понедельник, 1 июля 2013 г.

Тонкая грань между целостностью и доступностью

Сижу, читаю драфт государственного стандарта "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения".  И вот такой пассаж бросился в глаза:

Угрозы нарушения целостности защищаемой информации направлены на ее уничтожение и/ или модификацию.

Угрозы нарушения доступности защищаемой информации направлены на исключение возможности использования этой информации ее обладателем (пользователем), процессом или устройством

На мой взгляд здесь классическая ошибка, связанная с наличием тонкой грани между понятиями свойств "целостности" и "доступности" информации.  

Разве уничтожение информации (угрозы нарушения целостности согласно первому определению) не приводит к исключению возможности использования этой информации ее обладателем (из второго определения для угроз доступности) ?  Приводит ! 

Поэтому про нарушение целостности можно говорить только тогда, когда в исходную информацию вносятся изменения, которые для пользователя выглядят как абсолютно легитимные.  Если же в результате изменений информация меняется полностью или же нарушается структура данных, то это уже в чистом виде уничтожение информации, т.е нарушение доступности. 

Может быть я конечно говорю банальные вещи, но есть специалисты, которые в этом вопросе по-прежнему путаются. 

В качестве подтверждения давайте посмотрим на определения свойств "целостности" и "доступности" в различных документах: 

- ISO 27001

доступность: свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется;

целостность: свойство, заключающееся в обеспечении точности и полноты ресурсов.

- ГОСТ Р 50922 2006. Защита информации. Основные термины и определения
целостность: Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право

доступность информации: [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

- Базовая модель угроз безопасности ПДн от ФСТЭК (документ от 2008 г.)

целостность информации: состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

определения доступности нет. 

- СТО БР ИББС

доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы. 

целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах. 
Можно увидеть, что все определения очень схожи. И это только подтверждает то, что когда мы говорим о целостности, то речь идет именно о внесении несанкционированых изменений. Если же изменения приводят к тому, что исходная информация становится абсолютно неинформативной (уж простите за тафталогию), то тут мы уже имеем дело с нарушением доступности.  

Надеюсь что разработчики ГОСТа в ТК-362 учтут этот момент и внесут соответствующие поправки в документ. 

27 комментариев:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Мы с тобой на тему целостности и доступности дискутировали года 4 назад ))) и так и остались при своем мнении. Давай возродим вновь.
    Особо меня задела фраза "Может быть я конечно говорю банальные вещи, но есть специалисты, которые в этом вопросе по-прежнему путаются."

    Итак, давай определимся с тем, что доказываем, т.е. с базовым тезисом. Правильно ли я тебя понял, что ты считаешь, что "уничтожение информации - потеря свойства "доступность""? Из приведенных тобой терминов это не следует...

    ОтветитьУдалить
  3. Александр, приветствую!
    На мой взгляд, фраза про грань (!) между целостностью и доступностью, уже и задает дальше неправильное видение.
    Неверно считать, что целостность и доступность должны быть неперекрывающимися, что где одно кончается - другое начинается, и что любая точка принадлежит только к одному из множеств.
    Это как легендарный вопрос: "А вот то-то - это коммерческая тайна или персональные данные?". Какого черта оно или?? Одни и те же 8376 рублей прекрасно являются для субъекта персданными, для перечислившего работодателя коммерческой тайной, для получившего банка банковской, для передавшего опсоса тайной связи, а для финмониторинга служебной.
    Совершенно замечательно может одно событие нарушать и целостность, и доступность. С какой стати их вдруг разводить?

    ОтветитьУдалить
    Ответы
    1. Я бы разводил. Конкретный пример: уничтожение информации - это нарушение целостности, доступности или сразу 2х?

      Удалить
    2. Ок, понятно. Эх, что-же Саша-то молчит. У него, похоже, мнение отличается и от твоего ("оба") и от моего ("целостность"). Сейчас бы сообразили на 3х ))))

      Удалить
  4. Этот комментарий был удален автором.

