Jakie są główne filary bezpieczeństwa komputerowego?

/ / Opublikowano w Bezpieczeństwo cybernetyczne, Podstawy bezpieczeństwa systemów komputerowych EITC/IS/CSSF, Wprowadzenie, Wprowadzenie do bezpieczeństwa systemów komputerowych

Bezpieczeństwo komputerowe, często określane jako cyberbezpieczeństwo lub bezpieczeństwo informacji, to dziedzina, której celem jest ochrona systemów komputerowych i przetwarzanych przez nie danych przed nieautoryzowanym dostępem, uszkodzeniem, zakłóceniami lub kradzieżą. Podstawą wszystkich inicjatyw w zakresie bezpieczeństwa komputerowego są trzy fundamentalne filary, powszechnie znane jako triada CIA: poufność, integralność i dostępność. Filary te stanowią zasady przewodnie, które determinują projektowanie, wdrażanie i ocenę środków bezpieczeństwa w dowolnym środowisku komputerowym. Każdy filar dotyczy odrębnego aspektu bezpieczeństwa, a ich skuteczne wdrożenie zapewnia solidną obronę przed szeroką gamą zagrożeń.

1. Poufność

Poufność to zasada zapewniająca dostęp do informacji wyłącznie osobom upoważnionym. Ma ona na celu zapobieganie nieautoryzowanemu ujawnianiu informacji. W praktyce oznacza to, że dane wrażliwe – takie jak dane osobowe, tajemnice handlowe czy materiały tajne rządowe – nie powinny być udostępniane osobom, systemom ani procesom, które nie posiadają wymaganych uprawnień.

Wdrażanie środków poufności zazwyczaj obejmuje:

- Poświadczenie: Weryfikacja tożsamości użytkowników i systemów za pomocą haseł, danych biometrycznych, tokenów bezpieczeństwa, kart inteligentnych i innych mechanizmów.
- Kontrola dostępu: Definiowanie i egzekwowanie zasad określających, kto ma dostęp do jakich danych i w jakich okolicznościach. Typowe modele obejmują dyskrecjonalną kontrolę dostępu (DAC), obowiązkową kontrolę dostępu (MAC) oraz kontrolę dostępu opartą na rolach (RBAC).
- Szyfrowanie: Przekształcanie informacji w format nieczytelny dla nieautoryzowanych użytkowników. Szyfrowanie stosuje się do danych w spoczynku (np. plików na dysku twardym), danych w tranzycie (np. danych przesyłanych przez internet) oraz, coraz częściej, danych w użyciu.
- Maskowanie i redagowanie danych: Ukrywanie określonych elementów danych w zestawie danych w celu uniemożliwienia ich ujawnienia, zwłaszcza w środowiskach, w których konieczne jest udostępnianie całych zestawów danych, ale tylko niektóre szczegóły są poufne.

Na przykład w bankowości internetowej poufność zapewnia, że informacje o koncie, rejestry transakcji i dane identyfikacyjne są widoczne wyłącznie dla właściciela konta i upoważnionych pracowników banku, a nie dla podmiotów zewnętrznych ani innych klientów.

Zagrożenia dla poufności:
- Podsłuchiwanie lub przechwytywanie: Nieupoważnione osoby podsłuchują ruch sieciowy (np. za pomocą snifferów pakietów w niezabezpieczonych sieciach Wi-Fi).
- Naruszenia danych: Nieautoryzowany dostęp do baz danych z powodu luk w zabezpieczeniach lub naruszenia danych uwierzytelniających.
- Inżynieria społeczna: Napastnicy manipulują użytkownikami, aby wydobyć od nich poufne informacje.

2. Uczciwość

Integralność odnosi się do dokładności i kompletności danych. Zapewnia ona, że informacje nie zostaną zmienione w sposób nieautoryzowany, czy to w sposób złośliwy, czy przypadkowy, podczas przechowywania, przesyłania lub przetwarzania. Zasada integralności obejmuje również zapewnienie, że system i jego oprogramowanie realizują swoje zamierzone funkcje bez nieautoryzowanych modyfikacji.

