CIA-luokittelu viittaa omaisuuserien luokitteluun kolmen perusperiaatteen mukaan: Luottamuksellisuus, Eheys ja Saatavuus.
CIA-luokittelulla tarkoitetaan:
Kun otat CIA-luokittelun käyttöön Digiturvamallissa, voit valita arvoja tieto-omaisuuden CIA-arvoille ja määrittää niiden perusteella tieto-omaisuuden prioriteetin, sen sijaan että antaisit kohteen omistajan valita sen vapaasti ilman mitään menetelmää.
CIA tulee sanoista:
- Luottamuksellisuus(Confidentiality) varmistaa, että herkkä tieto on saatavilla vain valtuutetuille yksilöille tai järjestelmille, suojaten sitä luvattomalta pääsyltä.
- Eheys(Integrity) tarkoittaa tiedon tarkkuuden ja luotettavuuden ylläpitämistä estämällä luvattomat muutokset, muutokset tai väärentämiset.
- Saatavuus(Availability) tarkoittaa, että tiedot ja järjestelmät ovat käytettävissä ja toiminnassa tarvittaessa, minimoimalla katkokset tai häiriöt.
Aktivoimalla CIA-luokittelu Digiturvamallissa organisaatiot voivat parantaa tietoturvakäytäntöjään ja priorisoida omaisuuden hallintaa tehokkaasti.
Kuinka se aktivoidaan Digiturvamallissa?
Mene asetuksiin organisaation työpöydältä ja rullaa kohtaan “Muut lisäominaisuudet” ja aktivoi “Kohteiden luokittelu CIA-arvojen mukaan”
Tämän jälkeen voit valita, haluatko omaisuuden prioriteetin laskettavan automaattisesti CIA-arvioinnin valinnan perusteella.
Kuinka CIA-luokittelu toimii Digiturvamallissa?
Ominaisuus lisää CIA-arvioinnin pääomaisuusdokumentaatiokorttien yläosaan. Kun valitset arvon jokaiselle osiolle, kortin prioriteettiarvo lasketaan, jos automaattinen laskenta on käytössä. Muussa tapauksessa arviointi kirjataan vain kortille.
Tämä näkymä lisätään seuraaviin kohteisiin:
- Tietojärjestelmät
- Tietoaineistot
- Tietovarannot
- Järjestelmätoimittajat
- Muu suojattava omaisuus
- Toimitilat
- Henkilötietojen käsittelijät
CIA-luokittelun hyödyt:
Käyttämällä CIA-luokittelua lisää hieman työtä omaisuuden hallintaan, mutta se voi toimia erinomaisena tapana kohdentaa myöhempää työtäsi tehokkaammin.
- Riskinarviointi: Se auttaa organisaatioita arvioimaan ja ymmärtämään omaisuuteensa liittyvät mahdolliset riskit. Organisaatiot voivat tunnistaa haavoittuvuudet ja uhat, jotka saattavat vaikuttaa heidän tietoihinsa ja järjestelmiinsä arvioimalla luottamuksellisuutta, eheyttä ja saatavuutta.
- Priorisointi: Se mahdollistaa organisaatioiden turvatoimien ja resurssien priorisoinnin omaisuuden tärkeyden perusteella. Kriittiset omaisuuserät, joilla on korkeat luottamuksellisuuden, eheyden ja saatavuuden vaatimukset, saattavat vaatia vahvempia turvatoimia.
- Vaatimuksenmukaisuus: Monet määräykset ja standardit, kuten GDPR, HIPAA ja ISO 27001, edellyttävät organisaatioiden suojaavan herkkien tietojen luottamuksellisuutta, eheyttä ja saatavuutta. Arvioimalla omaisuutta näiden periaatteiden mukaisesti organisaatiot voivat varmistaa noudattamisen.
- Häiriöiden hallinta: Ymmärtäminen CIA:n vaikutuksesta omaisuuteen auttaa organisaatioita kehittämään tehokkaita häiriöiden hallintasuunnitelmia. Se ohjaa vastausta tietoturvaloukkauksiin tai tapahtumiin, jotka uhkaavat näitä periaatteita, ja auttaa lieventämään mahdollisia vahinkoja.
- Resurssien kohdentaminen: Se auttaa organisaatioita kohdentamaan resursseja tehokkaasti keskittymällä liiketoiminnalle kriittisiin omaisuuseriin. Tämä varmistaa, että turvallisuusinvestoinnit tehdään sinne, missä niitä eniten tarvitaan.
- Käyttäjien tietoisuus: Työntekijöiden ja käyttäjien kouluttaminen CIA-periaatteiden tärkeydestä voi edistää turvallisuuskulttuuria organisaatiossa ja tehdä heistä tietoisempia roolistaan omaisuuden suojaamisessa.
- Liiketoiminnan jatkuvuus: Kriittisten omaisuuden saatavuuden suojeleminen varmistaa, että liiketoiminta voi jatkua jopa häiriöiden sattuessa, minimoiden käyttökatkot ja mahdolliset taloudelliset tappiot.