    ОтветитьУдалить
  5. Чет какая-то фигня с комментариями. Один не отобразился :((( Дублирую.

    В подтверждение моих слов есть терминология их Приказа 17 ФСТЭК:

    п.12 "Орг.и тех.меры ЗИ должны быть направлены на исключение:

    - неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
    - неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
    - неправомерного блокирования информации (обеспечение доступности информации)."

    ОтветитьУдалить
  6. Коллеги, прошу прощения за задержку с ответом, много работы.

    Ригель, мне кажется примеры не совсем корректны. То, что виды информации могут между собой перекрываться, я абсолютно не спорю, но это никак не доказывает то, что это можно применить и к свойствам безопасности информации. Во-вторых, "Совершенно замечательно может одно событие нарушать и целостность, и доступность" - и с этим я совершенно не спорю, может нарушать одновременно и конфиденциальность и доступность (хищение информации с уничтожением оригинала, например). Это же не значит что конфиденциальность и доступность - перекрывающиеся вещи. В общем аргумент, что одно событие может нарушать несколько свойств (с чем я абсолютно согласен) никак не опровергает то, что я написал в блоге.

    Андрей, спасибо за упоминание 17-го приказа, я его как-то упустил. Очень жаль что ФСТЭК опять пошла своим путем и совершила такой откровенный ляп (по моему мнению) в своих документах.

    Я наверное не смогу вас переубедить, коллеги, и очень жаль что мы расходимся в понимании даже таких фундаментальных вещей. Я однако все же попробую. В своем посте я привел примеры из нескольких нормативных документов, которые однозначно указывают на мою трактовку к этому можно прибавить еще кучу методической литературы из канады, австралии, франции и др., которую я сейчас изучаю и где аналогичным образом под нарушением целостности понимается именно внесение изменений.

    Сделаю еще одну попытку, как учили в школе "доказательство от обратного". Допустим вы правы и нарушение целостности = уничтожение или модификация информации. Вспоминаем все классические учебники по ИБ (можно институтские, можно учебники по CISA, CISSP, Security+). Какие свойства информации обеспечивает электронная подпись ? Ну-ка ?

    Правильно, целостность и аутентичность. Про аутентичность пока забыли, если смотреть на нарушение целостности в том виде как говорите вы (и как написано у ФСТЭК), то ЭП обеспечить это свойство не может ! ЭП не может защитить электронный документ от уничтожения.

    Ч.т.д

    P.S. Андрей, возвращаясь к терминам, я скажу по-другому. нарушение доступности = уничтожение или блокирование доступа к информации

    ОтветитьУдалить
  7. Ну, вот ФСТЭК как раз молодец:))) Наконец ввел необходимые уточнения. Проблема в том, что приведенные тобой определения можно трактовать как в твою, так и в мою пользу. Противоречий нет.
    Поэтому давай еще больше аргументов в пользу той или иной точки зрения рассмотрим.

    Вот ты упоминаешь другие методические материалы. Давай конкретные ссылки (документ, пункт), чтобы мы могли вместе посмотреть. Я, например, тоже в материалах CISSP видел упоминание термина "целостность" в контексте защиты от уничтожения, но т.к. не могу дать конкретную ссылку, то и не использую в аргументации.

    Про ЭП пример, а особенно вывод не корректен. Это как "у нас есть 2 резервных сервера (обеспечивают доступности информации), а потом выключили электричество, и серверы "сдохли". Значит резервирование не помогает обеспечивать "доступность"."

    А вот тебе пример в пользу моего аргумента. Допустим мы уничтожили 1% информации, нарушилась целостность. А если уничтожили 10%, тоже целостность. А если 50% - целостность. А если 99,99999%, и тут целостность.
    А если уже тогда уничтожим 100% информации, то какое св-во нарушится?;)

    Итого:
    1. Приведи аргументы в пользу своего тезиса. Представленные термины и пример про ЭП слишком слабые.
    2. Если упоминаешь "лучшие практики", то давай ссылку.
    3. Можешь оспаривать мои аргументы. Сейчас их 2 основных: про приказ 17 и упомянутый выше про %. Оспаривание в стиле "во ФСТЭКе ничего не понимают" принимается, но это тоже слабый аргумент.

