20.09.2012

Триада "конфиденциальность, целостность, доступность": откуда она?

Все специалисты по безопасности знают классическую триаду "конфиденциальность, целостность и доступность" (КЦД) или "confidentiality, integrity, availability" (CIA). Ее применяют к месту и не очень, но мало кто знает, откуда она вообще появилась? Этому в ВУЗах не учат, а стоило бы. Тогда стало бы понятно, что эта концепция уже немного устарела и не является догмой.

Напомню, что впервые этот принцип был изложен в статье "Защита информации в компьютерных системах", написанной Зальцером и Шредером в 1974-м году и опубликованной в "Communications of the ACM". В этой статье безопасность определялась как "техники, которые контролируют, кто может использовать или модифицировать компьютер или содержащуюся в нем информацию". При этом авторы ссылались на других авторов, которые считали, что все нарушения безопасности могут быть разбиты всего на 3 группы - неавторизованное использование (unauthorized information release), неавторизованное изменение и неавторизованное блокирование использования (unauthorized denial of use). С тех пор и началось победное шествие этой триады по миру. У нас она как-то подзадержалась и зависла во многих нормативных документах.

Однако, чтобы понимать всю ограниченность этой концепции в современном мире надо вспомнить окружение, в котором эта триада появилась. Мейнфреймы, язык COBOL, операционная система MVS, Multics, UNIX и т.д. Что поменялось с тех пор? Все. Появился Интернет, черви навроде Stuxnet, Java и C++, облачные вычисления и много чего... Все это уже очень трудно уложить в традиционную триаду. Стали появляться расширения триады. Например, ФСБ в своей методичке по персональным данным, указав триаду как основные характеристики безопасности, добавила еще: "в дополнение к перечисленным выше основным характеристикам безопасности могут рассматриваться также и другие характеристики безопасности. В частности, к таким характеристикам относятся неотказуемость, учетность (иногда в качестве синонима используется термин «подконтрольность»), аутентичность (иногда в качестве синонима используется термин «достоверность») и адекватность".А в 91-м Джон МакКамбер предложил свою модель на базе триады, названную им моделью информационной безопасности МакКамбера (я о ней писал 3 года назад).

ОЭСР в 1992-м году предложила свои 9 принципов безопасности - Awareness, Responsibility, Response, Ethics, Democracy, Risk Assessment, Security Design and Implementation, Security Management и Reassessment. ОСЭР всегда смотрела на безопасность с философски-культурологической позиции ;-)

В 2002-м году Дон Паркер предложил свой "Паркеровский гексагон", котрый к триаде добавлял еще 3 характеристики - владение или контроль (possession или control), аутентичность (достоверность) и полезность (utility).

По поводу владения/контроля Паркер приводил такой пример. Представьте, что вор украл у вас запечатанный конверт с банковскими картами и PIN-кодами к ним. Даже если вор не открыл этот конверт и не нарушил тем самым его конфиденциальность, это все равно должно вызывать беспокойство владельца конверта, который потерял над ним контроль. Аналогичная ситуация с тестами на проникновение, например, в системы АСУ ТП. Во время таких тестов не страдает ни один из элементов классической триады, но успешное проникновение показывает потерю контроля.

На тему полезности Паркер тоже приводил жизненную ситуацию. Допустим вы зашифровали свой жесткий диск и забыли пароль (ключ). Для данных на диске сохраняется конфиденциальность, целостность, доступность, достоверность и контроль, но... вы не можете ими воспользоваться. Это и есть нарушение полезности.

NIST в 2004-м году пошел еще дальше и предложил свою модель из 33 (!) элементов или, как написано в SP800-27 "Engineering Principles for Information Technology Security (A Baseline for Achieving Security)", принципов. Но и это тоже не конец. Многие организации пытались придумать что-то свое, подменяя понятие "информационной безопасности" другими - "управление рисками", "security governance" и т.д. И у каждого из них был свой набор характеристик или принципов, реализация которых позволяла надеяться на создание действительно защищенной системы или процесса.

43 коммент.:

Алексей комментирует...

Многие характеристики безопасности можно опосредованно свести к трём основным:
- потерю контроля над конвертом можно рассматривать как угрозу потери конфиденциальности и доступности;
- проникновение в АСУ можно рассматривать как угрозу нарушения целостности в подсистеме управления АСУ;
- потерянный ключ для криптодиска я вообще всегда рассматривал как типичный случай нарушения доступности;
- ещё жизненный пример с ДБО и удалённым управлением - компрометации ключей нет, доступность есть, не обеспечена неотказуемость, но и её можно подтянуть под нарушение целостности передаваемых данных между клиентом и сервером.

vsv комментирует...

