Сочинение на тему Конфиденциальность, целостность и доступность (триада ЦРУ)
- Опубликовано: 31.07.2020
- Предмет: жизнь, закон, преступление
- Темы: Безопасность, Конфиденциальность, Особенность персонажа, целостность
Конфиденциальность, целостность и доступность, также известная как триада CIA, – это модель, разработанная для управления политиками информационной безопасности в организации. Эту модель также иногда называют триадой AIC (доступность, целостность и конфиденциальность), чтобы избежать путаницы с Центральным разведывательным управлением. Элементы триады считаются тремя наиболее важными компонентами безопасности.
В этом контексте конфиденциальность – это набор правил, ограничивающих доступ к информации, целостность – это гарантия достоверности и точности информации, а доступность – гарантия надежного доступа к ней уполномоченных лиц.
Конфиденциальность
Конфиденциальность примерно эквивалентна конфиденциальности. Меры, предпринимаемые для обеспечения конфиденциальности, предназначены для предотвращения попадания конфиденциальной информации не тем людям, при этом гарантируя, что нужные люди действительно могут ее получить: доступ должен быть ограничен теми, кто уполномочен просматривать рассматриваемые данные. Также обычно классифицируют данные в соответствии с количеством и типом ущерба, который может быть нанесен, если они попадут в непреднамеренные руки. В соответствии с этими категориями могут быть приняты более или менее строгие меры.
Иногда для обеспечения конфиденциальности данных может потребоваться специальная подготовка лиц, имеющих доступ к таким документам. Такое обучение обычно включает угрозы безопасности, которые могут угрожать этой информации. Обучение может помочь ознакомить уполномоченных лиц с факторами риска и способами защиты от них. Дальнейшие аспекты обучения могут включать надежные пароли и передовые практики, связанные с паролями, а также информацию о методах социальной инженерии, чтобы они не нарушали правила обработки данных с добрыми намерениями и потенциально катастрофическими результатами.
Хорошим примером методов, используемых для обеспечения конфиденциальности, является номер счета или номер маршрутизации при онлайн-банкинге. Шифрование данных является распространенным методом обеспечения конфиденциальности. Идентификаторы пользователя и пароли составляют стандартную процедуру; Двухфакторная аутентификация становится нормой. Другие варианты включают биометрическую проверку и токены безопасности, брелки или программные токены. Кроме того, пользователи могут принять меры предосторожности, чтобы свести к минимуму количество мест, где появляется информация, и количество раз, когда она фактически передается для выполнения требуемой транзакции. Дополнительные меры могут быть приняты в случае крайне конфиденциальных документов, таких как хранение только на компьютерах с воздушным зазором, отключенных запоминающих устройствах или, для очень конфиденциальной информации, только в печатном виде.
Целостность
Целостность подразумевает поддержание согласованности, точности и достоверности данных в течение всего их жизненного цикла. Данные не должны быть изменены при транспортировке, и должны быть предприняты шаги, чтобы гарантировать, что данные не могут быть изменены посторонними лицами (например, в нарушение конфиденциальности). Эти меры включают в себя права доступа к файлам и контроль доступа пользователей. Контроль версий может использоваться для предотвращения ошибочных изменений или случайного удаления авторизованными пользователями, которые становятся проблемой. Кроме того, должны быть предусмотрены некоторые средства для обнаружения любых изменений в данных, которые могут произойти в результате не связанных с человеком событий, таких как электромагнитный импульс (EMP) или сбой сервера. Некоторые данные могут включать контрольные суммы, даже криптографические контрольные суммы, для проверки целостности. Для восстановления поврежденных данных в правильное состояние должны быть доступны резервные копии или резервные копии.
Доступность
Доступность лучше всего обеспечивается тщательным обслуживанием всего оборудования, немедленным выполнением ремонта оборудования, когда это необходимо, и поддержанием правильно функционирующей среды операционной системы, свободной от конфликтов программного обеспечения. Также важно быть в курсе всех необходимых обновлений системы. Обеспечение адекватной пропускной способности связи и предотвращение возникновения узких мест одинаково важны. Избыточность, отказоустойчивость, RAID и даже кластеры высокой доступности могут смягчить серьезные последствия, когда проблемы с оборудованием возникают. Быстрое и адаптивное аварийное восстановление необходимо для наихудших сценариев; эта емкость зависит от наличия комплексного плана аварийного восстановления (DRP). Средства защиты от потери данных или прерываний в соединениях должны включать непредсказуемые события, такие как стихийные бедствия и пожары. Для того, чтобы предотвратить потерю данных из таких случаев, резервная копия может храниться в географически изолированном месте, может быть, даже в несгораемом, водонепроницаемом сейфе. Дополнительное оборудование для обеспечения безопасности или программное обеспечение, такое как брандмауэры и прокси-серверы, могут защитить от простоев и недоступности данных из-за вредоносных действий, таких как атаки типа «отказ в обслуживании» (DoS) и вторжения в сеть.
Особые задачи для триады ЦРУ
Большие данные ставят дополнительные задачи перед парадигмой ЦРУ из-за огромного объема информации, которую необходимо защищать, множества источников, из которых они поступают, и разнообразия форматов, в которых они существуют. Повторяющиеся наборы данных и планы аварийного восстановления могут увеличить и без того высокие затраты. Кроме того, поскольку основной задачей больших данных является сбор и предоставление какой-либо полезной интерпретации всей этой информации, часто отсутствует ответственный надзор за данными. Информатор Эдвард Сноуден сообщил об этой проблеме на открытом форуме, когда сообщил о сборе АНБ огромных объемов личных данных американских граждан.
Конфиденциальность Интернета вещей – это особые соображения, необходимые для защиты информации отдельных лиц от воздействия в среде IoT, в которой почти любому физическому или логическому объекту или объекту может быть присвоен уникальный идентификатор и возможность автономного общения через Интернет. или аналогичная сеть. Данные, передаваемые данной конечной точкой, могут не вызывать никаких проблем с конфиденциальностью. Однако, когда даже фрагментированные данные из нескольких конечных точек собираются, сопоставляются и анализируются, это может дать конфиденциальную информацию.
Безопасность Интернета вещей также представляет собой особую проблему, потому что IoT состоит из такого большого количества подключенных к Интернету устройств, помимо компьютеров, которые часто не исправляются и часто имеют стандартные или слабые пароли. Если они не защищены должным образом, вещи IoT могут использоваться как отдельные векторы атаки или как часть бота вещей. Например, в недавней проверке концепции исследователи продемонстрировали, что сеть может быть взломана с помощью лампочки с поддержкой Wi-Fi. В декабре 2013 года исследователь в Proofpoint, фирме по безопасности предприятия, обнаружил, что сотни тысяч спам-писем регистрировались через шлюз безопасности. Proofpoint отследил атаки на ботнет, состоящий из 100 000 взломанных устройств. По мере того, как все больше и больше продуктов разрабатываются с возможностью подключения к сети, важно постоянно учитывать безопасность при разработке продукта.
Группа реагирования на инциденты в области компьютерной безопасности (CSIRT, пояснено «see-sirt») – это подразделение, которое получает отчеты о взрывах безопасности, проводит проверки отчетов и отвечает
АВТОРЕФЕРАТ Отчет о назначении отдельных лиц и групп связан с программой и политиками управления и развития ИТ-безопасности. Организация, которую я выбрал, воображаемая организация A2Z. Основной
Безопасность удаленной системы – это способ наметить, реализовать и обеспечить безопасность на удаленном компьютере. Это подмножество системной безопасности, которое включает гарантию для удаленной сети ПК.