Штирлиц:
«Да как вам сказать…трудно ответить до конца честно, пастор. И чем честнее я отвечу, тем большим лжецом, право слово, могу вам показаться.»
Обеспечение этих трех свойств данных (конфиденциальность, целостность и доступность) является ключевой задачей информационной безопасности. Но как и во всём в жизни здесь нужен баланс.
Мы должны обеспечивать конфиденциальность данных (чтобы нужная информация была доступна только нужным людям, ни больше, ни меньше) при этом гарантируя их целостность (чтобы нужная информация была доступна только нужным людям в неизмененном злонамеренно, оригинальном виде, ни больше, ни меньше), а также их непрерывную доступность (чтобы нужная информация была доступна только нужным людям в не измененном злонамеренно, оригинальном виде в любое время по требованию или при необходимости, сказать и тут «ни больше, ни меньше» язык уже не поворачивается).
Всё очень просто, запомнили, теперь крутитесь как хотите. Есть даже соответствующий простой термин: The CIA Triad (Confidentiality, Integrity and Availability), на английском благозвучнее конечно, чем Триада КЦД, хотя тоже звучит.
Разберем каждое свойство немного подробнее.
Конфиденциальность:
- Многие думают, что в этом и заключается информационная безопасность, но это не их заслуга, а наша недоработка;
- Данные хранятся не публично, а секреты секретно;
- Наша задача не допустить неавторизованный доступ к данным.
Целостность:
- Многие забывают, что и в этом заключается информационная безопасность, тоже наша недоработка;
- Данные защищены от порчи и/или искажений;
- Наша задача не допустить нелегитимное изменение данных.
Доступность:
- Многие даже не знают, что это тоже относится к информационной безопасности, точно наша недоработка;
- Данные доступны для авторизованного доступа;
- Наша задача обеспечить непрерывность доступности данных.
Итого, еще раз, данные должны храниться не публично, а секреты секретно, при этом они должны быть защищены от порчи и/или искажений и доступны для авторизованного доступа, а наша задача не допустить неавторизованный доступ и/или нелегитимное изменение данных, обеспечив при этом непрерывность их доступности.
Данные, данные, данные, что за данные то такие?
Данные — это информация, зафиксированная где-либо в определенной форме, пригодной для последующей обработки, хранения и передачи. Данные не обладают определенной структурой и становятся информацией тогда, когда пользователь задает им определенную структуру, то есть осознает их смысловое содержание.
Это раз.
У данных есть три агрегатных состояния:
- Покой (например, Ваши документы сейчас у Вас на компьютере, надеюсь);
- Движение (например, отправка Ваших документов вложением по электронной почте);
- Использование (например, когда получатель открыл и изучает отправленные Вами документы).
Это два.
Допустим, а что за неавторизованный доступ, точнее что за доступ такой понятно, но что такое авторизация?
Тут надо пройтись сразу по всему с этим связанному:
- Идентификация;
- Аутентификация;
- Авторизация;
- Презумпция ответственности.
Идентификация — Ваше имя или название Вашего профиля, название или номер аккаунта, и т. д. Например, я Тимур, мой аккаунт в telegram = @zinint, а аккаунт на Sponsr = http://sponsr.ru/netstat_ib.
Аутентификация — докажите, что это Ваше имя или, что это Ваш профиль. Сегодня необходимо всегда доказывать это используя многофакторную аутентификацию (как минимум двухфакторную, например пароль + код из смс).
Типы аутентификации:
- Тип 1 — что-то, что вы знаете: пароль, секретная фраза или ответ на секретный вопрос, PIN-код и т. д.;
- Тип 2 — что-то, чем вы владеете: удостоверение личности, код из СМС, отправленного на Ваш номер телефона или одноразовый код (OTP) из соответствующего приложения на Вашем телефоне, USB-токен, токен с генератором сессионых кодов (challenge-response «калькуляторы» такие, в банках бывает встречаются), даже cookie вашего браузера и т. д.;
- Тип 3 — что-то, чем вы являетесь: сканирование отпечатка пальца, распознавание лица, сканирование сетчатки глаза и т. д.
Авторизация — к чему вы уполномочены иметь доступ? Для этого используются различные модели контроля доступа, формат и методика применения которых зависит от конкретной организации и её целей. Мы еще разберем подробнее модели доступа в следующих постах серии ИБ: 101, например, DAC, MAC, RBAC, RUBAC и другие.
Презумпция ответственности — любое действие, достоверно отслеженное до субъекта его совершения, считается совершенным данным субъектом, например, Вы поделились своей учетной записью на работе с коллегой (коллега в Пн забыл пароль от своей учётной записи и ждет когда ИТ её разблокируют, или ему быстро надо сделать что-то в системе, к которой у вас есть доступ, а у него нет, и он не хочет оформлять соответствующую заявку ибо это излишняя бюрократия), если позднее из-под этой учетной записи организации будет нанесен ущерб в результате ошибочных или злонамеренных действий вашего коллеги, то отвечать за этот ущерб будете Вы (далее в этом посте мы еще этого коснёмся).