    ОтветитьУдалить
  8. Я готов к конструктивному спору и, если не прав, то приму твою точку зрения. Но надо рассмотреть аргументы и за и против, это позволит сделать правильные выводы.

    ОтветитьУдалить
  9. Коллеги!
    Я думаю, что можно идти от элементарных понятий и логики и рассмотреть на примере яблока.
    Целостность информации (читаем "целая информация"). До тех пор, пока не нарушена оболочка яблока, целостность этого яблока сохраняется. Как только кто-то его укусит, целостность нарушится.
    Доступность информации (читаем "информация доступна"). Если взять то же самое яблоко, то доступность его обеспечивается возможностью его съесть. Яблоко на дереве - недоступно. Как только мы его срываем и кладем на стол - доступно.
    Если вернуться к яблоку, сгнившему на столе, у него не нарушены ни целостность, ни доступность. Мы по-прежнему видим, что яблоко целое и мы по-прежнему можем его съесть. Но не будем, т.к. оно потеряло свой вкус (информация не актуальна)
    Выводы:
    Для того, чтобы нарушить доступность, необходимо либо убрать яблоко со стола, либо накрыть колпаком
    Чтобы нарушить целостность информации, то достаточно отрезать хоть малую часть.

    ОтветитьУдалить
  10. Андрей, парирую.

    1) "Про ЭП пример, а особенно вывод не корректен. Это как "у нас есть 2 резервных сервера (обеспечивают доступности информации), а потом выключили электричество, и серверы "сдохли". Значит резервирование не помогает обеспечивать "доступность"."

    Я как раз считаю что твой пример некорректен. Ты говоришь про защитную меру, которая направлена на обеспечение доступности, но только в определенных ситуациях, и в некоторых ситуациях она не работает. В моем примере я не говорил что ЭП плохая или со слабым ключом или еще что-то. Она в принципе не в состоянии защитить от уничтожения, а если вы его рассматриваете как часть целостности, значит ЭП у вас целостность не обеспечивает.

    2) "А вот тебе пример в пользу моего аргумента. Допустим мы уничтожили 1% информации, нарушилась целостность. А если уничтожили 10%, тоже целостность. А если 50% - целостность. А если 99,99999%, и тут целостность.
    А если уже тогда уничтожим 100% информации, то какое св-во нарушится?;) "

    Этот пример очень общий, и на таких материях мы будем долго общаться. Что такое информация ? Давай говорить про конкретные объекты: электронный файл, письмо, база данных и проч. Если переходить к конкретике (а не абстрактной "информации"), то любые изменения в объекте - это нарушение целостности, если объект уничтожается или к нему блокируется доступ - нарушается доступность. Какой процент изменений приводит к переходу от целостности к доступности - это и есть та "тонкая грань" между этими свойствами, она порой может определяться свойствами конкретного защищаемого объекта. Возвращаясь в примеры из обычной жизни, по примеру Владимира, если мы надрежем яблоко, то оно потеряет целостность, но все еще будет доступно и вполне применимо в пищу (или в компот), а вот если мы возьмем воздушный шарик, то в случае нарушения целостности (даже маленькой дырочки), он взрывается и от него практически ничего не остается, это тот случай когда нарушение целостности провоцирует цепную реакцию в результате которой теряется доступность, но это опять же не является доказательством того, что это пересекающиеся понятия.

    ОтветитьУдалить
    Ответы
    1. Давай про информацию! Ее лучше мерить в битах (и даже бумажные документы можно перевести в цифровой вид, включая подписи)

      Если хочешь еще конкретнее, то давай про электронные файлы. А грани тонкой тут нет, елси мы изменяем сообщение от 0 до 100% (для электронных документов - от 1 до всех бит), то это изменение целостности. И именно по тому, что не найти грань (% и или в других величинах), при котором целостность превращается в доступность.

