Якія асноўныя асновы камп'ютэрнай бяспекі?

/ / Апублікавана ў кібербяспека, Асновы бяспекі камп'ютэрных сістэм EITC/IS/CSSF, Увядзенне, Уводзіны ў бяспеку камп'ютэрных сістэм

Камп'ютэрная бяспека, якую часта называюць кібербяспекай або інфармацыйнай бяспекай, — гэта дысцыпліна, мэтай якой з'яўляецца абарона камп'ютэрных сістэм і дадзеных, якія яны апрацоўваюць, ад несанкцыянаванага доступу, пашкоджання, парушэнняў або крадзяжу. У аснове ўсіх ініцыятыў па камп'ютэрнай бяспецы ляжаць тры асноўныя слупы, шырока вядомыя як трыяда CIA: канфідэнцыяльнасць, цэласнасць і даступнасць. Гэтыя слупы з'яўляюцца кіруючымі прынцыпамі, якія ўплываюць на распрацоўку, рэалізацыю і ацэнку мер бяспекі ў любым вылічальным асяроддзі. Кожны слуп ахоплівае асобны аспект бяспекі, і іх эфектыўнае ўкараненне забяспечвае надзейную абарону ад шырокага спектру пагроз.

1. канфідэнцыяльнасць

Канфідэнцыяльнасць — гэта прынцып забеспячэння доступу да інфармацыі толькі тым, хто мае на гэта права. Ён накіраваны на прадухіленне несанкцыянаванага раскрыцця інфармацыі. На практыцы гэта азначае, што канфідэнцыйныя дадзеныя, такія як асабістая інфармацыя, камерцыйная таямніца або класіфікаваныя ўрадавыя матэрыялы, не павінны раскрывацца асобам, сістэмам або працэсам, якія не маюць неабходных дазволаў.

Рэалізацыя мер па забеспячэнні канфідэнцыяльнасці звычайна ўключае ў сябе:

- ідэнтыфікацыя: Праверка асобы карыстальнікаў і сістэм з дапамогай пароляў, біяметрыі, токенаў бяспекі, смарт-карт і іншых механізмаў.
- Кіраванне доступам: Вызначэнне і забеспячэнне выканання палітык, якія вызначаюць, хто можа атрымліваць доступ да якіх дадзеных і пры якіх абставінах. Распаўсюджаныя мадэлі ўключаюць дыскрэцыйнае кіраванне доступам (DAC), абавязковы кантроль доступу (MAC) і кантроль доступу на аснове роляў (RBAC).
- шыфраванне: Пераўтварэнне інфармацыі ў фармат, нечытэльны для несанкцыянаваных карыстальнікаў. Шыфраванне ўжываецца да дадзеных, якія захоўваюцца (напрыклад, файлы на цвёрдым дыску), дадзеных, якія перадаюцца (напрыклад, дадзеныя, якія адпраўляюцца праз Інтэрнэт), і ўсё часцей да дадзеных, якія выкарыстоўваюцца.
- Маскіроўка і рэдагаванне даных: Схаванне пэўных элементаў дадзеных у наборы дадзеных для прадухілення раскрыцця, асабліва ў асяроддзях, дзе неабходна перадаваць усе наборы дадзеных, але канфідэнцыйнымі з'яўляюцца толькі пэўныя дэталі.

Напрыклад, у інтэрнэт-банкінгу канфідэнцыяльнасць гарантуе, што інфармацыя аб рахунку, запісы аб транзакцыях і асабістыя ідэнтыфікацыйныя дадзеныя бачныя толькі ўладальніку рахунку і ўпаўнаважаным супрацоўнікам банка, а не знешнім асобам або іншым кліентам.

Пагрозы канфідэнцыяльнасці:
- Падслухоўванне або перахоп: Несанкцыянаваныя бакі праслухоўваюць сеткавы трафік (напрыклад, праз сніферы пакетаў у неабароненым Wi-Fi).
- Парушэнне дадзеных: Несанкцыянаваны доступ да баз дадзеных з-за ўразлівасцяў або кампраметацыі ўліковых дадзеных.
- Сацыяльная інжынерыя: Зламыснікі маніпулююць людзьмі, каб яны раскрылі канфідэнцыйную інфармацыю.

2. Сумленнасць

Цэласнасць адносіцца да дакладнасці і паўнаты дадзеных. Яна гарантуе, што інфармацыя не будзе зменена несанкцыянаваным чынам, зламысна або выпадкова, падчас захоўвання, перадачы або апрацоўкі. Прынцып цэласнасці таксама ахоплівае гарантыю таго, што сістэма і яе праграмнае забеспячэнне выконваюць свае функцыі без несанкцыянаванай мадыфікацыі.

