Конфиденциальность, целостность и доступность данных

Безопасная информационная система — это система, которая, во-первых, защи­щает данные от несанкционированного доступа, во-вторых, всегда готова предо­ставить их своим пользователям, в-третьих, надежно хранит информацию и гаран­тирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

□ Конфиденциальность (confidentiality) — гарантия того, что секретные дан­ные будут доступны только тем пользователям, которым этот доступ разре­шен (такие пользователи называются авторизованными).

□ Доступность (availability) — гарантия того, что авторизованные пользователи всегда получат доступ к данным.

□ Целостность (integrity) — гарантия сохранности данными правильных значе­ний, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Целью злоумышленников может быть нарушение каждой их составляющих ин­формационной безопасности — доступности, целостности или конфиденциаль­ности. Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно пред­ставить систему, для которой были бы не важны свойства целостности и доступ­ности, но свойство конфиденциальности не всегда является обязательным. На­пример, если вы публикуете информацию в Интернете на веб-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, то кон­фиденциальность в данном случае не требуется. Однако требования целостности и доступности остаются актуальными.

Действительно, если вы не предпримете специальных мер по обеспечению цело­стности данных, злоумышленник может, например, внести такие изменения в помещенный на веб-сайте прайс-лист, которые снизят конкурентоспособность вашего предприятия, или испортить коды свободно распространяемого вашей фир­мой программного продукта, что, безусловно, скажется на ее деловом имидже.

Не менее важной в данном примере является и доступность данных. Затратив немалые средства на создание и поддержание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером таких злонамеренных действий мо­жет служить «бомбардировка» сервера IP-пакетами с неправильным обратным адресом, которые в соответствии с логикой работы протокола IP могут вызывать тайм-ауты и, в конечном счете, сделать сервер недоступным для всех остальных запросов.

ПРИМЕЧАНИЕ -----------------------------------------------------------------------------------------------------

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, на­пример внешним устройствам или приложениям. Возможность «незаконного» использо­вания такого рода ресурсов способна привести к нарушению безопасности системы. Свойство конфиденциальности, примененное к устройству печати, означает, что доступ к нему имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство дос­тупности устройства интерпретируется как его готовность к использованию всякий раз, когда в этом возникает необходимость. Благодаря свойству целостности злоумышленник не может изменить параметры настройки устройства, что могло бы привести к изменению очередности работ и даже к выводу устройства из строя. Легальность использования сете­вых устройств важна не только постольку, поскольку она влияет на безопасность данных. Устройства могут предоставлять различные услуги (распечатка текстов, отправка факсов, доступ в Интернет, электронная почта и т. п.), незаконное потребление которых наносит материальный ущерб, что также является нарушением безопасности предприятия.