О заблуждениях в безопасности, ставших классикой
Задача ли это специалистов по ИБ? Да.
Подпадает ли эта задача под классическую триаду? Опять нет.
И последний пример.
Оператор связи ведет биллинговую систему, которая содержит в себе большое количество важной информации, и среди нее тарифы связи для конкретных групп пользователей.
Если недобросовестный сотрудник оператора изменит тарифы для своего друга или внесет его в группу привилегированных пользователей, то налицо нарушение информационной безопасности.
Относится ли оно к триаде? Ответ будет неоднозначный.
Нарушения доступности точно нет, как и нарушения конфиденциальности.
С целостностью ситуация спорная, но учитывая традиционное понимание термина «целостность», триада и тут находится в стороне.Парадокс? Нет.
Просто современная ситуация отличается от того времени, когда появилась триада CIA (confidentiality, integrity, availability).
Именно поэтому некоторые специалисты давно говорят о необходимости расширения данной триады за счет таких элементов, как подотчетность (accountability), подлинность (authenticity), адекватность (reliability), контроль использования (use control) и др.
В частности первые три элемента дополнили классическую триаду в международном стандарте ISO 13335 и его отечественном аналоге ГОСТ Р ИСО 13335.ЗаключениеОценка рисков, ISO 27001, триада .
Классика информационной безопасности, о которой знают или слышали многие и которую считают незыблемой.
Лучше ISO 27001 нет ничего, оценка рисков - панацея от всех бед, триада расширена быть не может .
Вот некоторые из заблуждений, которые не соответствуют действительности и которые надо развеивать, чтобы они не мешали специалистам заниматься действительно реальной безопасностью и повышать защищенность своих систем.Алексей Лукацкий