Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Тонкая грань между целостностью и доступностью

Аватар пользователя al.bondarenko
Автор: Бондаренко Александр, R-Vision
(0)
()
Опубликовано в:
Сижу, читаю драфт государственного стандарта "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения".  И вот такой пассаж бросился в глаза:
 
Угрозы нарушения целостности защищаемой информации направлены на ее уничтожение и/ или модификацию.
 
Угрозы нарушения доступности защищаемой информации направлены на исключение возможности использования этой информации ее обладателем (пользователем), процессом или устройством
 
На мой взгляд здесь классическая ошибка, связанная с наличием тонкой грани между понятиями свойств "целостности" и "доступности" информации.  
 
Разве уничтожение информации (угрозы нарушения целостности согласно первому определению) не приводит к исключению возможности использования этой информации ее обладателем (из второго определения для угроз доступности) ?  Приводит ! 
 
Поэтому про нарушение целостности можно говорить только тогда, когда в исходную информацию вносятся изменения, которые для пользователя выглядят как абсолютно легитимные.  Если же в результате изменений информация меняется полностью или же нарушается структура данных, то это уже в чистом виде уничтожение информации, т.е нарушение доступности. 
 
Может быть я конечно говорю банальные вещи, но есть специалисты, которые в этом вопросе по-прежнему путаются. 
 
В качестве подтверждения давайте посмотрим на определения свойств "целостности" и "доступности" в различных документах: 
 
- ISO 27001

доступность: свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется;

целостность: свойство, заключающееся в обеспечении точности и полноты ресурсов.
 
- ГОСТ Р 50922 2006. Защита информации. Основные термины и определения
целостность: Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право

доступность информации: [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

- Базовая модель угроз безопасности ПДн от ФСТЭК (документ от 2008 г.)
 
целостность информации: состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
 
определения доступности нет. 
 
- СТО БР ИББС
 
доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы. 
 
целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах. 
 
Можно увидеть, что все определения очень схожи. И это только подтверждает то, что когда мы говорим о целостности, то речь идет именно о внесении несанкционированых изменений. Если же изменения приводят к тому, что исходная информация становится абсолютно неинформативной (уж простите за тафталогию), то тут мы уже имеем дело с нарушением доступности.  
 
Надеюсь что разработчики ГОСТа в ТК-362 учтут этот момент и внесут соответствующие поправки в документ. 
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.