Для падтрымання цэласнасці арганізацыі ўкараняюць такія меры, як:

- Кантрольныя сумы і хэш-функцыі: Стварэнне унікальных лічбавых адбіткаў пальцаў для дадзеных, каб можна было выявіць несанкцыянаваныя змены шляхам параўнання захаваных і вылічаных хэшаў.
- Лічбавыя подпісы: Забеспячэнне крыптаграфічнага доказу паходжання і нязмененага стану дакумента або паведамлення.
- Кантроль доступу і журналы аўдыту: Абмежаванне таго, хто можа змяняць дадзеныя, і вядзенне ўліку змяненняў для палягчэння выяўлення і расследавання несанкцыянаваных змяненняў.
- Сістэмы кантролю версій: Кіраванне зменамі ў дакументах і кодзе шляхам адсочвання рэдакцый, садзейнічання адкату і вядзення гістарычных запісаў.

Напрыклад, у кантэксце электронных медыцынскіх запісаў меры цэласнасці гарантуюць, што запісы пацыентаў не могуць быць зменены неўпаўнаважанымі асобамі і што любыя змены можна прасачыць да адказнага медыцынскага работніка.

Пагрозы цэласнасці:
- Падробка дадзеных: Наўмыснае змяненне дадзеных зламыснікамі, напрыклад, мадыфікацыя фінансавых запісаў з мэтай здзяйснення махлярства.
- Памылкі перадачы: Ненаўмысныя змены з-за збояў у сетцы або апаратных няспраўнасцей.
- Шкоднасныя праграмы: Вірусы або іншае шкоднаснае праграмнае забеспячэнне, якое пашкоджвае файлы або змяняе паводзіны сістэмы.

3. даступнасць

Даступнасць — гэта прынцып, які гарантуе аўтарызаваным карыстальнікам надзейны і своечасовы доступ да інфармацыі і рэсурсаў пры неабходнасці. Гэта прадугледжвае падтрыманне функцыянальнасці сістэм, сетак і дадзеных нават ва ўмовах збояў, нападаў або катастроф.

Механізмы забеспячэння даступнасці ўключаюць:

- Надмернасць: Разгортванне сістэм рэзервовага капіявання, кластараў рэзервовага капіявання і рэзервовых сеткавых злучэнняў для прадухілення адзінкавых кропак адмовы.
- Рэгулярныя рэзервовыя копіі: Рэгулярнае капіраванне дадзеных для іх аднаўлення пасля страты або пашкоджання.
- Планаванне аварыйнага аднаўлення: Падрыхтоўка да маштабных збояў з дапамогай планаў, якія вызначаюць, як хутка аднавіць працу.
- Абарона ад адмовы ў абслугоўванні (DoS): Укараненне брандмаўэраў, сістэм прадухілення ўварванняў і тэхналогій абароны ад DoS для змякчэння нападаў, накіраваных на перагрузку рэсурсаў і недаступнасць паслуг.
- Кіраванне выпраўленнямі: Абнаўленне сістэм для абароны ад эксплойтаў, якія могуць прывесці да збою або адключэння службаў.

Напрыклад, у воблачным сэрвісе паказчыкі даступнасці гарантуюць, што карыстальнікі могуць атрымаць доступ да сваіх уліковых запісаў і дадзеных у любы час, нават калі ў адным з цэнтраў апрацоўкі дадзеных пастаўшчыка адбыўся збой абсталявання.

Пагрозы даступнасці:
- Атакі тыпу «адмова ў абслугоўванні» (DoS) і размеркаваныя атакі тыпу «адмова ў абслугоўванні» (DDoS): Запаўненне сістэмы трафікам для вычарпання яе рэсурсаў.
- Апаратныя збоі: Адключэнні электраэнергіі, збоі дыска або іншыя фізічныя праблемы, якія перарываюць абслугоўванне.
- Стыхійныя бедствы: Такія падзеі, як землятрусы, паводкі або пажары, якія пашкоджваюць інфраструктуру.
- вымагальнікі: Шкоднаснае праграмнае забеспячэнне, якое шыфруе дадзеныя і патрабуе аплаты за аднаўленне доступу.

Узаемасувязь трыяды ЦРУ

Гэтыя тры слупы цесна ўзаемазвязаны. Паляпшэнне аднаго можа паўплываць на іншыя, і эфектыўныя стратэгіі бяспекі павінны знаходзіць баланс паміж імі. Напрыклад, хоць шыфраванне дадзеных паляпшае канфідэнцыяльнасць, яно таксама можа паўплываць на даступнасць, калі ключы шыфравання страчаны, што робіць дадзеныя незваротнымі. Падобным чынам, празмерна абмежавальныя меры кантролю доступу, якія абараняюць канфідэнцыяльнасць і цэласнасць, могуць перашкаджаць доступу законных карыстальнікаў, уплываючы на даступнасць.

