В чём разница между «доступностью» и «целостностью» информации в контексте информационной безопасности?
Оригинал статьи:
Тонкая грань между целостностью и доступностью, А. Бондаренко
Сижу, читаю драфт государственного стандарта «Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения». И вот такой пассаж бросился в глаза:
Угрозы нарушения целостности защищаемой информации направлены на ее уничтожение и/ или модификацию.
Угрозы нарушения доступности защищаемой информации направлены на исключение возможности использования этой информации ее обладателем (пользователем), процессом или устройством
На мой взгляд здесь классическая ошибка, связанная с наличием тонкой грани между понятиями свойств «целостности» и «доступности» информации.
Разве уничтожение информации (угрозы нарушения целостности согласно первому определению) не приводит к исключению возможности использования этой информации ее обладателем (из второго определения для угроз доступности) ? Приводит !
Поэтому про нарушение целостности можно говорить только тогда, когда в исходную информацию вносятся изменения, которые для пользователя выглядят как абсолютно легитимные. Если же в результате изменений информация меняется полностью или же нарушается структура данных, то это уже в чистом виде уничтожение информации, т.е нарушение доступности.
Может быть я конечно говорю банальные вещи, но есть специалисты, которые в этом вопросе по-прежнему путаются.
В качестве подтверждения давайте посмотрим на определения свойств «целостности» и «доступности» в различных документах:
— ISO 27001
доступность: свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется;
целостность: свойство, заключающееся в обеспечении точности и полноты ресурсов.
— ГОСТ Р 50922 2006. Защита информации. Основные термины и определения
целостность: Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право
доступность информации: [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
— Базовая модель угроз безопасности ПДн от ФСТЭК (документ от 2008 г.)
целостность информации: состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
определения доступности нет.
— СТО БР ИББС
доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.
целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.
Можно увидеть, что все определения очень схожи. И это только подтверждает то, что когда мы говорим о целостности, то речь идет именно о внесении несанкционированых изменений. Если же изменения приводят к тому, что исходная информация становится абсолютно неинформативной (уж простите за тафталогию), то тут мы уже имеем дело с нарушением доступности.
Надеюсь что разработчики ГОСТа в ТК-362 учтут этот момент и внесут соответствующие поправки в документ.
Материалы обработал: ev
Больше контента от наших переводчиков, редакторов по ИТ/медицине смотрите на канале https://t.me/alliancepro