Le autorizzazioni e i privilegi degli utenti devono essere considerati parte della riservatezza (in particolare il controllo dell'accesso) o dell'integrità?
E mi chiedo anche se possiamo classificare la responsabilità, l'autenticità e il non ripudio come sotto-caratteristiche di integrità
Riservatezza e integrità sono aspetti della sicurezza delle informazioni. Le autorizzazioni e i privilegi dell'utente sono meccanismi di sicurezza che possono essere utilizzati per raggiungerli. Quindi la risposta alla tua prima domanda, "dovrebbe essere considerata come una parte della riservatezza o dell'integrità", lo è No .
È possibile classificare responsabilità, autenticità e non ripudio come sotto-caratteristiche dell'integrità se lo si desidera, ma questa è in gran parte una questione linguistica. Non ha conseguenze pratiche.
Users permissions and privilege should be considered as a part of confidentiality (specifically access control) or integrity?
Le autorizzazioni / i privilegi impostati per gli utenti sono sicuramente una misura di riservatezza poiché definiscono i livelli di restrizioni di accesso ad alcune informazioni / risorse.
And I'm also wondering if we can categorize Accountability, Authenticity and Non-repudiation as a sub-characteristics of integrity
Affrontiamoli uno per uno:
La responsabilità è una sottocategoria di integrità ?
No . Supponiamo che la società in cui Alice lavora impedisca ai dipendenti di installare software esterno su un'infrastruttura informativa di proprietà dell'azienda. Bob dovrebbe eseguire controlli periodici per accertarsi che la politica venga seguita. Bob ha un ruolo specifico nella sicurezza delle informazioni dell'azienda: questa è la responsabilità per definizione. Supponiamo che Alice riesca a installare un software esterno sul suo computer in azienda. Il software le consente di far trapelare informazioni a una società avversaria. Non ha bisogno di modificare ( integrità ) i dati che trapelano. La responsabilità non può essere una sottocategoria di integrità. Sono cose diverse.
La non-ripudio è una sottocategoria di integrità?
No . Il non ripudio è più un concetto legale che altro. Ad esempio, se la tua chiave privata con cui hai firmato il messaggio ( firma digitale ) è stata compromessa (da un malware installato in il tuo computer, ad esempio): potremmo ritenerci responsabili di tutti i messaggi firmati da te? Questa è una domanda di non ripudio. Si tratta più di aspetti legali piuttosto che di aspetti tecnici come l'integrità. Fai riferimento a Come ottenere il non ripudio per ulteriori i dettagli.
L'autenticità è una sottocategoria di integrità?
No .
In a data flow sense, authenticity guarantees the provenance of a message, but it does not distinguish between different messages from the same principal. A mere authenticity check does not protect against replay attacks: a message that was authentic in a previous run of the protocol is still authentic now, but integrity demands that the message that is received is the message that was sent as part of the same run. There are situations where integrity is harder to achieve than authenticity. For example, suppose I back up a file to a remote storage service. When I download the file, I can check that I am getting back a properly signed file, and if I include the file's name, I know that I am truly getting back a version of the file that I uploaded: the file is authentic. If I upload multiple versions of the file under the same name, integrity would guarantee that I download back the latest version; with a mere guarantee of authenticity, all I know is that I downloaded some version of that file.
( Source )
Il mio consiglio :
Nel campo della sicurezza delle informazioni, quando si pensa a queste nozioni evitate di farlo in termini linguistici: è una fonte di confusione. Cerca sempre di trasporre i concetti in termini tecnici: ciò ti aiuterà a chiarirlo.
Leggi altre domande sui tag confidentiality integrity