Aby zachować integralność, organizacje wdrażają takie środki, jak:

- Sumy kontrolne i funkcje skrótu: Generowanie unikalnych cyfrowych odcisków palców dla danych, dzięki którym możliwe jest wykrywanie nieautoryzowanych zmian poprzez porównanie zapisanych i obliczonych skrótów.
- Podpisy cyfrowe: Dostarczanie kryptograficznego dowodu pochodzenia i niezmienionego stanu dokumentu lub wiadomości.
- Kontrola dostępu i ślady audytu: Ograniczanie osób, które mogą modyfikować dane, oraz prowadzenie rejestru zmian w celu ułatwienia wykrywania i badania nieautoryzowanych modyfikacji.
- Systemy kontroli wersji: Zarządzanie zmianami w dokumentach i kodzie poprzez śledzenie rewizji, ułatwianie wycofywania zmian i prowadzenie rejestrów historycznych.

Na przykład w kontekście elektronicznej dokumentacji medycznej środki zapewniające jej integralność gwarantują, że dokumentacji pacjenta nie mogą zmienić osoby nieupoważnione, a wszelkie zmiany można powiązać z osobą odpowiedzialną za wprowadzenie zmian.

Zagrożenia dla integralności:
- Manipulowanie danymi: Celowa zmiana danych przez atakujących, np. modyfikacja zapisów finansowych w celu popełnienia oszustwa.
- Błędy transmisji: Niezamierzone zmiany spowodowane awariami sieci lub awariami sprzętu.
- Złośliwe oprogramowanie: Wirusy lub inne złośliwe oprogramowanie, które uszkadza pliki lub zmienia działanie systemu.

3. Dostępność

Dostępność to zasada, która zapewnia autoryzowanym użytkownikom niezawodny i terminowy dostęp do informacji i zasobów w razie potrzeby. Obejmuje to utrzymanie funkcjonalności systemów, sieci i danych, nawet w przypadku awarii, ataków lub katastrof.

Mechanizmy zapewniające dostępność obejmują:

- Nadmierność: Wdrażanie systemów kopii zapasowych, klastrów failover i redundantnych połączeń sieciowych w celu zapobiegania powstawaniu pojedynczych punktów awarii.
- Regularne kopie zapasowe: Regularne kopiowanie danych, aby można je było odzyskać w razie utraty lub uszkodzenia.
- Planowanie odzyskiwania po awarii: Przygotuj się na zakłócenia na dużą skalę, korzystając z planów określających, w jaki sposób szybko przywrócić działalność operacyjną.
- Ochrona przed atakami typu DoS (odmowa usługi): Wdrażanie zapór sieciowych, systemów zapobiegania włamaniom i technologii anty-DoS w celu łagodzenia ataków, których celem jest przeciążenie zasobów i uniemożliwienie dostępu do usług.
- Zarządzanie poprawkami: Aktualizowanie systemów w celu ochrony przed atakami mogącymi spowodować awarię lub wyłączenie usług.

Na przykład w przypadku usług w chmurze środki zapewniające dostępność gwarantują, że użytkownicy będą mogli uzyskać dostęp do swoich kont i danych o każdej porze, nawet jeśli wystąpi awaria sprzętu w jednym z centrów danych dostawcy.

Zagrożenia dla dostępności:
- Ataki typu „odmowa usługi” (DoS) i rozproszona odmowa usługi (DDoS): Zalewanie systemu ruchem w celu wyczerpania jego zasobów.
- Awarie sprzętowe: Przerwy w dostawie prądu, awarie dysków i inne problemy fizyczne zakłócające działanie usługi.
- Klęski żywiołowe: Zdarzenia takie jak trzęsienia ziemi, powodzie i pożary, które niszczą infrastrukturę.
- Ransomware: Złośliwe oprogramowanie, które szyfruje dane i żąda zapłaty za przywrócenie dostępu.

Wzajemne powiązania Triady CIA

Te trzy filary są ze sobą ściśle powiązane. Wzmocnienie jednego z nich może wpłynąć na pozostałe, a skuteczne strategie bezpieczeństwa muszą zapewniać równowagę między nimi. Na przykład, szyfrowanie danych poprawia poufność, ale może również wpłynąć na dostępność, jeśli klucze szyfrujące zostaną utracone, uniemożliwiając odzyskanie danych. Podobnie, zbyt restrykcyjne kontrole dostępu chroniące poufność i integralność mogą utrudniać dostęp uprawnionym użytkownikom, wpływając na dostępność.