Спецыялісты па бяспецы павінны ацэньваць рызыкі і распрацоўваць меры кантролю, якія аптымізуюць усе тры слупы ў адпаведнасці з патрэбамі арганізацыі, рэгулятыўнымі абавязацельствамі і ландшафтам пагроз.

Па-за межамі трыяды ЦРУ: пашырэнне мадэлі бяспекі

Хоць трыяда ЦРУ фармуе асноўную структуру, сучасная камп'ютэрная бяспека часта пашырае мадэль, каб улічваць дадатковыя меркаванні, у тым ліку:

- ідэнтыфікацыя: Забеспячэнне таго, каб аб'екты (карыстальнікі, прылады, сістэмы) былі тымі, кім яны сябе выдаюць.
- аўтарызацыя: Вызначэнне таго, ці дазволена дадзенай сутнасці выконваць пэўнае дзеянне.
- Падсправаздачнасць (неадмаўленне): Забеспячэнне магчымасці адсочвання дзеянняў да адказных асоб, прадухіленне адмовы ў выкананні дзеянняў.
- Праверка: Забеспячэнне механізмаў для рэгістрацыі і праверкі дзеянняў у мэтах экспертызы і захавання адпаведнасці.
- Бяспека: Абарона персанальнай інфармацыі (PII) у адпаведнасці з прававымі і этычнымі стандартамі.

Нягледзячы на важнасць гэтых пашырэнняў, трыяда ЦРУ застаецца канцэптуальным ядром камп'ютэрнай бяспекі.

Прыклады, якія ілюструюць трыяду ЦРУ

1. Інтэрнэт-банкінг:
– *Канфідэнцыяльнасць:* Шыфраванне SSL/TLS абараняе сувязь паміж браўзерам карыстальніка і серверамі банка.
– *Цэласнасць:* Журналы транзакцый і лічбавыя подпісы прадухіляюць унясенне змяненняў у баланс рахункаў або гісторыю транзакцый.
– *Даступнасць:* Размеркаваныя серверы і балансаванне нагрузкі гарантуюць, што кліенты могуць атрымаць доступ да сваіх уліковых запісаў у любы час.

2. Інфармацыйныя сістэмы аховы здароўя:
– *Канфідэнцыяльнасць:* Абмежаванні доступу не дазваляюць несанкцыянаванаму персаналу праглядаць запісы пацыентаў.
– *Цэласнасць:* Аўдытарскія журналы і журналы змяненняў адсочваюць змены ў медыцынскіх запісах.
– *Даступнасць:* Рэзервовыя крыніцы харчавання і лішнія сеткі забяспечваюць медыцынскім персаналу доступ да дадзеных пацыентаў у надзвычайных сітуацыях.

3. Вэб-сайты электроннай камерцыі:
– *Канфідэнцыяльнасць:* Уліковыя дадзеныя карыстальнікаў і плацежная інфармацыя шыфруюцца і захоўваюцца надзейна.
– *Цэласнасць:* Хэшы выкарыстоўваюцца для праверкі таго, што спісы прадуктаў і звесткі аб замове не былі зменены.
– *Даступнасць:* Платформы хмарнага хостынгу забяспечваюць маштабаванасць і ўстойлівасць для апрацоўкі рэзкіх павелічэнняў трафіку і абароны ад DoS-атак.

Агульныя меры бяспекі, узгодненыя са слупамі

- Брандмаўэры: Забяспечце канфідэнцыяльнасць і даступнасць, абмяжоўваючы несанкцыянаваны доступ і фільтруючы сеткавы трафік.
- Сістэмы выяўлення і прадухілення ўварванняў (IDPS): Сачыце за сістэмамі на наяўнасць прыкмет парушэнняў, якія могуць паставіць пад пагрозу цэласнасць або даступнасць.
- Агляды доступу карыстальнікаў: Перыядычна правяраючы правы карыстальнікаў, каб гарантаваць, што доступ маюць толькі ўпаўнаважаныя асобы, абараняючы канфідэнцыяльнасць і цэласнасць.
- Палітыка бяспекі і навучанне: Распрацоўка рэкамендацый і павышэнне дасведчанасці карыстальнікаў для забеспячэння правільнага абыходжання з канфідэнцыйнымі дадзенымі і рэагавання на інцыдэнты бяспекі.