Полностью соглашусь с комментариями Алексея: все можно свести к 3 основным характерисикам. Остальное от лукавого.

Евгений Родыгин комментирует...

Много ИБшной ереси...

Часто появляются такие "парадигмы" из-за недопонимания их авторами концепции и притягивании частного в общее...

"Паркер тоже приводил жизненную ситуацию" - чистый пример доступности информации - она потеряна!!! И в части защищаемой информации и в части ключа!

Так что плюем мы революционной слюной в паркерковские парадигмы!!!

А вот достоверность - это характеристика, обеспечение которой возложена на ИБ системы или на пользователя? Это собственная характеристика или относительная?

ser-storchak комментирует...

Алексей, что-то я запутался:
1)адекватность или достоверность (англ. reliability)
2) подлинность или аутентичность (англ. authenticity)
Или всё же "аутентичность" и "достоверность» синонимы?

Andrey Prozorov комментирует...

Коллеги, вот такой есть спорный вопрос, на который мы не смогли найти ОДНОЗНАЧНЫЙ ответ: "уничтожение информации - это нарушение целостности или доступности? А если информация была лишь частично уничтожена?".
Я пока склоняюсь к тому, что это нарушение целостности (типа если ли разница в том, уничтожен 1% информации или 99%, а уничтожение 1% информации проще принять как нарушение целостности)

Юрий комментирует...

Пример с конвертом как раз описывает ту дефиницию и смысл безопасности вообще, который нравится мне: совокупность условий существования, которые мы в состоянии контролировать. Естественно, что эти условия могут различаться. Очень общее определение, которое все-же верно отражает саму суть безопасности. Применительно к информационной безопасности можно выбрать для себя N измеряемых (или просто объективных) параметров, по которым можно судить, не утратили ли мы такой контроль. А элементы NISTовской (или любой другой) модели можно использовать как справочник подобных параметров.

Роман Кобцев комментирует...

Поддержу первый комментарий. Конечно, в некоторых случаях шкалу можно сделать более точной и один из параметров разделить еще на несколько. Но возводить все это в "новые парадигмы", особого смысла не вижу. По-моему, "старой" триады вполне достаточно, чтобы обеспечить полноценную безопасность информации, было бы желание...

Алексей Лукацкий комментирует...

Вот ведь догматики собрались. Давайте тогда добавим к словам триады конкретные существительные? Целостность цего? Доступность чего?

Вот есть взлом АСУ ТП через оставленный при разработке backdoor. С помощью этого backdoor я взял управление АСУ ТП на себя. Что я нарушил? Конфиденциальность? Нет. Целостность? Тогда целостность чего? Доступность? Тоже нет.

Или получил банк платежку и провел платеж, а клиент отказывается от проведения платежа. Какие характеристики тут нарушены из трех? Никакой.

tiger-66 комментирует...

Алексей, на банкире ж эту тему долго и упорно обсуждали и тоже все свелось к классической триаде ;-)

Алексей Лукацкий комментирует...

Не помню, но все равно не согласен ;-)

Юрий комментирует...

Согласен с Алексеем - стремление к созданию универсального, на все случаи жизни, определения приведет к безудержному росту уточнений и дополнений. ПО-моему разумнее остановиться на общем смысле (хотя бы КДЦ), а уточнять и раскрывать его уже применительно к конкретной ситуации.

vsv комментирует...

Кстати о взломе АСУ ТП. Как у Ломоновоа? "Если где-то убыло, значит где-то прибыло". Так и здесь если кто-то перехватил управление, то значит кто-то этого управления - лишился. Следовательно здесь речь идет о нарушении доступности (пусть и на мгновение). Да кроме того, если мой сигнал управления, кторый я посылал законно, подменен ложным - значит здесь нарушена целостность моего сигнала. Отсюда вывод: при взломе АСУ ТП и перехвате управления происходит нарушение целостности и доступности. Вот и все.

dmitry.sturov комментирует...

Неоднократно видел такие рассуждения, на мой взгляд все эти дополнительные характеристики легко сводятся к КЦД, и являются лишь производными от её частей. История про ПИН конверт вообще достаточно странно приведена в пример - здесь идёт речь не о потере конфиденциальности, как части актива, а о классической компрометации (угроза), что как раз и вызывает беспокойство владельца актива.

