Открыть сервис

Триада CIA

Триада CIA (от англ. Confidentiality, Integrity, Availability — конфиденциальность, целостность, доступность) — это базовая модель информационной безопасности, описывающая три главных свойства, которые должна обеспечивать защита информации. Модель служит фундаментом для разработки политик безопасности, анализа угроз и построения систем защиты в любой организации, работающей с данными.

История возникновения

Концепция трёх основных свойств информации начала формироваться в 1970-х годах, когда с развитием компьютерных сетей и баз данных возникла необходимость формализовать требования к защите данных. В 1977 году Национальный центр компьютерной безопасности США (NCSC) в рамках программы «Оранжевой книги» (TCSEC) впервые чётко определил требования к конфиденциальности, целостности и доступности для защищённых систем.

Однако термин «триада CIA» получил широкое распространение в 1990-х годах благодаря работам специалистов по информационной безопасности, в частности Чарльза Пфлегера (Charles Pfleeger). В 1991 году вышла его книга «Security in Computing», где модель была представлена как универсальный инструмент для анализа угроз. С тех пор триада стала общепринятым стандартом в учебных курсах, отраслевых стандартах (ISO/IEC 27001, NIST SP 800-30) и практических руководствах.

Элементы триады

Конфиденциальность (Confidentiality)

Конфиденциальность — свойство информации, при котором она недоступна или не раскрывается неавторизованным лицам, процессам или устройствам. Обеспечение конфиденциальности означает, что доступ к данным имеют только те субъекты (пользователи, программы, системы), которые имеют на это право.

Основные механизмы защиты конфиденциальности:

Нарушение конфиденциальности (утечка данных) может происходить из-за перехвата трафика, взлома баз данных, социальной инженерии, действий инсайдеров или ошибок конфигурации. Примеры: кража паролей, утечка персональных данных клиентов, разглашение коммерческой тайны.

Целостность (Integrity)

Целостность — свойство, гарантирующее, что данные не были изменены или уничтожены несанкционированным образом. Целостность включает два аспекта:

Механизмы обеспечения целостности:

Нарушение целостности может быть следствием вирусной атаки (например, программа-вымогатель шифрует файлы), сбоя оборудования, ошибки программного обеспечения или действий злоумышленника, изменяющего данные в базе. Примеры: подмена банковского перевода, изменение кода программы, фальсификация результатов анализов.

Доступность (Availability)

Доступность — свойство, при котором информация и связанные с ней ресурсы (серверы, сети, приложения) находятся в рабочем состоянии и могут быть использованы авторизованными субъектами в любое требуемое время. Доступность измеряется временем безотказной работы (uptime) и временем восстановления после сбоя (RTO — Recovery Time Objective).

Методы обеспечения доступности:

Нарушение доступности (отказ в обслуживании) может быть вызвано DDoS-атакой, физическим повреждением оборудования, ошибками администрирования, природными катастрофами или программными сбоями. Примеры: падение сайта интернет-магазина в «чёрную пятницу», отключение облачного сервиса из-за пожара в дата-центре.

Взаимосвязь и баланс элементов

Три элемента триады не являются независимыми — между ними существует постоянное противоречие. Усиление одного свойства часто ослабляет другое, и задача специалиста по безопасности — найти оптимальный баланс для конкретной системы.

На практике для разных типов информации приоритеты могут различаться. Например, для государственной тайны критична конфиденциальность, для финансовых транзакций — целостность, для публичного веб-сайта — доступность.

Дополнительные свойства и расширения модели

С развитием информационных технологий классическая триада CIA была дополнена другими важными свойствами. Наиболее известные расширения:

В некоторых моделях (например, модель Паркера — Parkerian Hexad) к трём исходным свойствам добавляют владение (possession), полезность (utility) и аутентичность.

Применение триады на практике

Триада CIA используется как основа для:

  1. Анализа рисков — идентификация угроз для каждого из трёх свойств и оценка их вероятности и ущерба.
  2. Разработки политик безопасности — формулирование требований к защите конфиденциальности, целостности и доступности для разных категорий данных.
  3. Проектирования архитектуры безопасности — выбор технических решений (межсетевые экраны, системы обнаружения вторжений, шифрование, резервирование).
  4. Аудита и комплаенса — проверка соответствия систем стандартам (ISO 27001, PCI DSS, NIST SP 800-53), которые в явном виде ссылаются на триаду.
  5. Обучения персоналаобъяснение сотрудникам базовых принципов защиты информации.

Критика и ограничения

Несмотря на широкую распространённость, триада CIA подвергается критике:

Тем не менее, триада остаётся базовым инструментом, с которого начинается изучение информационной безопасности, и используется как отправная точка для построения более сложных моделей.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →