שיעור 3: שלישיית CIA ובקרות אבטחה
מודל CIA — סודיות (Confidentiality), שלמות (Integrity) וזמינות (Availability) — הוא התשתית שעליה נבנית כל החלטת אבטחה. בשיעור זה נעמיק בכל אחד משלושת העמודים, נכיר את שלושת סוגי הבקרות (טכניות, אדמיניסטרטיביות ופיזיות) שמגנות עליהם, ונבין את יעדי ההתאוששות RTO ו-RPO.
כל בקרת אבטחה משרתת לפחות אחת משלוש מטרות: שהמידע יישאר סודי (C), מדויק (I) וזמין (A).
- סודיות
- הגבלת הגישה למידע למורשים בלבד. אמצעים: הצפנה ובקרת גישה (ACL, MFA, OTP).
- שלמות
- שמירה על דיוק המידע ומניעת שינוי לא מורשה. אמצעים: חתימה דיגיטלית, Checksum וניהול גרסאות.
- זמינות
- הבטחת נגישות המידע והשירות למורשים בזמן הצורך. אמצעים: גיבויים, שרתים יתירים ו-DRP.
- בקרה
- אמצעי, מדיניות או טכנולוגיה המפחיתים סיכון ומגנים על שלישיית CIA. שלושה סוגים: טכנית, אדמיניסטרטיבית ופיזית.
- אימות רב-שלבי
- אימות זהות בעזרת שני גורמים או יותר, למשל סיסמה בתוספת קוד חד-פעמי (OTP).
- תוכנית התאוששות מאסון
- תוכנית לשחזור מערכות ושירותים לאחר אירוע, התומכת בעקרון הזמינות.
- יעד זמן התאוששות
- משך הזמן המרבי המותר לשחזור מערכת לאחר תקלה.
- יעד נקודת התאוששות
- כמות הנתונים המרבית שאפשר להרשות לעצמנו לאבד, נמדדת בזמן שבין גיבויים.