Нигде и никогда не делитесь своими учетными записями ни с кем, ни на работе, ни дома, нигде и никогда.
Поняв всё вышеперечисленное мы можем рассмотреть процессы информационной безопасности связанные с каждым свойством данных немного подробнее.
Обеспечение Конфиденциальности.
Несколько примеров средств обеспечения:
- Шифрование для данных в состоянии покоя, например, санкционированное шифрование Вашего жесткого диска;
- Защищенные транспортные протоколы для данных в состоянии движения, например, сеанс посещения сайта Вашего банка для работы в Вашем личном кабинете;
- Культура работы с данными для данных в состоянии использования, например, правило чистого стола, отсутствие посторонних за вашей спиной, или одна из важнейших привычек (поверьте) — блокировка компьютера когда Вы отходите от него или оставляете его без присмотра.
- Ну и использование длинных, сложных паролей (причем разных паролей на разных ресурсах), многофакторная аутентификация, например, через СМС, маскирование критичных данных, принципы наименьших привилегий и так далее и тому подобное, мы еще рассмотрим это подробнее в следующих главах.
Несколько примеров угроз конфиденциальности:
- Атаки на шифрование (криптоанализ, попытка его обхода или взлома, или кража соответствующего ключа шифрования);
- Социальная инженерия;
- Аппаратные или программные перехватчики вводимых данных (так называемые Key loggers, кстати аккуратнее со всякими удобными программами по автоматическому переключению языков при вводе текста на неправильной раскладке клавиатуры, бывали случаи…вот ведь удобно англо-саксам, на клавиатуре одна раскладка…), камеры, стеганография;
- Всеми любимые устройства умного дома и прочие удобно подключенные к Сети приборы, обновления для программного обеспечения которых, многими производителями давно не выпускаются или просто не были предусмотрены изначально — продал, забыл.
Всегда блокируйте все свои электронные устройства когда Вы отходите от них или оставляете их без присмотра!
Обеспечение Целостности.
Несколько примеров средств обеспечения:
- Шифрование, опять таки;
- Контрольные суммы и имитовставки;
- Электронная подпись;
- Разграничение прав.
Несколько примеров угроз целостности:
- Изменение или порча данных;
- Внедрение вредоносного кода;
- Атака средствами шифровальщиков.
Обеспечение Доступности.
Несколько примеров средств обеспечения:
- Отказоустойчивые программные и аппаратные архитектуры всех элементов информационной инфраструктуры (от георезервирования, электропитания, охлаждения и сети до RAID-массивов и гиперконвергентных систем);
- SLA, RTO, RPO, но об этом в следующих постах ИБ: 101.
Несколько примеров угроз доступности:
- Часто звучащие в СМИ DDoS атаки;
- Физические и/или логические атаки на объекты хранения или обработки данных, включая субъекты доступа к данным (зачастую — людей).
Но как с учетом всего вышеперечисленного не нарушить тот самый баланс? Небольшой перегиб в сторону конфиденциальности и может пострадать доступность, как и в случае с перегибом в сторону целостности. Или напротив, слишком высокая доступность и оба других свойства: конфиденциальность и целостность, снова будут страдать. Эти свойства можно и нужно назвать созависимыми.
Найти этот баланс это как раз творческая, при этом самая сложная и самая ответственная часть призвания ИБ, но сделать это в одиночку не представляется возможным. Необходимо общаться и понимать не только владельцев данных (а есть и такие, и мы о них еще поговорим подробнее ), но и пользователей (как бы вам этого, возможно, не хотелось). Как именно общаться, вплоть до форм и форматов мы также обсудим позднее, в следующих постах ИБ: 101.
Информационная безопасность призвана всесторонне поддерживать организацию, обеспечивать возможность реализации миссии организаций, успешного решения стоящих перед организацией задач и достижения поставленных целей. Информационная безопасность не самая важная часть организации, но при этом она затрагивает и влияет на все её части.
Именно поэтому специалист по информационной безопасности, исходя из одной только Инженерной чести, присущей его призванию (включая принципы due dilligence & due care, о которых мы снова поговорим позднее), обязан быть экспертом не только в своей области знаний, но также хорошо разбираться и во всех остальных процессах организации, постоянно примеряя на себя шляпу сотрудников других подразделений: ИТ, АХО, Бухгалтерии, Менеджеров всех звеньев, Экономической безопасности, Юристов, Закупщиков, Финансистов и т. д., чтобы посредством обратной связи и синхронизации понимания задач и целей организации, создавать и поддерживать баланс при реализации ключевой задачи информационной безопасности: обеспечении конфиденциальности, целостности и доступности данных и соответствующих процессов, которыми пользуются все сотрудники организации и люди за её пределами.