Locked History Actions

Confidentiality, Integrity, Availability

Žodis angliškai

Confidentiality, Integrity, Availability

Žodis Lietuviškai

Konfidencialumas, Vientisumas, Prieinamumas


Paaiškinimai

Teorija:

Subjektų, naudojančių informacines sistemas, saugos interesų spektras dažniausiai skirstomas į tris pagrindines kategorijas – užtikrinti informacijos išteklių ir infrastruktūros konfidencialumą, vientisumą (ir autentiškumą) bei prieinamumą:

  • Konfidencialumas (angl. Confidentiality) užtikrina, kad tam tikra informacija prieinama tik tiems žmonėms, kuriems ji skirta; šios kategorijos pažeidimai vadinami informacijos užgrobimu arba išslaptinimu.

  • Vientisumas (angl. Integrity) garantuoja, kad pradinė informacija jos saugojimo arba perdavimo metu nebuvo neleistinu būdu pakeista; šios kategorijos pažeidimai vadinami informacijos klastojimu; autentiškumas (angl. Authenticity) leidžia užtikrinti, kad informacijos produkto autorius yra būtent tas asmuo, kuris turi tos informacijos autoriaus teises; šios kategorijos pažeidimai vadinami autoriaus teisių klastojimu.

  • Prieinamumas (angl. Availability) užtikrina galimybę gauti reikalingą informaciją arba paslaugą per priimtą laikotarpį.

Komfidencialumas – tai duomenų arba tam tikro ištekliaus įslaptinimas. Poreikis įslaptinti informaciją kyla dėl to, kad kompiuteriai dabar naudojami tokiose jautriose srityse, kaip antai vyriausybės arba gamybos organizacijos. Pavyzdžiui, karinės ir civilinės vyriausybės organizacijos dažnai riboja prieigą prie slaptos informacijos. Pirmieji kompiuterinio saugumo darbai buvo atlikti kaip tik karinėje pramonėje, nors jie yra ne mažiau svarbūs ir pramonės įmonėse, kuriose komerciniai projektai slaptinami dėl paprasčiausios priežasties – kad nepatektų į konkurentų rankas. Apskritai kiekviena organizacija turi duomenų, kuriuos norėtų laikyti slaptais. Prieigos kontrolės metodai turėtų palaikyti konfidencialumą. Vienas iš tokių metodų – kriptografija (slapraštis), su kurios pagalba galima šifruoti duomenis ir padaryti juos nesuprantamus. Prieiga prie iššifruotų duomenų kontroliuojama kriptografiniu raktu, bet tokiu atveju pats raktas tampa objektu, kuris turi būti slaptas ir saugomas. Kitas svarbus konfidencialumo aspektas yra išteklių slėpimas. Organizacijos dažnai yra linkusios nuslėpti, kokias sistemas ar specialę įrangą jos naudoja, taip pat sistemų konfiguraciją (nes tai gali būti panaudota kitų neleistinais būdais be autoriaus sutikimo). Kai su informacija dirba asmuo, neturintis tam įgaliojimų, rezultatas yra vadinamas konfidencialumo praradimu. Kai kurioms informacijos rūšims konfidencialumas yra labai svarbi savybė. Tai, pavyzdžiui, finansinė informacija, pacientų medicininiai įrašai, naujų produktų planai, įmonių veiklos strategijos ir pan. Konfidencialumas – lyg ir aiškiausia saugumo kategorija, tačiau įgyvendinant ją informacinėse sistemose beveik visada susiduriama su sunkumais. Visų pirma, paprasti vartotojai nelabai informuoti apie galimus pavojus ir informacijos nutekėjimo kanalus. Kita priežastis, kad vartotojai taip pat ne daug žino apie pagrindinį konfidencialumo užtikrinimo metodą – kriptografiją ir visas jos peripetijas, teisines ir technines.

