Глава 5 Безопасность предпринимательской деятельности
Информация как предмет защиты
Конфиденциальность, целостность, доступность
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном блоге Многие характеристики безопасности можно опосредованно свести к трём основным: Полностью соглашусь с комментариями Алексея: Часто появляются такие "парадигмы" из-за недопонимания их авторами концепции и притягивании частного в общее И в части защищаемой информации и в части ключа! Так что плюем мы революционной слюной в паркерковские парадигмы!!! А вот достоверность - это характеристика, обеспечение которой возложена на ИБ системы или на пользователя? Это собственная характеристика или относительная? Алексей, что-то я запутался: А если информация была лишь частично уничтожена? Пример с конвертом как раз описывает ту дефиницию и смысл безопасности вообще, который нравится мне: Естественно, что эти условия могут различаться. Очень общее определение, которое все-же верно отражает саму суть безопасности. Применительно к информационной безопасности можно выбрать для себя N измеряемых или просто объективных параметров, по которым можно судить, не утратили ли мы такой контроль. А элементы NISTовской или любой другой модели можно использовать как справочник подобных параметров. Конечно, в некоторых случаях шкалу можно сделать более точной и один из параметров разделить еще на несколько. Но возводить все это в "новые парадигмы", особого смысла не вижу. По-моему, "старой" триады вполне достаточно, чтобы обеспечить полноценную безопасность информации, было бы желание Вот ведь догматики собрались. Давайте тогда добавим к словам триады конкретные существительные? Вот есть взлом АСУ ТП через оставленный при разработке backdoor. С помощью этого backdoor я взял управление АСУ ТП на себя. Или получил банк платежку и провел платеж, а клиент отказывается от проведения платежа. Какие характеристики тут нарушены из трех? Алексей, на банкире ж эту тему долго и упорно обсуждали и тоже все свелось к классической триаде ;-. Согласен с Алексеем - стремление к созданию универсального, на все случаи жизни, определения приведет к безудержному росту уточнений и дополнений. ПО-моему разумнее остановиться на общем смысле хотя бы КДЦ , а уточнять и раскрывать его уже применительно к конкретной ситуации. Кстати о взломе АСУ ТП. Так и здесь если кто-то перехватил управление, то значит кто-то этого управления - лишился. Следовательно здесь речь идет о нарушении доступности пусть и на мгновение. Да кроме того, если мой сигнал управления, кторый я посылал законно, подменен ложным - значит здесь нарушена целостность моего сигнала. Неоднократно видел такие рассуждения, на мой взгляд все эти дополнительные характеристики легко сводятся к КЦД, и являются лишь производными от её частей. История про ПИН конверт вообще достаточно странно приведена в пример - здесь идёт речь не о потере конфиденциальности, как части актива, а о классической компрометации угроза , что как раз и вызывает беспокойство владельца актива. Конфиденциальные данные можно Д стереть, уничтожить физически информации нет, ценность равна нулю Ц внести изменения, нарушающие целостность информация некорректна, ценность равна нулю К опубликовать в общем источнике конфиденциальность нарушена, информация больше не имеет ценности. Что то подсказывает мне, что прежде чем начинать реинжиниринг процессов защиты информации, хорошо бы разобраться с переосмыслением философии категорий в защите информации и как следствие, определение четкого и прозрачного тезауруса. Вот только один вопрос? Просто оно теперь в двух руках. Правда, первые про эти ничего не знают. Ну вот, например http: А вообще к тем для кого безопасность информации - это состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность, у меня вопросов нет ;- Только ответьте себе на вопрос, а на кой ляд вы занимаетесь борьбой со спамом, внедряете ЭЦП, занимаетесь AAA, внедряете SIEM, получаете лицензии ФСБ, занимаетесь еще кучой дел, не имеющих отношения к КДЦ? Этим всем мы занимаемся, чтобы устранить уязвимости, с использованием которых могут быть нарушены КЦД. При этом уязвимость - свойство используемых технологий, а не информации. Предсказуемый