Andrey Prozorov, в широком понимании уничтожение информации = уничтожение её ценности, то есть можно уничтожить любой подходящий компонент(КЦД). Конфиденциальные данные можно Д) стереть, уничтожить физически (информации нет, ценность равна нулю) Ц) внести изменения, нарушающие целостность (информация некорректна, ценность равна нулю) К) опубликовать в общем источнике (конфиденциальность нарушена, информация больше не имеет ценности).

Константин Ржавский комментирует...

Что то подсказывает мне, что прежде чем начинать реинжиниринг процессов защиты информации, хорошо бы разобраться с переосмыслением философии категорий в защите информации и как следствие, определение четкого и прозрачного тезауруса. Вот только один вопрос ...?

Алексей Лукацкий комментирует...

2vsv: а никто не терял управления. Просто оно теперь в двух руках. Правда, первые про эти ничего не знают.

tiger-66 комментирует...

>Не помню, но все равно не согласен ;-)

Было и не раз даже. Ну вот, например

http://bankir.ru/dom/threads/99079-%D0%A3%D0%B3%D1%80%D0%BE%D0%B7%D0%B0-amp-%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F-%D1%82%D1%80%D0%B8%D0%B0%D0%B4%D0%B0-%D0%98%D0%91

Алексей Лукацкий комментирует...

Супер, спасибо, что напомнил ссылку. Там хорошие примеры приводятся

Алексей Лукацкий комментирует...

А вообще к тем для кого безопасность информации - это состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность, у меня вопросов нет ;-)

Только ответьте себе на вопрос, а на кой ляд вы занимаетесь борьбой со спамом, внедряете ЭЦП, занимаетесь AAA, внедряете SIEM, получаете лицензии ФСБ, занимаетесь еще кучой дел, не имеющих отношения к КДЦ?

Neskazhui комментирует...

Этим всем мы занимаемся, чтобы устранить уязвимости, с использованием которых могут быть нарушены КЦД. При этом уязвимость - свойство используемых технологий, а не информации.

Алексей Лукацкий комментирует...

Предсказуемый ответ ;-) Подскажите, борьба со спамом каким боком имеет отношение к КДЦ? Ну и получение лицензий ФСБ тоже ;-)

LAY комментирует...

Алексей Лукацкий пишет...
2vsv: а никто не терял управления. Просто оно теперь в двух руках. Правда, первые про эти ничего не знают.
Тогда это чистое К!

Алексей Лукацкий комментирует...

Чистое К? А, простите, К чего? Информации? Она не утекла. Системы? Тоже ничего не раскрыто. Доступности? Система работает. Ну вылилось 2 тысячи тонн фекалий на территорию пятизвездочного отеля. Ну так это ж не безопасность ;-) Или все-таки безопасность?

Neskazhui комментирует...

Предлагаю ввести новую характеристику: безвредность информации. Это когда КЦД не нарушены, а вред нанесён. Например, подложным письмом или отречением.

Алексей Лукацкий комментирует...

Паркер предложил "полезность"

dmitry.sturov комментирует...

Спам - нарушение доступности электронной почты, персонала (так же как и развлекательные сайты).

Лицензии ФСБ - выполнение требований законодательства. Это уже не риск ИБ в чистом виде, соответственно к КЦД не имеет отношения.

LAY комментирует...

Если толковать К , как это сделано в большей части ФЗ (типа К - обязательное требование не разглашать бла-бла...), то да, с таким пониманием К трудно жить и хочется придумать чего-то еще, например "подконтрольность".
Мне милее понимать под К состояние, при котором доступом к активу не обладают те, кому не надо.

Алексей Лукацкий комментирует...

Т.е. нарушение требований законодательства к задачам ИБ не относится? Запишем.

Алексей Лукацкий комментирует...

LAY, ВАШЕ (а не общепринятое) определение К замечательно ложится в Паркеровский "контроль"/"владение" ;-)

dmitry.sturov комментирует...

Т.е. нарушение требований законодательства к задачам ИБ не относится? Запишем.

Не надо перевирать мои слова, я написал, что это не риск ИБ в чистом виде, а не то, что это не задача ИБ.

LAY комментирует...

Т.е. нарушение требований законодательства к задачам ИБ не относится? Запишем.

