CIA: Důvěrnost-Integrita-Dostupnost

Tento příspěvek navazuje na již publikované články o důvěrnosti, integritě a dostupnosti a pokouší se nastínit, jaký je vztah mezi těmito třemi základními atributy bezpečnosti.

Nežádoucí odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction) určitých informací může vést k finanční ztrátě, poškození dobrého jména společnosti a v nejhorším případě i k ohrožení života jejich zaměstnanců nebo klientů. Z těchto důvodů je nutné informace před narušením důvěrnosti (Confidentality), dostupnosti (Availability) a integrity (Integrity) odpovídajícím způsobem chránit a to během celého jejich životního cyklu.

CIA - Confidentiality - Integrity - Availability

Vždy je třeba zvážit, jak vysoký stupeň ochrany si daná informace opravdu zaslouží.  tj. jaký soubor opatření na úrovni organizační, logické a fyzické bezpečnosti je třeba přijmout. Především proto, že zavedení těchto opatření bude něco stát a přinese určitá omezení při práci s informacemi. Stanovit skutečně odpovídající úroveň ochrany je možné jedině na základě detailní analýzy rizik. Vzhledem k tomu, že v praxi není dost dobře možné, aby si každý vlastník informace prováděl analýzu dopadů, hrozeb a zranitelností sám, protože na to většinou nemá čas a často ani odpovídající znalosti, je běžné, že vrcholový management společnost nechá za tímto účelem provést analýzu rizik.

Cílem takové analýzy je identifikace informací, které společnost zpracovává a dále určení hrozeb, které by mohly ohrozit důvěrnost, integritu a dostupnost těchto informací. Pro jednotlivé typy informací se poté na základě takto provedené analýzy rizik určí formou nějakého závazného dokumentu klasifikační stupně a zároveň se pro jednotlivé klasifikační stupně rozhodne o zavedení příslušných opatření, které musí všichni zaměstnanci dodržovat, aby byla zajištěna důvěrnost, integrita a dostupnost těchto informací.

Dostupnost a důvěrnost
Pokud budeme klást důraz jen na zajištění dostupnosti a důvěrnosti informací bez ohledu na zajištění jejich integrity, může dojít k situaci, že informace jsou sice oprávněné osobě dostupné v okamžiku, kdy je potřebuje, avšak tato osoba nemá žádnou záruku, že nedošlo k jejich nežádoucí modifikaci.

Veškerá pozornost byla soustředěna jen na zajištění dostupnosti a důvěrnosti a otázka integrity byla podceněna.

Důvěrnost a integrita
Pokud budeme klást důraz jen na zajištění důvěrnosti a integrity informací bez ohledu na zajištění jejich dostupnosti, může dojít k situaci, že informace jsou sice dostatečně chráněny proti nežádoucí modifikaci a vyzrazení, ale nejsou dostupné v okamžiku, kdy s nimi oprávněná osoba potřebuje pracovat.

Veškerá pozornost byla soustředěna jen na zajištění integrity a důvěrnosti a otázka dostupnosti byla podceněna.

Integrita a dostupnost
Pokud budeme klást důraz jen na integritu a dostupnost bez ohledu na zajištění důvěrnosti, můžeme se dostat do situace, že informace sice bude dostatečně chráněna proti nežádoucí modifikaci, ale dostane se i k osobě, která není oprávněna se s ní seznamovat.

Veškerá pozornost byla soustředěna jen na zajištění integrity a dostupnosti a otázka důvěrnosti byla podceněna.

Nyní se již můžeme zamyslet nad tím, jak souvisí požadavky na zajištění důvěrnosti, integrity a dostupnosti informací s předmětem podnikání a tedy i typem zpracovávaných informací a poskytovaných služeb. Z výše uvedeného vyplývá, že ve většině případů je třeba věnovat pozornost všem bezpečnostním atributům, ne vždy je však možné a efektivní věnovat všem atributům stejnou pozornost, protože každé opatření něco stojí. V praxi se tak klade na některý atribut větší důraz. Jako příklad si vezmeme např. transakční systém v bance. Je v celku logické, že bude kladen spíše větší důraz na integritu a dostupnost než na důvěrnost, to především proto, že veškeré transakce, které se uskutečňují v elektronické podobě, musí být správně a v požadovaném čase zaúčtovány. Důvěrnost je jistě také důležitá a její zajištění je navíc vyžadováno zákonem, nicméně možná ztráta plynoucí z narušení důvěrnosti je ve většině případů mnohem nižší, než ztráta způsobená narušením integrity nebo dostupnosti. Je tomu tak proto, že za únik informací o klientech nebo jejich transakcích, pokud se na to přijde, může být sice udělena pokuta, např. na základě série občanských stížností a rozhodnutí o náhradě škody, ale ta zdaleka nedosahuje výše možných ztrát v případě narušení integrity nebo dostupnosti.

Je třeba vzít v úvahu, že nejvyšší pokuta, kterou může úřad pro ochranu osobních údajů udělit právnické osobě je 5.000.000 Kč, v případě fyzické osoby 1.000.000 Kč. Položme si dále otázku, kolik pokut úřad za své existence jednotlivým firmám uložil a jaká byla výše těchto pokut. Zamysleme se také nad tím, jaká je nabídka a poptávka na trhu po produktech k zajištění dostupnosti a integrity a produktech pro zajištění důvěrnosti. Vezměme také v úvahu skutečnost, že zatímco v případě narušení dostupnosti informací se o tom jejich vlastník často hned dozví, tak v případě narušení integrity je šance na odhalení již mnohem nižší a v případě narušení důvěrnosti mohou informace z firmy dlouhodobě unikat a daná firma se o tom dokonce vůbec nemusí dozvědět, neboť konkurence těchto informací použije pro sebe. Lze se proto jen domnívat, že obdobný přístup k důvěrnosti, integritě a dostupnosti bude zaujímat nejspíš většina podniků, a nelze ho odmítat, protože má své jasné opodstatnění. Pokud jde o důvěrnost, ta je na prvním místě např. v armádě.

Poznámka: Důvěrnost (Confidentality), integrita (Integrity) a dostupnost (Availability) se označuje jako CIA triáda. Jejím opakem je DAD triáda: odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction). Můžeme také říci, že vlastník usiluje o CIA a útočník o DAD.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: , , , , , ,


K článku “CIA: Důvěrnost-Integrita-Dostupnost” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: