מושגי מפתח באבטחת מידע וסייבר סקיוריטי
סודיות, שלמות, זמינות
לב אבטחת המידע הוא השילוש הנקרא CIA (Confidentiality, integrity and availability) של סודיות, יושרה וזמינות. (השילוש מכונה בספרות לסירוגין כ"תכונות אבטחה", "תכונות", "יעדי אבטחה", "היבטים בסיסיים באבטחת מידע", "קריטריונים של מידע", "מאפייני מידע קריטי" או "אבני בניין בסיסיות").
סודיות – Confidentiality
באבטחת מידע, סודיות "היא התכונה שלפיה, מידע לא יהיה זמין לרשות יחידים, ישויות או תהליכים בלתי מורשים." סודיות היא "מקרה פרטי" של פרטיות שמשמשת להגנה על הנתונים מגורמים בלתי מורשים. דוגמאות: גניבת מחשבים ניידים, גניבת סיסמא או מיילים רגישים הנשלחים לאנשים הלא נכונים.
שלמות – Integrity
באבטחת מידע, שלמות נתונים פירושה שמירה והבטחת הדיוק והשלמות של הנתונים לאורך מחזור החיים כולו. פירוש הדבר שלא ניתן לשנות את הנתונים באופן לא מורשה או לא מבוקר. שלמות הנתונים חיונית לשמירה על האמון במידע והבטחת מהימנותו לקבלת החלטות ופונקציות קריטיות אחרות. שינויים לא מורשים או התעסקות בנתונים עלולים להוביל לתוצאות משמעותיות, כולל פגיעה בדיוק ואובדן אמון במידע.
זמינות – Availability
על מנת שמערכת מידע כלשהי תשרת את מטרתה, המידע חייב להיות זמין בעת הצורך. משמעות הדבר היא שבקרות האבטחה המשמשות להגנה וערוצי התקשורת המשמשים לגישה אל מערכות המחשוב המשמשות לאחסון ולעיבוד המידע, חייבים לתפקד כראוי.
יש לשאוף שמערכות יהיו זמינות בכל עת, ולמנוע הפרעות בשירותים בגלל הפסקות חשמל, תקלות חומרה ושדרוג מערכות. הבטחת הזמינות כרוכה גם במניעת התקפות של מניעת שירות (הכוונה ל"שיטפון" של הודעות נכנסות למערכת היעד, במטרה לאלץ את המערכת להיסגר).
בתחום אבטחת המידע, הזמינות היא אחד החלקים החשובים ביותר להצלחת תוכנית אבטחת מידע. משתמשי הקצה צריכים להיות מסוגלים להמשיך לעבוד (מטרת הארגון), בהתאם למדיניות המפורטת של הארגון, אשר בהתאמה, קובע את הסטנדרטים למאמץ ההגנה על הזמינות. הבטחת הזמינות כוללות נושאים כמו תצורות פרוקסי, גישה חיצונית לאינטרנט, יכולת גישה לכוננים משותפים ויכולת לשלוח מיילים.
ב-1992 ומאוחר יותר ב-2002, הארגון לשיתוף פעולה ופיתוח כלכלי (OECD) הציג תשעה עקרונות לאבטחת מערכות מידע ורשתות. עקרונות אלה מספקים מסגרת מקיפה לביסוס נוהלי אבטחה יעילים. העקרונות הם כדלקמן:
- מודעות: קידום המודעות לחשיבות אבטחת המידע בקרב כל מחזיקי העניין, לרבות משתמשים, הנהלה ואנשי IT.
- אחריות: הגדרה והקצאה של תפקידים ואחריות ברורים לניהול אבטחת מידע והבטחת אחריות בכל הארגון.
- תגובה: קביעת נהלים ומנגנונים לתגובה מהירה ואפקטיבית לאירועי אבטחה והפרות.
- אתיקה: ביצוע פעולות אבטחה בצורה אתית וחוקית תוך כיבוד זכויות ופרטיות של אנשים.
- דמוקרטיה: כיבוד ערכים דמוקרטיים והגנה על חופש הביטוי והגישה למידע תוך הבטחת ביטחון.
- הערכת סיכונים: ביצוע הערכות סיכונים קבועות כדי לזהות ולהעריך סיכוני אבטחה פוטנציאליים ופגיעויות.
- תכנון ויישום אבטחה: פיתוח תוכניות סייבר מקיפות ויישום אמצעי אבטחה מתאימים המבוססים על הערכות סיכונים.
- ניהול אבטחה: הקמת תהליך ניהול מתמשך לניטור, סקירה ועדכון של אמצעי אבטחה כדי להתמודד עם איומים ושינויים מתעוררים בסביבה.
- הערכה מחודשת: הערכה מחודשת של יעילות אמצעי האבטחה והתאמתם לפי הצורך כדי להבטיח שיפור מתמיד.
- על ידי שמירה על עקרונות אלה, ארגונים יכולים לבסס גישה חזקה ומקיפה לאבטחת מידע, הכוללת את השילוש של סודיות, יושרה וזמינות. יישום אמצעי אבטחה המתיישרים עם העקרונות הללו יסייע בהגנה על מידע רגיש, בשמירה על שלמות הנתונים ובהבטחת הנגישות של מערכות ושירותים קריטיים.