Specjaliści ds. bezpieczeństwa muszą oceniać ryzyko i projektować środki kontroli, które zoptymalizują wszystkie trzy filary zgodnie z potrzebami organizacji, obowiązkami regulacyjnymi i krajobrazem zagrożeń.

Poza Triadą CIA: Rozszerzanie modelu bezpieczeństwa

Choć triada CIA stanowi podstawę, współczesne systemy bezpieczeństwa komputerowego często rozszerzają ten model, aby uwzględnić dodatkowe zagadnienia, w tym:

- Poświadczenie: Upewnianie się, że podmioty (użytkownicy, urządzenia, systemy) są tymi, za których się podają.
- Upoważnienie: Określanie, czy dany podmiot jest uprawniony do wykonania określonej czynności.
- Odpowiedzialność (niezaprzeczalność): Zapewnienie możliwości śledzenia działań w kierunku odpowiedzialnych podmiotów, zapobiegając zaprzeczaniu wykonanym działaniom.
- Możliwość kontroli: Zapewnianie mechanizmów rejestrowania i przeglądania działań w celach dochodzeniowych i zgodności.
- Privacy: Ochrona danych osobowych zgodnie z normami prawnymi i etycznymi.

Choć rozszerzenia te mają istotne znaczenie, triada CIA pozostaje koncepcyjnym rdzeniem bezpieczeństwa komputerowego.

Przykłady ilustrujące triadę CIA

1. Bankowość internetowa:
– *Poufność:* Szyfrowanie SSL/TLS chroni komunikację między przeglądarką użytkownika a serwerami banku.
– *Integralność:* Rejestry transakcji i podpisy cyfrowe zapobiegają manipulowaniu saldami kont i historią transakcji.
– *Dostępność:* Rozproszone serwery i równoważenie obciążenia gwarantują klientom stały dostęp do ich kont.

2. Systemy informatyczne opieki zdrowotnej:
– *Poufność:* Ograniczenia dostępu uniemożliwiają osobom nieupoważnionym przeglądanie dokumentacji medycznej pacjentów.
– *Integralność:* Ślady audytu i rejestry zmian śledzą modyfikacje w dokumentacji medycznej.
– *Dostępność:* Zapasowe źródła zasilania i redundantne sieci zapewniają personelowi medycznemu dostęp do danych pacjentów w sytuacjach awaryjnych.

3. Witryny handlu elektronicznego:
– *Poufność:* Dane uwierzytelniające użytkownika i informacje dotyczące płatności są szyfrowane i przechowywane bezpiecznie.
– *Integralność:* Do weryfikacji, czy listy produktów i szczegóły zamówień nie zostały zmienione, wykorzystuje się skróty.
– *Dostępność:* Platformy hostingu w chmurze zapewniają skalowalność i odporność, co pozwala im radzić sobie ze skokami ruchu i chronić się przed atakami DoS.

Wspólne kontrole bezpieczeństwa zgodne z filarami

- Zapory: Zapewnij poufność i dostępność, ograniczając nieautoryzowany dostęp i filtrując ruch sieciowy.
- Systemy wykrywania i zapobiegania włamaniom (IDPS): Monitoruj systemy pod kątem oznak naruszeń, które mogą zagrozić ich integralności lub dostępności.
- Recenzje dostępu użytkowników: Okresowe sprawdzanie uprawnień użytkowników w celu zapewnienia, że dostęp mają wyłącznie osoby upoważnione, co gwarantuje poufność i integralność.
- Polityki bezpieczeństwa i szkolenia: Ustanawianie wytycznych i podnoszenie świadomości użytkowników w celu zagwarantowania prawidłowego obchodzenia się z poufnymi danymi i reagowania na incydenty bezpieczeństwa.

