Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Ohjeet
CIA-arvojen mukaisen luokittelun käyttöönotto Digiturvamallissa

CIA-luokittelu viittaa omaisuuserien luokitteluun kolmen perusperiaatteen mukaan: Luottamuksellisuus, Eheys ja Saatavuus.

CIA-luokittelulla tarkoitetaan:

Kun otat CIA-luokittelun käyttöön Digiturvamallissa, voit valita arvoja tieto-omaisuuden CIA-arvoille ja määrittää niiden perusteella tieto-omaisuuden prioriteetin, sen sijaan että antaisit kohteen omistajan valita sen vapaasti ilman mitään menetelmää.

CIA tulee sanoista:

  • Luottamuksellisuus(Confidentiality) varmistaa, että herkkä tieto on saatavilla vain valtuutetuille yksilöille tai järjestelmille, suojaten sitä luvattomalta pääsyltä.
  • Eheys(Integrity) tarkoittaa tiedon tarkkuuden ja luotettavuuden ylläpitämistä estämällä luvattomat muutokset, muutokset tai väärentämiset.
  • Saatavuus(Availability) tarkoittaa, että tiedot ja järjestelmät ovat käytettävissä ja toiminnassa tarvittaessa, minimoimalla katkokset tai häiriöt.

Aktivoimalla CIA-luokittelu Digiturvamallissa organisaatiot voivat parantaa tietoturvakäytäntöjään ja priorisoida omaisuuden hallintaa tehokkaasti.

Kuinka se aktivoidaan Digiturvamallissa?

Mene asetuksiin organisaation työpöydältä ja rullaa kohtaan “Muut lisäominaisuudet” ja aktivoi “Kohteiden luokittelu CIA-arvojen mukaan”

Tämän jälkeen voit valita, haluatko omaisuuden prioriteetin laskettavan automaattisesti CIA-arvioinnin valinnan perusteella.

Kuinka CIA-luokittelu toimii Digiturvamallissa?

Ominaisuus lisää CIA-arvioinnin pääomaisuusdokumentaatiokorttien yläosaan. Kun valitset arvon jokaiselle osiolle, kortin prioriteettiarvo lasketaan, jos automaattinen laskenta on käytössä. Muussa tapauksessa arviointi kirjataan vain kortille.

Tämä näkymä lisätään seuraaviin kohteisiin:

  • Tietojärjestelmät
  • Tietoaineistot
  • Tietovarannot
  • Järjestelmätoimittajat
  • Muu suojattava omaisuus
  • Toimitilat
  • Henkilötietojen käsittelijät

CIA-luokittelun hyödyt:

Käyttämällä CIA-luokittelua lisää hieman työtä omaisuuden hallintaan, mutta se voi toimia erinomaisena tapana kohdentaa myöhempää työtäsi tehokkaammin.

  • Riskinarviointi: Se auttaa organisaatioita arvioimaan ja ymmärtämään omaisuuteensa liittyvät mahdolliset riskit. Organisaatiot voivat tunnistaa haavoittuvuudet ja uhat, jotka saattavat vaikuttaa heidän tietoihinsa ja järjestelmiinsä arvioimalla luottamuksellisuutta, eheyttä ja saatavuutta.
  • Priorisointi: Se mahdollistaa organisaatioiden turvatoimien ja resurssien priorisoinnin omaisuuden tärkeyden perusteella. Kriittiset omaisuuserät, joilla on korkeat luottamuksellisuuden, eheyden ja saatavuuden vaatimukset, saattavat vaatia vahvempia turvatoimia.
  • Vaatimuksenmukaisuus: Monet määräykset ja standardit, kuten GDPR, HIPAA ja ISO 27001, edellyttävät organisaatioiden suojaavan herkkien tietojen luottamuksellisuutta, eheyttä ja saatavuutta. Arvioimalla omaisuutta näiden periaatteiden mukaisesti organisaatiot voivat varmistaa noudattamisen.
  • Häiriöiden hallinta: Ymmärtäminen CIA:n vaikutuksesta omaisuuteen auttaa organisaatioita kehittämään tehokkaita häiriöiden hallintasuunnitelmia. Se ohjaa vastausta tietoturvaloukkauksiin tai tapahtumiin, jotka uhkaavat näitä periaatteita, ja auttaa lieventämään mahdollisia vahinkoja.
  • Resurssien kohdentaminen: Se auttaa organisaatioita kohdentamaan resursseja tehokkaasti keskittymällä liiketoiminnalle kriittisiin omaisuuseriin. Tämä varmistaa, että turvallisuusinvestoinnit tehdään sinne, missä niitä eniten tarvitaan.
  • Käyttäjien tietoisuus: Työntekijöiden ja käyttäjien kouluttaminen CIA-periaatteiden tärkeydestä voi edistää turvallisuuskulttuuria organisaatiossa ja tehdä heistä tietoisempia roolistaan omaisuuden suojaamisessa.
  • Liiketoiminnan jatkuvuus: Kriittisten omaisuuden saatavuuden suojeleminen varmistaa, että liiketoiminta voi jatkua jopa häiriöiden sattuessa, minimoiden käyttökatkot ja mahdolliset taloudelliset tappiot.

Sisältö

Jaa artikkeli