Введение
Триада ЦРУ (CIA Triad – Confidentiality, Integrity, Availability) – это базовая концептуальная модель информационной безопасности, определяющая три фундаментальных свойства, которыми должна обладать защищённая информационная система. Несмотря на кажущуюся простоту, именно эта триада лежит в основе практически всех стандартов и фреймворков ИБ: ISO/IEC 27001, NIST Cybersecurity Framework, PCI DSS, HIPAA и многих других.
Название CIA Triad не связано с американским разведывательным агентством. Аббревиатура обозначает три принципа: Confidentiality (конфиденциальность), Integrity (целостность), Availability (доступность).
История и контекст
Концепция CIA Triad формировалась постепенно в 1970–1980-х годах. Принцип конфиденциальности разрабатывался в военных стандартах засекречивания информации (DoD Orange Book, 1983). Целостность была формализована в модели Биба (Biba Model, 1977) и модели Кларка-Уилсона (1987). Доступность как явный компонент модели упоминается в стандарте NIST 800-33 и британском BS 7799.
Термин CIA Triad как единая трёхкомпонентная модель закрепился в учебниках по ИБ в 1990-х годах. Сегодня он является основой всех программ сертификации в области ИБ (CISSP, CompTIA Security+, CISM) и любых курсов по кибербезопасности.
Как это работает
Каждый компонент триады определяет особое требование к защите информации и системы:
- Конфиденциальность (Confidentiality): информация доступна только авторизованным субъектам. Обеспечивается шифрованием данных (at rest и in transit), контролем доступа (IAM, RBAC), аутентификацией (MFA), маскированием данных, DLP-системами.
- Целостность (Integrity): информация не изменяется несанкционированно на всём жизненном цикле. Обеспечивается хеш-суммами и цифровыми подписями, системами контроля версий, аудит-логами и алертами об изменениях, input validation для защиты от инъекций, системами обнаружения вторжений (IDS).
- Доступность (Availability): авторизованные пользователи могут получить доступ к информации и системам в нужный момент. Обеспечивается отказоустойчивостью (HA-кластеры), резервным копированием и DR, Anti-DDoS защитой, балансировкой нагрузки, мониторингом инфраструктуры.
При анализе угроз каждую угрозу оценивают с точки зрения того, какой компонент CIA она нарушает: утечка данных → C, атака программы-вымогателя → I+A, DDoS → A.
Где применяется
- Разработка политик ИБ: базовая структура для составления корпоративных политик безопасности и описания требований к защите активов.
- Оценка рисков: классификация угроз и уязвимостей через призму нарушения CIA позволяет приоритизировать меры защиты.
- Проектирование архитектуры безопасности: Security architects используют CIA Triad для оценки решений на соответствие требованиям безопасности.
- Аудит и комплаенс: ISO 27001, PCI DSS, HIPAA, NIST SP 800-53 явно апеллируют к компонентам CIA Triad.
- Incident Response: классификация инцидентов по затронутым компонентам помогает расставлять приоритеты реагирования.
Преимущества и ограничения
Преимущества: простота и универсальность, охватывает ключевые аспекты защиты информации, является общепринятым языком в профессиональном сообществе ИБ, применима к любым типам информационных систем.
Ограничения: модель не охватывает все аспекты современной ИБ. Расширенные модели включают дополнительные принципы: Аутентичность (Authenticity), Неотказуемость (Non-repudiation), Подотчётность (Accountability). Некоторые авторы предлагают гексаду Паркера (Parkerian Hexad) с шестью элементами.
Связь с другими понятиями
CIA Triad является теоретическим фундаментом для всей практики информационной безопасности. На её основе строятся SIEM-системы, DLP-решения и системы IAM. Нарушение конфиденциальности связывается с Data Loss Prevention (DLP), нарушение доступности – с Business Continuity Planning (BCP) и Disaster Recovery (DR), нарушение целостности – с системами управления уязвимостями и аудита ИБ. Стандарт ISO/IEC 27001 строит всю систему управления ИБ (СУИБ) вокруг защиты трёх компонентов CIA.
