Давайте, наконец, задумаемся о том, что мы подразумеваем, когда говорим «активы» и «три защищаемых свойства информации»

в 11:25, , рубрики: доступность, информационная безопасность, конфиденциальность, неотказуемость, подлинность, подотчётность, свойства информации, управление рисками

О том, о чём все и так знают

Почему-то очень многие люди говорят, что защищают три свойства информации (да, те самые: конфиденциальность, целостность, доступность).
Почему-то при оценке рисков выписывают «активы», причём только активы.

Услышав это ещё раз я не выдержал, и решил написать этот скучный и неинтересный пост о том, о чём все и так знают.

Ведь эти люди прекрасно знают, например, что такое ЭЦП. Мы что, не защищаем подлинность?
Защищаем.
Не защищаем неотказуемость?
Защищаем.
Все это знают.
Очевидно, что защищаемых свойств информации больше, чем три.

Давайте ещё раз определимся, что свойств информации не три и что когда мы выписываем «активы» — это не выписывание строк из книги учёта имущества организации.

Активы при управлении рисками

При управлении рисками мы должны выписать такой «актив», например, как деньги и здоровье клиента. Как всегда найдётся человек, которому только дай что-нибудь не защитить и который скажет, что такого актива у нас нет, так как клиент не принадлежит нам.

Однако это не так.
Допустим, что мы — банк. Если клиент потерял актив в виде его наличных средств, кому от этого плохо?
Клиенту. Но ровно до тех пор, пока он не потребовал от своего банка возместить потерю, считая, что эта потеря — вина банка.
Даже если это его вина — лишние судебные тяжбы и негативные отзывы нам не нужны. Не потому что дорого, а потому что репутационный ущерб есть и здесь.

Если мы заботимся о клиенте, то мы должны заботится о его активе, в том числе, и со стороны такой сущности как пароль.
Пароль — это не забота клиента, как говорят некоторые, и очень часто говорят. Пароль — это не актив клиента.
Пароль — это общая забота и общий «актив», хоть и принадлежит и управляется он клиентом.

Пароль может быть забыт. Чья это забота?
Наша, серверной стороны, чтобы дать клиенту восстановить пароль, причём безопасно.
Пароль может быть потерян.
Опять, наша забота дать возможность клиенту быстро сменить пароль.

Наконец, мы все знаем, что наша модель клиента — это вовсе не крутой безопасник, который тратит 1,5 млн. рублей в год на обеспечение безопасности своего компьютера.
Мы все знаем, что есть угроза хищения пароля с компьютера клиента.
Мы все знаем, что кроме атак, которые может парировать клиент, мы должны стремится парировать саму угрозу.
Например, используя так любимую многими двухфакторную аутентификацию и биометрию.

Однако всё ещё есть люди, которые называют пароль активом клиента, ведь он не стоит у нас на балансе, правда?

При управлении рисками мы выписываем не только активы, мы выписываем и сущности, которые могут повлиять на активы и которые находятся под угрозой или создают угрозу или уязвимость или даже наоборот, создают угрозу потери положительных качеств чего-либо.
Например, мы выписываем забор завода, который расположен напротив нашей проходной и обеспечивает невозможность тарана проходной на высокой скорости. Как только этот совсем не наш забор будет снесён, нам придётся переоценивать риск тарана и снова думать об актуализации угрозы проникновения посредством тарана.

Таким образом, активы нужно выписывать, но кроме этого необходимо учитывать и другие сущности, влияющие или способные повлиять на актив или угрозы активу, а не ограничиваться только активами.

КЦД

Давайте прикинем, сколько на самом деле мы защищаем свойств информации. Определения ниже мои, т.к. не все стандартные лично меня устраивают.

1. Конциденциальность Confidentiality

Информация доступна только определённому владельцем информации кругу лиц.

2/1. Целостность Integrity

Фактическое содержимое информации (ИС) соответствует свойствам, ожидаемым для этой информации.

3/2. Доступность Availability

Информация (ИС) доступна для использования для уполномоченных пользователей в установленном порядке.

4/3. Подлинность Authenticity

Информация (ИС) в этом состоянии создана уполномоченными на это лицами, причём для субъекта доступа к информации эти лица ожидаемые.

5/4. Неотказуемость Non-repudiation

Невозможен обоснованный отказ от подлинности (авторства) и целостности информации (ИС) в этом состоянии.

6/5. Скрытность

Факт обработки информации (работы ИС) конфиденциален.

7. Достоверность Reliability

Информация соответствует действительности

8/6. Информативность (полезность)

Соответствие информации (ИС) целям субъекта доступа к информации (способность информации удовлетворить субъекта доступа)

9/7. Своевременность

Субъект обработки информации получил информацию в нужный момент времени
Способность ИС и инфраструктуры (порядка) доступа обеспечить своевременность предоставления информации.

10/8. Контролируемость (подотчётность) Accountability

События обработки информации (использования ИС) достоверно документируются, возможно установить субъект и объект события, причину (мотив), по которой субъект инициировал событие, изменения состояний объекта и субъекта.

11/9. Управляемость (авторизуемость)

Доступ к информации (ИС) предоставляется только в соответствии с определённым владельцем порядком доступа

11 свойств для информации и 9 свойств информационных систем — это те, что я сам сумел насчитать, как говорится, «на коленках».
Причём у каждого из этих свойств можно выделить по меньшей мере 4-ре подсвойства:
1. Фактическое наличие или отсутствие свойства
2. Способность подтвердить свойство перед определённым или неопределённым кругом лиц
3. Требуемая и фактическая защищённость свойства
4, Проверяемость этой защищённости

Так давайте забудем, что этих свойств всего три. На самом деле их 4*11=44 для информации, и 4*9=36 для информационных систем.

Автор: fdsc

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js