Confidentiality, Integrity, Availability – CIA

 

CIA זהו מודל שמגדיר בצורה כללית את דרישות האבטחה בארגון.

כל אמצעי אבטחה שאתה מיישם, אמור לתרום להשגת אחת משלושת המטרות הבאות:

• Confidentiality (סודיות)

• Integrity (שלמות המידע)

• Availability (זמינות)

 

יש ליישם את שלושת העקרונות האלה כאשר מתייחסים לאבטחה של חומרה, תוכנה, תקשורת ונתונים.

 

Confidentiality (סודיות)

כדי להגן על סודיות המידע עליך למנוע מגורמים לא מורשים נגישות למידע.

יש להגדיר את רמת הרגישות של המידע ולהשקיע משאבים רבים יותר בהגנה על מידע רגיש יותר מאשר במידע רגיש פחות.

כדי להגן על סודיות המידע ניתן להשתמש בהצפנה או במודל AAA:

• Authentication – בדיקת זהות.

• Authorization – מתן הרשאות גישה למשאבים.

• Accounting – מעקב אחר שימוש במשאבים ופעילות המשתמשים.  המעקב חשוב בין היתר כדי לספק הוכחה שלא ניתנת להכחשה במידע ובוצעה עבירה

  (non-repudiation).

Integrity (שלמות המידע)

מטרת ההגנה: למנוע מגורמים לא מורשים לשנות את המידע (שמירת המידע בשלמותו).

לדוגמא: לא נרצה שגורם זר יוריד את מחירי המוצרים באתר האינטרנט של החברה.

אנו מאבטחים את שלמות המידע באמצעות גיבוב (Hashing).

 

Availability (זמינות)

מטרת ההגנה: לשמור על זמינות שירותי המחשוב, התקשורת ולגרום למידע להיות זמין למשתמשים שמורשים לגשת למידע.

 

כדי לספק זמינות, ניתן להשתמש בטכנולוגיות הבאות:

• Fault Tolerance – יישום תכנית עמידות בפני תקלות

• Redundancy – יתירות

• Virtualization – סביבה וירטואלית מקלה על יישום Availability.

• Cloud Computing – העברת חלק משרותי המחשוב לענן.

• ביצוע עדכונים (upתאריךs) ושדרוגים (upgrades) לתוכנות ולמערכות ההפעלה.

• מניעת צוואר בקבוק על ידי הספקת רוחב פס נדרש.

• גיבוי המידע בכדי שהמידע יהיה זמין גם במקרים חריגים של אובדן מידע.

 

 

 

• Cyber Security