Vientisumas – tai duomenų ar tam tikro ištekliaus tikrumas, patikimumas, o užtikrinant vientisumą svarbu apsaugoti duomenis nuo klaidingo ar nesanksionuoto jų pakeitimo. Vientisumas apima ir duomenų, ir jų šaltinio vientisumą. Duomenų šaltinio vientisumo savybė dažnai vadinama autentiškumu. Pavyzdžiui, laikraštis išspausdino informaciją, gautą iš Prezidentūros, tačiau nurodė kitą šaltinį. Tokiu būdu išspausdinta informacija išlaiko vientisumą, tačiau pažeidžia šaltinio vientisumo kategoriją. Kai informacija yra pakeičiama nenumatytu būdu, tai vadinama vientisumo praradimu. Tai reiškia, kad informacija buvo pakeista be leidimo, ar tai atsitiktų dėl žmogaus klaidos, ar dėl sąmoningo įsikišimo. Vientisumas yra ypač svarbi saugumo ir finansinių duomenų savybė, pavyzdžiui, elektroniniai duomenų perdavimai arba oro skrydžių kontrolė. Vientisumo pažeidimo kontrolės metodai skirstomi į dvi klases: prevencijos ir aptikimo (atskleidimo). Prevencijos mechanizmai stengiasi išlaikyti duomenų vientisumą, blokuoja visokį nesankcionuotą bandymą pakeisti duomenis. Pažeidimų aptikimo mechanizmai paprasčiausiai registruoja pažeidimus ir pateikia pranešimus, kad duomenų vientisumas pažeistas. Šie mechanizmai gali analizuoti sistemos įvykius (vartotojo ir sistemos veiksmus) ir taip nustatyti problemas. Vientisumą galima skirtyti į statinį (informacijos objektų nekintamumas) ir dinaminį (korektiškas veiksmų (transakcijų) atlikimas). Todėl dinaminio vientisumo kontrolė būtina, pavyzdžiui, analizuojant finansinių operacijų srautus siekiant išsiaiškinti vagystes, ir kitur. Vientisumas yra labai svarbus informacijos aspektas tais atvejais, kai informacija yra tam tikrų veiksmų pagrindas. Veiksmų receptūra, komplektuojamųjų detalių rinkinys ir charakteristikos, technologinio proceso eiga – tai pavyzdžiai informacijos, kurios vientisumo pažeidimas gali būti lemtingas. Nemalonus ir oficialios informacijos, pavyzdžiui, įstatymo teksto ar vyriausybės įstaigos tinklapio turinio , pažeidimas. Taigi informacijos vientisumo savybė saugumo požiūriu yra labai svarbi, nes kokia gi nauda iš informacinės paslaugos, jei ji pateikia neteisingus duomenis?

Prieinamumas – galimybė naudoti norimą, reikiamą informaciją arba išteklių. Saugumo požiūriu prieinamumas reiškia, kad kažkas gali uždrausti prieigą prie informacijos ar paslaugos, padarydamas ją neprieinamą. Taigi informacija gali būti ištrinta arba kitaip tapti neprieinama. Tokiu atveju įvyksta informacijos preinamumo praradimas. Tai reiškia, kad žmonės, kurie turi įgaliojimus prieiti prie informacijos, negali jos pasiekti. Informacinės sistemos kuriamos (įsigyjamos), kad teiktų tam tikras informacines paslaugas. Todėl daugelis išskiria prieinamumą kaip svarbiausią informacijos saugumo kategoriją. Ypač tai akivaizdu įvairiose valdymo informacinėse sistemose (gamybos, transporto ir kt.), taip pat sistemose, aptarnaujančiose daugelį vartotojų (banko paslaugos, bilietų pardavimas, oro skrydžių tvarkaraščiai, turizmo agentūro ir kt.). Prieiga prie tinklo yra svarbi visiems, kieno veikla priklauso nuo priėjimo prie tinklo arba atskirų paslaugų, teikiamų tinklo. Vartotojas, negalėdamas pasiekti tam tikros informacijos, tinklo arba atskirų jo paslaugų, patiria aptarnavimo blokavimą arba atsisakymą suteikti paslaugą.

  • CIA.png

  • 1 pav. CIA tirada

Šiuo tris pagrindinius informacijos saugumo tikslus 1981 metais apibrėžė Donn B. Parker savo saugumo modelyje, kuris žinomas kaip triada CIA (Confidentiality, Integrity, Availability).

1991 metais John Mc Cumber sukūrė informacijos saugumo modelį, žinomą kaip modelis INFOSEC, arba kubas Mc Cumber. Šiame modelyje jis taip pat nurodė tris informacijos saugumo savybes: konfidencialumą, vientisumą ir prieinamumą. Pasirodė, kad, siekiant apsaugoti informaciją, įvairiomis situacijomis ne visada pakanka užtikrinti jos konfidencialumą, vientisumą ir prieinamumą. Todėl įvairių įvairių atorių darbuose galima aptikti bandymą išplėsti informacijos saugumo reikalavimų spektrą.


Literatūra

1. A. Mikalauskienė Z. Brazaitis „Informacinių sistemų sauga“. Vilnius: VU leidykla. 2010.

2. https://oit.wvu.edu/infosecurity/mission-statement-2012/