CIA: Důvěrnost-Integrita-Dostupnost

Tento příspěvek navazuje na již publikované články o důvěrnosti, integritě a dostupnosti a pokouší se nastínit, jaký je vztah mezi těmito třemi základními atributy bezpečnosti.

Nežádoucí odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction) určitých informací může vést k finanční ztrátě, poškození dobrého jména společnosti a v nejhorším případě i k ohrožení života jejich zaměstnanců nebo klientů. Z těchto důvodů je nutné informace před narušením důvěrnosti (Confidentality), dostupnosti (Availability) a integrity (Integrity) odpovídajícím způsobem chránit a to během celého jejich životního cyklu.

CIA - Confidentiality - Integrity - Availability

Vždy je třeba zvážit, jak vysoký stupeň ochrany si daná informace opravdu zaslouží.  tj. jaký soubor opatření na úrovni organizační, logické a fyzické bezpečnosti je třeba přijmout. Především proto, že zavedení těchto opatření bude něco stát a přinese určitá omezení při práci s informacemi. Stanovit skutečně odpovídající úroveň ochrany je možné jedině na základě detailní analýzy rizik. Vzhledem k tomu, že v praxi není dost dobře možné, aby si každý vlastník informace prováděl analýzu dopadů, hrozeb a zranitelností sám, protože na to většinou nemá čas a často ani odpovídající znalosti, je běžné, že vrcholový management společnost nechá za tímto účelem provést analýzu rizik.

Cílem takové analýzy je identifikace informací, které společnost zpracovává a dále určení hrozeb, které by mohly ohrozit důvěrnost, integritu a dostupnost těchto informací. Pro jednotlivé typy informací se poté na základě takto provedené analýzy rizik určí formou nějakého závazného dokumentu klasifikační stupně a zároveň se pro jednotlivé klasifikační stupně rozhodne o zavedení příslušných opatření, které musí všichni zaměstnanci dodržovat, aby byla zajištěna důvěrnost, integrita a dostupnost těchto informací.

Dostupnost a důvěrnost
Pokud budeme klást důraz jen na zajištění dostupnosti a důvěrnosti informací bez ohledu na zajištění jejich integrity, může dojít k situaci, že informace jsou sice oprávněné osobě dostupné v okamžiku, kdy je potřebuje, avšak tato osoba nemá žádnou záruku, že nedošlo k jejich nežádoucí modifikaci.

Veškerá pozornost byla soustředěna jen na zajištění dostupnosti a důvěrnosti a otázka integrity byla podceněna.

Důvěrnost a integrita
Pokud budeme klást důraz jen na zajištění důvěrnosti a integrity informací bez ohledu na zajištění jejich dostupnosti, může dojít k situaci, že informace jsou sice dostatečně chráněny proti nežádoucí modifikaci a vyzrazení, ale nejsou dostupné v okamžiku, kdy s nimi oprávněná osoba potřebuje pracovat.

Veškerá pozornost byla soustředěna jen na zajištění integrity a důvěrnosti a otázka dostupnosti byla podceněna.

Integrita a dostupnost
Pokud budeme klást důraz jen na integritu a dostupnost bez ohledu na zajištění důvěrnosti, můžeme se dostat do situace, že informace sice bude dostatečně chráněna proti nežádoucí modifikaci, ale dostane se i k osobě, která není oprávněna se s ní seznamovat.

Veškerá pozornost byla soustředěna jen na zajištění integrity a dostupnosti a otázka důvěrnosti byla podceněna.

Nyní se již můžeme zamyslet nad tím, jak souvisí požadavky na zajištění důvěrnosti, integrity a dostupnosti informací s předmětem podnikání a tedy i typem zpracovávaných informací a poskytovaných služeb. Z výše uvedeného vyplývá, že ve většině případů je třeba věnovat pozornost všem bezpečnostním atributům, ne vždy je však možné a efektivní věnovat všem atributům stejnou pozornost, protože každé opatření něco stojí. V praxi se tak klade na některý atribut větší důraz. Jako příklad si vezmeme např. transakční systém v bance. Je v celku logické, že bude kladen spíše větší důraz na integritu a dostupnost než na důvěrnost, to především proto, že veškeré transakce, které se uskutečňují v elektronické podobě, musí být správně a v požadovaném čase zaúčtovány. Důvěrnost je jistě také důležitá a její zajištění je navíc vyžadováno zákonem, nicméně možná ztráta plynoucí z narušení důvěrnosti je ve většině případů mnohem nižší, než ztráta způsobená narušením integrity nebo dostupnosti. Je tomu tak proto, že za únik informací o klientech nebo jejich transakcích, pokud se na to přijde, může být sice udělena pokuta, např. na základě série občanských stížností a rozhodnutí o náhradě škody, ale ta zdaleka nedosahuje výše možných ztrát v případě narušení integrity nebo dostupnosti.

Je třeba vzít v úvahu, že nejvyšší pokuta, kterou může úřad pro ochranu osobních údajů udělit právnické osobě je 5.000.000 Kč, v případě fyzické osoby 1.000.000 Kč. Položme si dále otázku, kolik pokut úřad za své existence jednotlivým firmám uložil a jaká byla výše těchto pokut. Zamysleme se také nad tím, jaká je nabídka a poptávka na trhu po produktech k zajištění dostupnosti a integrity a produktech pro zajištění důvěrnosti. Vezměme také v úvahu skutečnost, že zatímco v případě narušení dostupnosti informací se o tom jejich vlastník často hned dozví, tak v případě narušení integrity je šance na odhalení již mnohem nižší a v případě narušení důvěrnosti mohou informace z firmy dlouhodobě unikat a daná firma se o tom dokonce vůbec nemusí dozvědět, neboť konkurence těchto informací použije pro sebe. Lze se proto jen domnívat, že obdobný přístup k důvěrnosti, integritě a dostupnosti bude zaujímat nejspíš většina podniků, a nelze ho odmítat, protože má své jasné opodstatnění. Pokud jde o důvěrnost, ta je na prvním místě např. v armádě.

Poznámka: Důvěrnost (Confidentality), integrita (Integrity) a dostupnost (Availability) se označuje jako CIA triáda. Jejím opakem je DAD triáda: odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction). Můžeme také říci, že vlastník usiluje o CIA a útočník o DAD.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , , , , , ,


K článku “CIA: Důvěrnost-Integrita-Dostupnost” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: