# CIA и активы ← [Раздел](README.md) · [Главная](../README.md) ## Цель Понять **триаду CIA**, как **инвентаризировать активы** и формулировать требования безопасности для систем, с которыми работает DevSecOps. ## Предварительно - [04 — Фундамент безопасности](README.md) ## Время **3–4 часа** --- ## Триада CIA | Принцип | Вопрос | Пример нарушения | |---------|--------|------------------| | **C**onfidentiality | Кто может **читать**? | Утечка базы гостей | | **I**ntegrity | Кто может **менять**? | Подмена RSVP на «да» | | **A**vailability | Доступен ли сервис **когда нужно**? | DDoS на сайт свадьбы | Иногда добавляют **Non-repudiation** (нельзя отказаться от действия) и **Privacy**. --- ## Аналогия: банковский сейф | CIA | Банк | |-----|------| | Confidentiality | Сейф закрыт, ключ только у клиента | | Integrity | Счёт не меняют без вашей подписи | | Availability | Отделение открыто в рабочие часы (+ ATM 24/7) | --- ## Актив (asset) **Актив** — всё, что имеет **ценность** для организации. | Тип | Примеры | |-----|---------| | Data | PII, платежи, логи | | Systems | API, DB, K8s cluster | | People | Admins, devs | | Intangible | Reputation, brand | **Asset inventory** — список активов + owner + classification. Без него нельзя приоритизировать риски. --- ## Классификация данных | Уровень | Пример | Controls | |---------|--------|----------| | Public | Маркeting site | Integrity | | Internal | Roadmap | AuthN | | Confidential | Guest list + phone | Encryption, RBAC | | Restricted | Payment tokens | Strict audit, tokenization | **Labeling** в облаке: tags `data-class=confidential`. --- ## CIA для типичного web app | Компонент | C | I | A | |-----------|---|---|---| | Static homepage | low | medium | high | | Login API | high | high | high | | Admin panel | high | high | medium | | Backups | high | high | medium | Tradeoffs: **strong encryption** может чуть снизить **A** (latency) — баланс. --- ## STRIDE (краткий обзор) Модель угроз Microsoft — **6 категорий**: | | Угроза | |---|--------| | S | Spoofing (подмена identity) | | T | Tampering (изменение данных) | | R | Repudiation | | I | Information disclosure | | D | Denial of service | | E | Elevation of privilege | Threat modeling workshop: STRIDE **на диagram** data flow. --- ## DREAD (приоритизация) | Factor | Вопрос | |--------|--------| | Damage | Насколько плохо? | | Reproducibility | Легко повторить? | | Exploitability | Нужен ли skill? | | Affected users | Сколько людей? | | Discoverability | Легко найти? | Используется реже CVSS, но полезно в workshops. --- ## RPO/RTO и Availability | | Confidentiality | Availability | |---|-----------------|--------------| | Tool | Encryption, access control | HA, backups, DDoS protection | | Metric | % encrypted at rest | Uptime 99.9%, RTO | **Security incident** часто бьёт и по **C** (утечка), и по **A** (ransomware shutdown). --- ## Практика 1. Выберите **учебный** сервис (например, guest RSVP). 2. Перечислите 5 активов. 3. Для каждого — уровень C/I/A (low/med/high). 4. Один STRIDE-угроза на login flow. --- ## Самопроверка 1. Что важнее для публичного FAQ — C или A? 2. Чем актив отличается от «просто сервера»? 3. Приведите пример нарушения Integrity. 4. Зачем data classification? --- ## Дальше → [OWASP Top 10 для начинающих](owasp-top10-dlya-nachinayushih.md)