ГрамотаИБ ГрамотаИБ

Триада CIA: конфиденциальность, целостность, доступность

Триада CIA (по-русски КЦД) — три базовых свойства безопасности информации: конфиденциальность, целостность и доступность. Объясняем, что означает каждое свойство, почему важен баланс между ними и как использовать триаду при построении системы защиты информации: от оценки ущерба по каждому свойству до подбора мер. С практическим примером для малого бизнеса.

Триада CIA — это фундамент информационной безопасности. Три буквы означают три свойства, которые нужно защищать у любой информации: Confidentiality (конфиденциальность), Integrity (целостность) и Availability (доступность). По-русски её часто называют триадой КЦДКонфиденциальность, целостность, доступность — Три базовых свойства безопасности информации (триада CIA); по степени ущерба им определяют уровень защищённости и класс системы.. Любая угроза в итоге сводится к нарушению одного или нескольких из этих свойств, а любая мера защиты — к их обеспечению. Разберём принцип и как им пользоваться на практике.

Три свойства безопасности информации

  • Конфиденциальность — доступ к информации имеют только те, кому он разрешён. Нарушение — это утечка, несанкционированный доступ, подсматривание. Примеры данных: персональные данные, коммерческая тайна, пароли.
  • Целостность — информация не искажена и не подменена, изменить её могут только уполномоченные и контролируемым образом. Нарушение — несанкционированная правка, подмена, повреждение. Примеры: бухгалтерская база, реестры, конфигурации, договоры.
  • Доступность — информация и системы доступны авторизованным пользователям тогда, когда нужны. Нарушение — сбой, шифровальщик, DDoS-атака, потеря данных без резервной копии. Примеры: сайт, касса, 1С, электронная почта.

Иногда к триаде добавляют дополнительные свойства — неотказуемость, подотчётность, аутентичность, — но конфиденциальность, целостность и доступность остаются ядром.

Принцип: защищаем все три и держим баланс

Главная идея триады в том, что свойства равноправны и их нужно рассматривать вместе. У разных данных приоритет разный: для персональных данных на первом месте конфиденциальность, для бухгалтерии — целостность, для интернет-магазина — доступность. Перекос тоже вреден: если ради конфиденциальности всё зашифровать и спрятать так, что сотрудники не могут работать, пострадает доступность. Поэтому меры подбирают так, чтобы усилить нужное свойство, не обрушив другие.

Эта же логика заложена в российские требования. Для ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. класс защищённости зависит от значимости информации, которая определяется через возможный ущерб от нарушения конфиденциальности, целостности и доступности. Для ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. уровень защищённости по ПП-1119 считается по другим критериям (тип актуальных угроз, категория ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., число субъектов), но оценка ущерба по каждому свойству всё равно нужна для модели угроз и выбора мер. См. «Уровни защищённости ПДн» и «Класс защищённости ГИС».

Как руководствоваться триадой при построении защиты

  1. Составьте перечень активов и данных. Что вы обрабатываете и храните: персональные данные, бухгалтерия, клиентская база, сайт, почта.
  2. Для каждого актива оцените, какое свойство критично и каков ущерб при нарушении конфиденциальности, целостности и доступности. Это основа оценки рисков, модели угроз и выбора мер; порядок определения уровня или класса для отдельных систем задаётся нормативными критериями.
  3. Определите угрозы по каждому свойству — по модели угроз ФСТЭК и банку данных угроз.
  4. Подберите меры под каждое свойство: для конфиденциальности — разграничение доступа, аутентификация, шифрование; для целостности — контроль доступа на запись, журналирование, электронная подпись, контроль изменений; для доступности — резервное копирование, отказоустойчивость, защита от DDoS, источники бесперебойного питания. Многие меры закрывают сразу несколько свойств.
  5. Проверяйте баланс и пересматривайте. Меры не должны мешать работе; при изменениях в системах оценку повторяют.

Пример для малого бизнеса

Небольшая компания с 1С, сайтом и клиентской базой. Применяем триаду:

  • Конфиденциальность. База клиентов и сотрудников: индивидуальные учётные записи и пароли, разграничение прав в 1С, отзыв доступа у уволенных, шифрование резервных копий. Это закрывает риск утечки персональных данных.
  • Целостность. Бухгалтерия и договоры: контроль прав на изменение, журнал действий в 1С, электронная подпись для отчётности, защита от несанкционированной правки. Это защищает от искажения и подмены данных.
  • Доступность. Сайт, касса, 1С: регулярные резервные копии с проверкой восстановления, антивирус против шифровальщиков, защита сайта от DDoS, источник бесперебойного питания. Это уберегает от простоя и потери данных.

Получается понятный чек-лист: по каждому из трёх свойств — основные меры (многие из них работают сразу на несколько свойств). Тот же подход лежит в основе пошагового плана в статье «Требования РКН и ФСТЭК для малого бизнеса на 1С».

Главное

Триада CIA (КЦД) — это язык, на котором описывают и угрозы, и меры защиты. Конфиденциальность, целостность и доступность нужно обеспечивать вместе, расставляя приоритеты по ценности данных и не нарушая баланс. С этих свойств начинаются и оценка ущерба, и выбор мер, и — где применимо — определение класса или уровня защищённости.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «Организация и комплаенс» →

Требования РКН и ФСТЭК для малого бизнеса на 1С: пошаговый алгоритм

Пошаговый план выполнения требований по защите персональных данных для небольшой компании, которая ведёт в 1С кадры и бухгалтерию своих сотрудников и учёт клиентов и контрагентов, сдаёт отчётность через УКЭП руководителя и МЧД бухгалтера, а с банком работает по ЭЦП. Организационные обязанности перед Роскомнадзором, отдельный блок технических мер по приказу ФСТЭК №21 (антивирус, межсетевой экран, идентификация и аутентификация и т. д.) и порядок учёта СКЗИ. Что именно нужно сделать и как.

Как распределить обязанности по информационной безопасности в небольшой организации

Кто и за что отвечает за информационную безопасность в маленькой компании: должен ли директор делать всё сам, какие роли обязательно назначить приказом (ответственный за организацию обработки ПДн, ответственный за безопасность в ИСПДн, ответственный за СКЗИ), можно ли совмещать роли, допустимо ли поручить ведение журнала учёта СКЗИ бухгалтеру и что делать, если системный администратор не в штате, а приходящий или на аутсорсе. Разбираем поручение на обработку, лицензию подрядчика и типичные ошибки.

Документы по защите информации: ПДн, ИСПДн, ГИС, КИИ и СКЗИ — какой комплект нужен

Обзор документов по защите информации в разрезе режимов: персональные данные (152-ФЗ), ИСПДн (ПП-1119 и приказ ФСТЭК №21), государственные информационные системы (приказ ФСТЭК №117, ранее №17), критическая информационная инфраструктура (187-ФЗ, ПП-127, приказы №235 и №239) и СКЗИ (ПКЗ-2005, Инструкция ФАПСИ №152, приказ ФСБ №378). Что обязательно у любого оператора, что добавляется при автоматизированной обработке, в ГИС, у субъекта КИИ и при использовании криптографии. Перечни базовые и уточняются по конкретной системе, классу и уровню защищённости.

Как не допустить утечку персональных данных и коммерческой тайны

Профилактика утечек персональных данных и коммерческой тайны: почему большинство утечек идёт от своих сотрудников и небрежности, а не от хакеров, и какие организационные и технические меры реально снижают риск. Разграничение доступа, режим коммерческой тайны, NDA, контроль носителей и подрядчиков, обучение людей и порядок при увольнении.