Kibernetinis saugumas turi daug skirtingų sričių: tinklų apsaugą, aplikacijų saugumą, kodo peržiūrą, prieigų valdymą, incidentų reagavimą ir kitas disciplinas. Tačiau kiekviena iš šių disciplinų atsiremia į tas pačias problemas ir tą patį saugumo vertinimo principą.
Tam naudojamas bazinis informacijos saugumo modelis, dažnai vadinamas CIA triad. Jis susideda iš trijų principų: Konfidencialumo (angl. Confidentiality), Vientisumo (angl. Integrity) ir Prieinamumo (angl. Availability). Pagal juos vertinama, kokį poveikį spraga turėtų sistemai, duomenims ar verslui.
Vertinant riziką, šis modelis atskiria tris poveikio kryptis: duomenų atskleidimą, neteisėtą pakeitimą ir paslaugos neveikimą. Taip techninis radinys tampa aiškesniu verslo rizikos paaiškinimu.
Pagrindiniai principai
Paprasčiausiai šis modelis kelia tris klausimus: kas mato duomenis, kas juos keičia ir ar sistema veiks tada, kai jos labiausiai reikės?
Konfidencialumas
Konfidencialumas (angl. Confidentiality) reiškia, kad jautri informacija turi būti pasiekiama tik tiems, kas turi teisę ją matyti.
Į šią sritį patenka klientų duomenys, komercinės paslaptys, prisijungimai, sutartys ir finansinė informacija.
Pažeidus konfidencialumą, techninis radinys greitai tampa teisine, reputacine arba komercine problema.
Pavyzdys: API klaida leidžia vienam klientui peržiūrėti kito kliento dokumentus.
Vientisumas
Vientisumas (angl. Integrity) reiškia, kad duomenys, sistemos logika ar verslo procesai neturi būti pakeisti be leidimo arba nepastebimai.
Jis svarbus kainodarai, užsakymams, mokėjimams, rolėms, audito istorijai ir sprendimų patikimumui.
Tokios spragos pavojingos, nes verslas ilgai nepastebi, kad sistema priima klaidingus ar piktavališkai pakeistus sprendimus.
Pavyzdys: naudotojas pakeičia užsakymo kainą arba savo rolę į administratoriaus.
Prieinamumas
Prieinamumas (angl. Availability) reiškia, kad sistema, duomenys ar paslauga turi veikti tada, kai jų reikia.
Ši dalis tiesiogiai susijusi su prastovomis, pajamų praradimu, klientų nepasitenkinimu ir operacijų sustojimu.
Net jei duomenys nenuteka ir nėra pakeičiami, neveikianti sistema sustabdo pardavimus, klientų aptarnavimą ar vidinius procesus.
Pavyzdys: pažeidžiamas viešas servisas arba bloga infrastruktūros konfigūracija leidžia sutrikdyti e-commerce veikimą.
Kodėl tai svarbu?
CIA triad leidžia apie saugumą kalbėti verslo kalba. Ne visos spragos reiškia tą patį: viena atskleidžia duomenis, kita pakeičia svarbią informaciją, trečia sustabdo veiklą.
Šis modelis naudojamas rizikos vertinime, saugumo politikose, audituose, įsilaužimo testavime, kodo peržiūroje ir incidentų analizėje.
Vadovams jis parodo galimą poveikį verslui. Techninėms komandoms suteikia aiškesnį pagrindą prioritetizuoti taisymus ir paaiškinti, kodėl vienas radinys turi būti sprendžiamas greičiau nei kitas.
Kaip tai susiję su saugumo vertinimu?
CIA principai naudojami ne tik teorijoje. Jie atsiranda rizikos vertinimuose, saugumo politikose, audituose, incidentų analizėje, pažeidžiamumų ataskaitose ir techninių radinių prioritetizavime.
Vienas praktiškiausių pavyzdžių yra CVSS skaičiuoklė. Vertinant pažeidžiamumą, jo poveikis skaičiuojamas pagal tai, kaip jis paveikia konfidencialumą, vientisumą ir prieinamumą.
Todėl tas pats techninis trūkumas skirtingame kontekste vertinamas nevienodai. Klaida mažai svarbioje sistemoje ir panaši problema mokėjimų, klientų duomenų ar prieigų valdymo dalyje turi skirtingą verslo svorį.
Praktikoje CIA modelis padeda ataskaitoje aiškiau parodyti ne tik tai, kad spraga egzistuoja, bet ir kodėl ji svarbi: ar ji atveria duomenis, leidžia pakeisti informaciją, ar kelia veiklos sustabdymo riziką.
Ar pasiruošęs pakrikštyti savo verslą?
Jeigu norite suprasti, ar jūsų verslas atlaikytų realų saugumo išbandymą, pradėkite nuo aiškaus rizikų įsivertinimo.
Per nemokamą konsultaciją aptarsime jūsų sistemas, svarbiausius duomenis ir pirmą praktišką žingsnį saugumo vertinimui.