Юрыдычныя і нарматыўныя меркаванні

Прытрымліванне трыяды ЦРУ таксама адлюстравана ў розных стандартах і правілах. Напрыклад:

- Закон аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA): Абавязкова забяспечвае канфідэнцыяльнасць, цэласнасць і даступнасць абароненай медыцынскай інфармацыі.
- Агульны рэгламент па абароне персанальных дадзеных (GDPR): Патрабуе ад арганізацый укаранення адпаведных мер бяспекі для абароны персанальных дадзеных, ахопліваючы ўсе тры палажэнні.
- Стандарт бяспекі дадзеных індустрыі плацежных картак (PCI DSS): Вызначае патрабаванні да абароны дадзеных уладальнікаў картак, у тым ліку шыфраванне (канфідэнцыяльнасць), рэгістрацыю (цэласнасць) і бесперапыннасць бізнесу (даступнасць).

Структуры бяспекі і трыяда ЦРУ

Некалькі структур бяспекі, такія як NIST Cybersecurity Framework і ISO/IEC 27001, пабудаваныя на трыядзе CIA. Яны забяспечваюць структураваныя падыходы да выяўлення, ацэнкі і кіравання рызыкамі, звязанымі з канфідэнцыяльнасцю, цэласнасцю і даступнасцю.

Кіраванне рызыкамі і трыяда ЦРУ

Кіраванне рызыкамі ў камп'ютэрнай бяспецы ўключае ў сябе выяўленне актываў, ацэнку пагроз і ўразлівасцяў, ацэнку патэнцыйных наступстваў і прымяненне кантролю для кіравання рызыкамі ў дачыненні да асноўных кампанентаў камп'ютэрнай бяспекі. Напрыклад, арганізацыя можа правесці ацэнку рызык, каб вызначыць, як атака праграм-вымагальнікаў можа паўплываць на даступнасць дадзеных, а затым укараніць такія меры, як рэгулярнае рэзервовае капіраванне і навучанне супрацоўнікаў, каб знізіць гэтую рызыку.

Роля чалавечага фактару

Паводзіны чалавека адыгрываюць значную ролю ў падтрыманні трыяды ЦРУ. Такія памылкі, як ненадзейныя паролі, няправільнае абыходжанне з канфідэнцыйнай інфармацыяй або адсутнасць абнаўленняў праграмнага забеспячэння, могуць падарваць усе тры слупы. Такім чынам, навучанне па пытаннях бяспекі і культура сумеснай адказнасці з'яўляюцца найважнейшымі кампанентамі комплекснай праграмы бяспекі.

Новыя тэндэнцыі і будучыя выклікі

Па меры развіцця тэхналогій з'яўляюцца новыя пагрозы і складанасці, якія ставяць пад сумнеў прымяненне трыяды ЦРУ. Распаўсюджванне хмарных вылічэнняў, мабільных прылад, Інтэрнэту рэчаў (IoT) і штучнага інтэлекту стварае новыя вектары нападаў і патрабуе адаптацыі традыцыйных падыходаў да бяспекі. Напрыклад:

- Воблачныя асяроддзі: Дадзеныя могуць захоўвацца ў розных месцах і атрымліваць доступ да іх з розных прылад, што ўскладняе кантроль за канфідэнцыяльнасцю і даступнасцю.
- Прылады IoT: Часта маюць абмежаваныя функцыі бяспекі, што робіць іх уразлівымі да парушэнняў, якія ўплываюць на цэласнасць і даступнасць.
- Аддаленая праца: Пашырае паверхню атакі, патрабуючы новых стратэгій для падтрымання трыяды ЦРУ па-за межамі традыцыйных сеткавых перыметраў.

Спецыялісты па бяспецы павінны быць у курсе такіх падзей і пастаянна ўдасканальваць меры кантролю, каб падтрымліваць прынцыпы канфідэнцыяльнасці, цэласнасці і даступнасці.

Асноўныя прынцыпы камп'ютэрнай бяспекі — канфідэнцыяльнасць, цэласнасць і даступнасць — забяспечваюць комплексную аснову для абароны інфармацыі і рэсурсаў у камп'ютэрных сістэмах. Кожны кантроль бяспекі, палітыка і перадавая практыка ў канчатковым выніку прызначаны для падтрымкі аднаго або некалькіх з гэтых асноўных прынцыпаў. Разумеючы іх азначэнні, пагрозы, якія яны вырашаюць, і практычныя сродкі рэалізацыі, арганізацыі могуць лепш абараняць свае актывы ва ўсё больш складаным лічбавым асяроддзі.

Іншыя апошнія пытанні і адказы адносна Асновы бяспекі камп'ютэрных сістэм EITC/IS/CSSF:

Глядзіце больш пытанняў і адказаў у EITC/IS/CSSF Computer Systems Security Fundamentals

Яшчэ пытанні і адказы:

тэгі: , , , , , , ,