¿Los permisos y privilegios de los usuarios deben considerarse como parte de la confidencialidad (específicamente el control de acceso) o la integridad?
Y también me pregunto si podemos categorizar Responsabilidad, Autenticidad y No Repudio como sub-características de integridad
La confidencialidad y la integridad son aspectos de la seguridad de la información. Los permisos y privilegios de los usuarios son mecanismos de seguridad que se pueden utilizar para lograrlos. Entonces, la respuesta a su primera pregunta, "en caso de que los permisos y privilegios de los usuarios se consideren como parte de la confidencialidad o integridad", es No .
Puede clasificar la responsabilidad, la autenticidad y el no repudio como subcaracterísticas de la integridad si lo desea, pero eso es en gran parte una cuestión lingüística. No tiene consecuencias prácticas.
Los permisos y privilegios de los usuarios deben considerarse como parte de confidencialidad (específicamente control de acceso) o integridad?
Los permisos / privilegios establecidos para los usuarios son definitivamente una medida de confidencialidad ya que definen los niveles de restricciones de acceso a cierta información / recursos.
Y también me pregunto si podemos categorizar la Responsabilidad, Autenticidad y no repudio como subcaracterísticas de integridad
Tratemos con ellos uno por uno:
¿Es la responsabilidad una subcategoría de integridad ?
No . Supongamos que la empresa en la que trabaja Alice prohíbe a los empleados que instalen software externo en una infraestructura de información propiedad de la empresa. Bob debe realizar verificaciones periódicas para asegurarse de que se está siguiendo la política. Bob tiene un rol específico en la seguridad de la información de la empresa: es la responsabilidad por definición. Supongamos que Alice logra instalar un software externo en su computadora en la empresa. El software le permite filtrar información a una compañía contraria. No necesita modificar ( integridad ) los datos que filtra. La rendición de cuentas no puede ser una subcategoría de integridad. Son cosas diferentes.
¿Es el no repudio una subcategoría de integridad?
No . El no repudio es más un concepto legal que otra cosa. Por ejemplo, si su clave privada con la que firma su mensaje ( firma digital ) se ha visto comprometida (por un malware instalado en su computadora, por ejemplo): ¿podríamos responsabilizarlo de todos los mensajes firmados por usted? Esa es una pregunta de no repudio. Se trata más de aspectos legales que técnicos, como la integridad. Consulte ¿Cómo lograr el no repudio? para obtener más información detalles.
¿Es la autenticidad una subcategoría de integridad?
No .
En el sentido del flujo de datos, la autenticidad garantiza la procedencia de un mensaje, pero no distingue entre diferentes mensajes de El mismo principio. Un simple control de autenticidad no protege contra ataques de repetición: un mensaje que fue auténtico en una ejecución anterior del El protocolo sigue siendo auténtico ahora, pero la integridad exige que el El mensaje que se recibe es el mensaje que se envió como parte de la misma carrera Hay situaciones donde la integridad es más difícil de lograr. que la autenticidad Por ejemplo, supongamos que hago una copia de seguridad de un archivo en un control remoto Servicio de almacenaje. Cuando descargo el archivo, puedo comprobar que estoy recuperar un archivo debidamente firmado, y si incluyo el nombre del archivo, Sé que realmente estoy recuperando una versión del archivo que yo subido: el archivo es autentico. Si subo múltiples versiones de la Archivo bajo el mismo nombre, integridad garantizaría que descargo volver la última versión; Con una mera garantía de autenticidad, todo lo que Lo que sí sé es que descargué alguna versión de ese archivo.
( Source )
Mi consejo :
En seguridad de la información, cuando piensa en tales nociones, evite hacerlo en términos lingüísticos: eso es una fuente de confusión. Intente siempre transponer los conceptos a términos técnicos: eso le ayudará a aclarar eso.
Lea otras preguntas en las etiquetas confidentiality integrity