ответ ;- Подскажите, борьба со спамом каким боком имеет отношение к КДЦ? Ну и получение лицензий ФСБ тоже ;-. Тогда это чистое К! А, простите, К чего? Тоже ничего не раскрыто. Ну вылилось 2 тысячи тонн фекалий на территорию пятизвездочного отеля. Ну так это ж не безопасность ;- Или все-таки безопасность? Предлагаю ввести новую характеристику: Это когда КЦД не нарушены, а вред нанесён. Например, подложным письмом или отречением. Спам - нарушение доступности электронной почты, персонала так же как и развлекательные сайты. Лицензии ФСБ - выполнение требований законодательства. Это уже не риск ИБ в чистом виде, соответственно к КЦД не имеет отношения. Если толковать К , как это сделано в большей части ФЗ типа К - обязательное требование не разглашать бла-бла Мне милее понимать под К состояние, при котором доступом к активу не обладают те, кому не надо. Не надо перевирать мои слова, я написал, что это не риск ИБ в чистом виде, а не то, что это не задача ИБ. Кстати, я почему-то привык не к триаде, а к четвериаде квадриаде, квадриге? ДКЦЗ З - это, наверное, compliance. В Краснодаре сейчас ФСБ и УБЭП плющит три банка по УК РФ за отсутствие лицензий ФСБ. Я бы посмотрел на того, кто сможет председателю правления банка, против которого возбуждено уголовное дело, утверждать, что это не риски ИБ ;-. Если произошел захват управления системы, которая имела защиту, то че то из "триады" точно будет нарушено. Вот если произошел перехват незащищенной системы, то "триаду" прикрутить будет сложно, проще использовать authenticity Если перехвативший управление эксплуатирует систему в штатном режиме,. Мы уже целостность к процессам стали прикручивать. Ну тогда давайте пойдем дальше - уберем из триады доступность и конфиденциальность, так как все можно привязать к нарушению целостности процесса безопасности. Ни какой революции не вышло. Процесс, как процесс здесь так же не причем. Любое управление осуществляется на основании некого информационного контекста, который в нашем случае был искажен. Если информационный контекст отрицать, тогда это неИБ-событие. На мой взгляд, защита информации тесно связана с процессом управления, в котором информация циркулирует. Из необходимых свойств процесса управления и вытекают принципы безопасности. Ну, а раз это управление - то тут нельзя забывать про главный принцип - принцип относительности: Мне кажется прикручивание какой-то модели на реалии жизни напоминает теорию маркса в отечественных учебниках по истории - явление порождающее бесполезное засирание мозга, давайте жить проще и в реальности если что-то непонятно, добавить новую характеристику - гораздо проще, чем натягивать Слово Божие на какие-то либо процессы. Во-первых, в наших НД понятия учетности, аутентичности введены в РД по терминам и в гармонизированных стандартах, например, Они применяются в отношении организации, а не информации почувствуйте разницу: ИБ организации и ИБ информации. Во-вторых, в документе NIST введены 33 принципа, а не составляющие безопасности. Да очень интересно получается.. Проблема мне кажется от того, что у каждого человека разные химические реакции в голове: Предлагаю каждую проблему рассматривать комплексно и не применять принцип "разделяй и властвуй": Как можно нарушить конфиденциальность того, что по нашим нормативным документам является открытой информацией? Это если опираться только на НПА. Кто нам запрещает в АСУ ТП к конфиденциальной информации причислить и команды управления? Ну так все противники расширения триады также аргументируют ;- Можно вообще все свести к конфиденциальности, если поставить такую задачу. Ну не всегда ж надо обеспечить конфиденциальность. Например, выложена открытая информация допустим информация об экологической обстановке в стране или Конституция, Законы и другие НПА на госуд-ых информационных ресурсах допустим на сайте правительства , необходимо обеспечить доступность и целостность данной информации. Главная страница Мои выступления Мои курсы Мои книги Обо мне DISCLAIMER. Главная Законодательство Оценка соответствия Лицензирование НПС Персданные Регуляторы ФСТЭК ФСБ Роскомнадзор Банк России Минкомсвязь Измерение ИБ Цена безопасности Экономика ИБ Метрики Тенденции Облака