      Удалить
    2. По логике вещей, доступность это дискретное свойство, причем строго бинарное (либо есть доступность, либо ее нет), поэтому все что находится в промежуточном состоянии (от 0 до 100% целостности файла/документа) - это только свойство целостности. Так что я согласен с Александром.

      С ув. Turkish

      Удалить
  11. Саша, ну если уж на то пошло, то ЭП позволяет выявить внесение изменений в сообщение, а не защищает от внесения изменений.

    ОтветитьУдалить
  12. Интересно сравнить определения целостности из заокеанских документов:

    CNSSI-4009: Integrity — The property whereby an entity has not been modified in an unauthorized manner.

    FIPS-140-2: Integrity — The property that sensitive data has not been modified or deleted in an unauthorized and undetected manner.

    Выходит, что определение из частного стандарта FIPS-140-2 за счёт слова «undetected» подтверждает позицию Александра. А определение из более общего глоссария CNSSI-4009 за счёт отсутствия этого слова подтверждает позицию Андрея.

    Предлагаю считать обе позиции одинаково допустимыми. Как в математике сосуществуют различные аксиоматики, так и в NIST IR 7298 Rev. 2 сосуществуют оба определения :)

    ОтветитьУдалить
    Ответы
    1. А вот глоссарий ISACA:

      Integrity - Guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity.

      Availability - Ensuring timely and reliable access to and use of information

      Удалить
    2. Кстати, аналогичные определения (100% сходство) нашел в глоссарий cissp

      Удалить
    3. А вот глоссарий ITIL не дает точного ответа на наш спор

      availability
      (ITIL Service Design) Ability of an IT service or other configuration item to perform its agreed function when required. Availability is determined by reliability, maintainability, serviceability, performance and security. Availability is usually calculated as a percentage. This calculation is often based on agreed service time and downtime. It is best practice to calculate availability of an IT service using measurements of the business output.

      integrity
      (ITIL Service Design) A security principle that ensures data and configuration items are modified only by authorized personnel and activities. Integrity considers all possible causes of modification, including software and hardware failure, environmental events, and human intervention.

      Удалить
    4. Вот еще нашел термины nist:

      Availability - Ensuring timely and reliable access to and use of information.
      SOURCE: SP 800-53; SP 800-53A; SP 800-27; SP 800-60; SP 800- 37; FIPS 200; FIPS 199; 44 U.S.C., Sec. 3542

      The property of being accessible and useable upon demand by an authorized entity.
      SOURCE: CNSSI-4009

      Integrity - Guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity.
      SOURCE: SP 800-53; SP 800-53A; SP 800-18; SP 800-27; SP 800- 37; SP 800-60; FIPS 200; FIPS 199; 44 U.S.C., Sec. 3542
      The property that sensitive data has not been modified or deleted in an unauthorized and undetected manner.
      SOURCE: FIPS 140-2
      The property whereby an entity has not been modified in an unauthorized manner.
      SOURCE: CNSSI-4009

      Удалить
  13. Саша, я полагаю, что спор можем заканчивать. Как считаешь?

    ОтветитьУдалить
  14. Думаю да. Хорошая получилась подборка по теме :)

    ОтветитьУдалить
  15. Я, например, определил для себя, что целостность - это свойство информации, а доступность - это скорее свойство носителя, откуда уже прямой мостик к BCP - тоже делема между доступностью и непрерывностью.

    ОтветитьУдалить
  16. Случайно наткнулся на интересную дискуссию:)
    я соглашусь и с Андреем и Александром сразу. Потеря доступности и целостности сходится в одну точку в момент когда информация потеряна на 100%, это по прежнему нарушение целостности (и тут пример с ЭЦП как раз подтверждает эту идею, ибо ЭЦП позволяет убедиться, что документ был "непустым", так как процедура вычисления ЭЦП от пустоты (уничтоженного документа) и от исходного документа даст разные значения) и нарушение доступности, так как доступ к информации (даже к ее доле) отсутствует.
    А так было интересно почитать:)

    ОтветитьУдалить