Кстати, я почему-то привык не к триаде, а к четвериаде (квадриаде, квадриге?): ДКЦЗ
З - это, наверное, compliance

Алексей Лукацкий комментирует...

В Краснодаре сейчас ФСБ и УБЭП плющит три банка по 171 УК РФ за отсутствие лицензий ФСБ. Я бы посмотрел на того, кто сможет председателю правления банка, против которого возбуждено уголовное дело, утверждать, что это не риски ИБ ;-)

Vladimir Gninyuk комментирует...

"... Ну вылилось 2 тысячи тонн фекалий на территорию пятизвездочного отеля."

Если данное "выливание" не планировалось, но произошло, следовательно были внесены изменения в "сценарий" работы, следовательно была нарушена "целостность".

Если произошел захват управления системы, которая имела защиту, то че то из "триады" точно будет нарушено.

Вот если произошел перехват незащищенной системы, то "триаду" прикрутить будет сложно, проще использовать authenticity...

Если перехвативший управление эксплуатирует систему в штатном режиме,

Алексей Лукацкий комментирует...

Мы уже целостность к процессам стали прикручивать. Ну тогда давайте пойдем дальше - уберем из триады доступность и конфиденциальность, т.к. все можно привязать к нарушению целостности процесса безопасности. Ура! Мы совершили революцию!

Vladimir Gninyuk комментирует...

Ни какой революции не вышло. Процесс, как процесс здесь так же не причем.

Любое управление осуществляется на основании некого информационного контекста, который в нашем случае был искажен.

Если информационный контекст отрицать, тогда это неИБ-событие

biakus комментирует...

насколько я помню, эта триада перекочевала к нам из "оранжевой книжки" в РД Гостехкомиссии когда мы начали копировать стандарты из этой области.. так и прижилась..

На мой взгляд, защита информации тесно связана с процессом управления, в котором информация циркулирует. Из необходимых свойств процесса управления и вытекают принципы безопасности.
Ну, а раз это управление - то тут нельзя забывать про главный принцип - принцип относительности :)

Алексей Шабалин комментирует...

Мне кажется прикручивание какой-то модели на реалии жизни напоминает теорию маркса в отечественных учебниках по истории - явление порождающее бесполезное засирание мозга, давайте жить проще и в реальности) если что-то непонятно, добавить новую характеристику - гораздо проще, чем натягивать Слово Божие на какие-то либо процессы

AnsNet комментирует...

Во-первых, в наших НД понятия учетности, аутентичности введены (в РД по терминам и в гармонизированных стандартах, например, 13335). Они применяются в отношении организации, а не информации (почувствуйте разницу: ИБ организации и ИБ информации). Во-вторых, в документе NIST введены 33 принципа, а не составляющие безопасности.

Марат комментирует...

Да очень интересно получается.. Проблема мне кажется от того, что у каждого человека разные химические реакции в голове:) наш язык очень неточно определят описываемые процессы, у одного понятия, например, целостность, десятки определений и сотни контекстов.. Давайте жить дружно. Предлагаю каждую проблему рассматривать комплексно и не применять принцип "разделяй и властвуй":)

Алексей Краснов комментирует...

to :
"Вот есть взлом АСУ ТП через оставленный при разработке backdoor. С помощью этого backdoor я взял управление АСУ ТП на себя. Что я нарушил? Конфиденциальность? Нет. Целостность? Тогда целостность чего? Доступность? Тоже нет."

Считаю, что объектом защиты в данном случае являются команды управления. Если мы воспользовались backdoor и получили доступ управлению, то мы нарушили конфиденциальность команд управления, если изменили команды (что-то добавили/удалили), то нарушили ещё и их целостность.

Алексей Лукацкий комментирует...

Как можно нарушить конфиденциальность того, что по нашим нормативным документам является открытой информацией?

Алексей Краснов комментирует...

Это если опираться только на НПА. Кто нам запрещает в АСУ ТП к конфиденциальной информации причислить и команды управления?

Алексей Лукацкий комментирует...

Ну так все противники расширения триады также аргументируют ;-) Можно вообще все свести к конфиденциальности, если поставить такую задачу

Алексей Краснов комментирует...

Ну не всегда ж надо обеспечить конфиденциальность.
Например, выложена открытая информация (допустим информация об экологической обстановке в стране или Конституция, Законы и другие НПА) на госуд-ых информационных ресурсах (допустим на сайте правительства), необходимо обеспечить доступность и целостность данной информации.