АСУ ТП Кибербезопасность Управление инцидентами SDLC Threat Intelligence Разное Security for Dummies Мероприятия по ИБ в Интерактивные карты атак Слияния и поглощения на рынке ИБ. Страницы Главная страница Мои выступления Мои курсы Мои книги Обо мне DISCLAIMER. Как налоговая может оспорить сделки с ИБ-интеграто Анализировать код на предмет его безопасности выго Презентация с DLP Russia Новые проекты Постановлений Правительства по персд Какова логика наших регуляторов при разработке нор Триада "конфиденциальность, целостность, доступнос Как ФСБ дураком меня назвала или опять опять про п Хватит ругать наши ГОСТы по безопасности. Презентация по безопасности облаков Безопасность АСУ ТП: BYOD в органах власти. Как это делают в США?! Какой была безопасность в России в х годах Как мне приснился PHD и к каким размышлениям это п Новые ГОСТы по ИБ или как ФСТЭК меняет методологич Российские интеграторы не понимают специфики защит Категории законодательство персональные данные ФСТЭК тенденции консолидация ФСБ поглощения выставки угрозы стандарты Россия Банк России SCADA криптография обучение оценка соответствия 80 Роскомнадзор 74 цена безопасности 73 Интернет-ресурсы 71 метрики 69 Разное 68 НПС 66 управление инцидентами 66 проблемы ИБ-компаний 53 стратегия 51 заблуждения 50 Юмор 49 экономика 49 психология 46 Минкомсвязь 44 безопасность бизнеса 44 SOC 43 облачная безопасность 43 cloud 40 философия 39 наука 38 Threat Intelligence 36 аутентификация 35 риски 33 повышение осведомленности 31 антивирус 30 лицензирование 30 DLP 29 SDLC 28 PCI DSS 27 кибервойна 25 международная ИБ 25 архитектура 23 геймификация 23 SIEM 22 кибербезопасность 22 мобильный офис 22 BYOD 21 аутсорсинг 20 APT 18 CISO 18 ISO 17 хакеры 17 NIST 16 Web 16 кризис 16 маркетинг 16 электронные платежи 16 ДБО 15 киберпреступность 15 IPS 14 США 14 видео 13 виртуализация 13 CERT 12 аудит 12 госорганы 12 история 12 классификация 12 стартап 12 ЭЦП 11 внутренние угрозы 11 кредитные карты 10 троян 10 IoT 9 Social Media 9 атрибуция 9 спам 9 Usability 8 ВТО 8 Интернет 8 МинОбороны 8 биометрия 8 книги 8 культура ИБ 8 статьи 8 open source 7 Совет Безопасности 7 аналогии 7 ООН 6 СУБД 6 непрерывность бизнеса 6 опыт 6 ОДКБ 5 ФАИТ 5 таможенный союз 5 терминология 5 уязвимости 5 этика 5 M2M 4 NBAD 4 МВД 4 Олимпиада 4 СНГ 4 СОРМ 4 мошенничество 4 перлюстрация 4 политика ИБ 4 русский язык 4 сканеры безопасности 4 страхование 4 VoIP 3 Интернет-маньяки 3 женщины 3 мобильные платежи 3 служебная тайна 3 тендер 3 ISACA 2 RFID 2 UTM 2 Wi-Fi 2 УЭК 2 ЦОД 2 безопасность 2 кибертерроризм 2 CIP 1 NIAC 1 SDN 1 resilience 1 БРИКС 1 Время 1 ЕАЭС 1 ШОС 1 кадры 1 терминальный доступ 1 транспорт 1 управление потоками 1 фишинг 1 электронное правительство 1. Все специалисты по безопасности знают классическую триаду "конфиденциальность, целостность и доступность" КЦД или "confidentiality, integrity, availability" CIA. Ее применяют к месту и не очень, но мало кто знает, откуда она вообще появилась? Этому в ВУЗах не учат, а стоило бы. Тогда стало бы понятно, что эта концепция уже немного устарела и не является догмой. Напомню, что впервые этот принцип был изложен в статье "Защита информации в компьютерных системах", написанной Зальцером и Шредером в м году и опубликованной в "Communications of the ACM". В этой статье безопасность определялась как " техники, которые контролируют, кто может использовать или модифицировать компьютер или содержащуюся в нем информацию ". При этом авторы ссылались на других авторов, которые считали, что все нарушения безопасности могут быть разбиты всего на 3 группы - неавторизованное использование unauthorized information release , неавторизованное изменение и неавторизованное блокирование использования unauthorized denial of use. С тех пор и началось победное шествие этой триады по миру. У нас она как-то подзадержалась и зависла во многих нормативных документах. Однако, чтобы понимать всю ограниченность этой концепции в современном мире надо вспомнить окружение, в котором эта триада появилась. Мейнфреймы, язык COBOL, операционная система MVS, Multics, UNIX и т. Что поменялось с тех пор? Все это уже очень трудно уложить в традиционную триаду. Стали появляться расширения