Względy prawne i regulacyjne

Przestrzeganie zasad CIA znajduje również odzwierciedlenie w różnych standardach i przepisach. Na przykład:

- Ustawa o przenoszalności i odpowiedzialności w zakresie ubezpieczeń zdrowotnych (HIPAA): Nakazuje zachowanie poufności, integralności i dostępności chronionych informacji medycznych.
- Rozporządzenie ogólne o ochronie danych (RODO): Wymaga od organizacji wdrożenia odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych, uwzględniających wszystkie trzy filary.
- Standard bezpieczeństwa danych branży kart płatniczych (PCI DSS): Określa wymagania dotyczące zabezpieczania danych posiadaczy kart, w tym szyfrowania (poufności), rejestrowania (integralności) i ciągłości działania (dostępności).

Ramy bezpieczeństwa i triada CIA

Kilka ram bezpieczeństwa, takich jak NIST Cybersecurity Framework i ISO/IEC 27001, opiera się na triadzie CIA. Zapewniają one ustrukturyzowane podejście do identyfikacji, oceny i zarządzania ryzykiem związanym z poufnością, integralnością i dostępnością.

Zarządzanie ryzykiem i triada CIA

Zarządzanie ryzykiem w bezpieczeństwie komputerowym obejmuje identyfikację zasobów, ocenę zagrożeń i luk w zabezpieczeniach, ocenę potencjalnego wpływu oraz stosowanie mechanizmów kontroli w celu zarządzania ryzykiem dla filarów CIA. Na przykład, organizacja może przeprowadzić ocenę ryzyka, aby określić, jak atak ransomware może wpłynąć na dostępność danych, a następnie wdrożyć środki, takie jak regularne tworzenie kopii zapasowych i szkolenia pracowników, aby ograniczyć to ryzyko.

Rola czynników ludzkich

Ludzkie zachowanie odgrywa istotną rolę w utrzymaniu triady CIA. Błędy takie jak słabe hasła, niewłaściwe obchodzenie się z poufnymi informacjami czy brak aktualizacji oprogramowania mogą podważyć wszystkie trzy filary. W związku z tym szkolenia z zakresu świadomości bezpieczeństwa i kultura współodpowiedzialności są kluczowymi elementami kompleksowego programu bezpieczeństwa.

Nowe trendy i przyszłe wyzwania

Wraz z rozwojem technologii pojawiają się nowe zagrożenia i złożoności, które stanowią wyzwanie dla stosowania triady CIA. Rozpowszechnienie chmury obliczeniowej, urządzeń mobilnych, Internetu Rzeczy (IoT) i sztucznej inteligencji wprowadza nowe wektory ataków i wymaga adaptacji tradycyjnych metod bezpieczeństwa. Na przykład:

- Środowiska chmurowe: Dane mogą być przechowywane w wielu lokalizacjach i możliwe jest uzyskiwanie do nich dostępu z różnych urządzeń, co utrudnia kontrolę poufności i dostępności.
- Urządzenia IoT: Często mają ograniczone funkcje bezpieczeństwa, przez co są podatne na naruszenia wpływające na ich integralność i dostępność.
- Praca zdalna: Rozszerza powierzchnię ataku, wymagając nowych strategii utrzymania triady CIA poza tradycyjnymi granicami sieci.

Specjaliści ds. bezpieczeństwa muszą być na bieżąco z tymi zmianami i nieustannie udoskonalać mechanizmy kontroli, aby zachować zasady poufności, integralności i dostępności.

Filary bezpieczeństwa komputerowego – poufność, integralność i dostępność – stanowią kompleksowe ramy ochrony informacji i zasobów w systemach komputerowych. Każda kontrola bezpieczeństwa, polityka i najlepsze praktyki są ostatecznie projektowane z myślą o wspieraniu jednego lub kilku z tych filarów. Rozumiejąc ich definicje, zagrożenia, którym zapobiegają, oraz praktyczne sposoby wdrożenia, organizacje mogą lepiej chronić swoje zasoby w coraz bardziej złożonym środowisku cyfrowym.

Inne niedawne pytania i odpowiedzi dotyczące Podstawy bezpieczeństwa systemów komputerowych EITC/IS/CSSF:

Zobacz więcej pytań i odpowiedzi w EITC/IS/CSSF Podstawy bezpieczeństwa systemów komputerowych

Więcej pytań i odpowiedzi:

Tagged under: , , , , , , ,