I rischi per la sicurezza delle informazioni possono essere risolti solo in base al triangolo CIA (Riservatezza, integrità e disponibilità) o ci sono altre possibilità?
Ci sono molte altre possibilità.
Si noti che la triade della CIA non è tanto un modello per i rischi per la sicurezza quanto per gli obiettivi / obiettivi di sicurezza. È stato spesso criticato per essere eccessivamente semplicistico e incompleto. Di conseguenza, ci sono molti modelli ed estensioni alternative della triade della CIA. Una delle opzioni più popolari è esadecimale di Parker che consiste in riservatezza , possesso , integrità , autenticità , disponibilità e utilità . Altri hanno suggerito di estenderlo con autenticità e non ripudio al modello CIAAN.
Se il tuo obiettivo principale è la modellizzazione del rischio delle minacce, ci sono altri modelli da considerare - che possono ancora essere associati alla triade della CIA. Ad esempio, c'è il STRIDE modello che classifica le minacce tramite le categorie spoofing , manomissione , ripudio , divulgazione di informazioni , rifiuto del servizio e elevazione del privilegio . Ecco come si riferisce alla CIA:
STRIDE is what an attacker can do. TID is the attack version of CIA:
- Defenders want Confidentiality – attackers use Information Disclosure
- Defenders want Integrity – attackers use Tampering
- Defenders want Availability – attackers use Denial of Service.
But, what about Spoofing, Repudiation and Elevation of Privilege? Enter the (modern) non-linear attack:
- Spoofing and Elevation of Privilege are the entry points to pry open the doors.
- Repudiation is covering the adversary’s tracks during the initial compromise and the breach.
Leggi altre domande sui tag risk risk-management risk-analysis risk-classification