триады. Например, ФСБ в своей методичке по персональным данным, указав триаду как основные характеристики безопасности, добавила еще: А в м Джон МакКамбер предложил свою модель на базе триады, названную им моделью информационной безопасности МакКамбера я о ней писал 3 года назад. ОЭСР в м году предложила свои 9 принципов безопасности - Awareness, Responsibility, Response, Ethics, Democracy, Risk Assessment, Security Design and Implementation, Security Management и Reassessment. ОСЭР всегда смотрела на безопасность с философски-культурологической позиции ;- В м году Дон Паркер предложил свой "Паркеровский гексагон", котрый к триаде добавлял еще 3 характеристики - владение или контроль possession или control , аутентичность достоверность и полезность utility. Представьте, что вор украл у вас запечатанный конверт с банковскими картами и PIN-кодами к ним. Даже если вор не открыл этот конверт и не нарушил тем самым его конфиденциальность, это все равно должно вызывать беспокойство владельца конверта, который потерял над ним контроль. Аналогичная ситуация с тестами на проникновение, например, в системы АСУ ТП. Во время таких тестов не страдает ни один из элементов классической триады, но успешное проникновение показывает потерю контроля. На тему полезности Паркер тоже приводил жизненную ситуацию. Допустим вы зашифровали свой жесткий диск и забыли пароль ключ. Для данных на диске сохраняется конфиденциальность, целостность, доступность, достоверность и контроль, но Это и есть нарушение полезности. NIST в м году пошел еще дальше и предложил свою модель из 33! Но и это тоже не конец. Многие организации пытались придумать что-то свое, подменяя понятие "информационной безопасности" другими - "управление рисками", "security governance" и т. И у каждого из них был свой набор характеристик или принципов, реализация которых позволяла надеяться на создание действительно защищенной системы или процесса. Отправить по электронной почте Написать об этом в блоге Опубликовать в Twitter Опубликовать в Facebook Поделиться в Pinterest. Следующее Предыдущее Главная страница. Комментарии к сообщению Atom. Категории аналогии антивирус архитектура атрибуция аудит аутентификация аутсорсинг Банк России безопасность безопасность бизнеса биометрия БРИКС видео виртуализация внутренние угрозы Время ВТО выставки геймификация госорганы ДБО ЕАЭС женщины заблуждения законодательство Интернет Интернет-маньяки Интернет-ресурсы история кадры кибербезопасность кибервойна киберпреступность кибертерроризм классификация книги консолидация кредитные карты кризис криптография культура ИБ лицензирование маркетинг МВД международная ИБ метрики Минкомсвязь МинОбороны мобильные платежи мобильный офис мошенничество наука непрерывность бизнеса НПС облачная безопасность обучение ОДКБ Олимпиада ООН опыт оценка соответствия перлюстрация персональные данные повышение осведомленности поглощения политика ИБ проблемы ИБ-компаний психология Разное риски Роскомнадзор Россия русский язык сканеры безопасности служебная тайна СНГ Совет Безопасности СОРМ спам стандарты стартап статьи стратегия страхование СУБД США таможенный союз тенденции тендер терминальный доступ терминология транспорт троян угрозы управление инцидентами управление потоками УЭК уязвимости ФАИТ философия фишинг ФСБ ФСТЭК хакеры цена безопасности ЦОД ШОС экономика электронное правительство электронные платежи этика ЭЦП Юмор APT BYOD CERT CIP CISO cloud DLP IoT IPS ISACA ISO M2M NBAD NIAC NIST open source PCI DSS resilience RFID SCADA SDLC SDN SIEM SOC Social Media Threat Intelligence Usability UTM VoIP Web Wi-Fi. Design by FThemes Blogger Theme by Lasantha - Premium Blogger Themes Cloud CRM.
План индивидуальной работы учителя логопеда в доу
Пилинг от пигментных пятен в домашних условиях
Восстановить фото на компьютере программа
Критерий калдора хикса
Описание схемы пончо ковентри
Понятие о железах организма
Инструкция о правилах мытья инвентаря в общепите
Двое делают куни видео
Телевидение интернет иваново
Таблица менделеева химик ру
Лечение прополисом рака
Экологический кризис решение проблемы
Температура содержания скалярий
Мультики лего чима 1 2 3 сезон
Принципиальная схема сварочного инвертора мма 250