ISMS Copilot
ISO 27001-begrippenlijst

Wat is de CIA-triade (Confidentialiteit, Integriteit, Beschikbaarheid)?

Overzicht

De CIA-triade - Confidentialiteit (vertrouwelijkheid), Integriteit en Availability (beschikbaarheid) - vertegenwoordigt de drie fundamentele doelstellingen van informatiebeveiliging. Deze kernprincipes sturen de selectie van beveiligingsmaatregelen, risicobeoordeling en de evaluatie van incidenten in ISO 27001 en alle informatiebeveiligingskaders.

Wat het in de praktijk betekent

Elke beveiligingsmaatregel die u implementeert, beschermt een of meer aspecten van de CIA-triade. Bij het beoordelen van risico's evalueert u de potentiële impact op vertrouwelijkheid, integriteit en beschikbaarheid. Wanneer incidenten optreden, meet u de schade in CIA-termen.

Praktijkvoorbeeld: Een ransomware-aanval bedreigt primair de beschikbaarheid (versleutelde bestanden worden onbruikbaar) en de integriteit (bestanden worden gewijzigd). Een datalek bedreigt de vertrouwelijkheid (ongeautoriseerde openbaarmaking van gevoelige informatie). Maatregelen zoals versleuteling beschermen de vertrouwelijkheid, back-ups garanderen de beschikbaarheid en toegangscontroles bewaken de integriteit.

Vertrouwelijkheid (Confidentiality)

Definitie

Vertrouwelijkheid zorgt ervoor dat informatie niet wordt onthuld aan onbevoegde personen, entiteiten of processen. Alleen degenen met een legitieme noodzaak en de juiste autorisatie hebben toegang tot gevoelige informatie.

Wat vertrouwelijkheid beschermt

  • Persoonsgegevens: Klantinformatie, personeelsdossiers, gezondheidsgegevens

  • Bedrijfsgeheimen: Handelsgeheimen, strategische plannen, prijsmodellen

  • Financiële informatie: Bankgegevens, betaalkaartgegevens, jaarrekeningen

  • Intellectueel eigendom: Broncode, patenten, bedrijfseigen onderzoek

  • Vertrouwelijke communicatie: Privé-e-mails, juridische correspondentie

Bedreigingen voor de vertrouwelijkheid

  • Datalekken en ongeautoriseerde toegang

  • Insider threats (kwaadwillige of onbedoelde openbaarmaking)

  • Social engineering en phishing-aanvallen

  • Zwakke toegangscontroles of authenticatie

  • Onversleutelde gegevensoverdracht of opslag

  • Onjuiste vernietiging van fysieke documenten of media

  • Onjuiste gegevensverwerking door derden

ISO 27001-maatregelen die de vertrouwelijkheid beschermen

  • A.5.12 - Classificatie van informatie: Label gegevens op basis van gevoeligheid

  • A.5.15 - Toegangsbeveiliging: Beperk toegang tot geautoriseerde gebruikers

  • A.5.17 - Authenticatie-informatie: Beveilig wachtwoorden en inloggegevens

  • A.8.5 - Veilige authenticatie: Multifactorauthenticatie (MFA)

  • A.8.24 - Gebruik van cryptografie: Versleutel gevoelige gegevens

  • A.6.6 - Geheimhoudingsovereenkomsten: Juridische bescherming via NDA's

  • A.5.14 - Informatieoverdracht: Veilige verzendmethoden

Impact op vertrouwelijkheid meten

Overweeg bij het beoordelen van de impact van risico's op de vertrouwelijkheid:

  • Juridisch/regelgevend: AVG-boetes, sancties van toezichthouders

  • Reputatie: Verlies van klantvertrouwen, merkschade

  • Concurrentie: Onthulling van handelsgeheimen aan concurrenten

  • Financieel: Identiteitsdiefstal, fraudeverliezen, meldingskosten

Verbinding met AVG: Inbreuken op de vertrouwelijkheid van persoonsgegevens leiden tot AVG-meldingsplichten (72 uur aan de toezichthouder) en kunnen resulteren in boetes tot 4% van de wereldwijde omzet of €20 miljoen, afhankelijk van wat hoger is. ISO 27001-vertrouwelijkheidsmaatregelen helpen bij het aantonen van naleving van de beveiliging volgens AVG Artikel 32.

Integriteit

Definitie

Integriteit zorgt ervoor dat informatie accuraat, volledig en ongewijzigd blijft, behalve door geautoriseerde processen. Het beschermt tegen ongeautoriseerde wijziging, verwijdering of corruptie van gegevens.

Wat integriteit beschermt

  • Gegevensnauwkeurigheid: Financiële verslagen, transactielogboeken, klantendatabases

  • Systeemconfiguraties: Beveiligingsinstellingen, toegangsregels, netwerkconfiguraties

  • Broncode: Softwareapplicaties, scripts, automatiseringscode

  • Audit trails: Logboeken die fraudebestendig moeten blijven voor compliance

  • Juridische documenten: Contracten, overeenkomsten, rapportages aan toezichthouders

Bedreigingen voor de integriteit

  • Malware die bestanden wijzigt of beschadigt

  • Onbevoegde wijzigingen door insiders of aanvallers

  • Softwarefouten die fouten introduceren

  • Hardwarestoringen die gegevenscorruptie veroorzaken

  • Menselijke fouten (per ongeluk verwijderen of wijzigen)

  • Man-in-the-middle-aanvallen die gegevens tijdens transport wijzigen

  • Database-injectie-aanvallen

ISO 27001-maatregelen die de integriteit beschermen

  • A.8.13 - Informatieback-up: Gegevens herstellen naar een bekende goede staat

  • A.8.16 - Monitoring van activiteiten: Ongeautoriseerde wijzigingen detecteren

  • A.8.24 - Gebruik van cryptografie: Hash-functies verifiëren of gegevens niet zijn gewijzigd

  • A.5.3 - Functiescheiding: Ongeautoriseerde wijzigingen voorkomen door dubbele controle

  • A.8.32 - Wijzigingsbeheer: Controle op systeemmodificaties

  • A.8.29 - Beveiligingstesten bij ontwikkeling: Integriteitsproblemen in code voorkomen

  • A.5.33 - Bescherming van archiefstukken: Integriteit van records behouden

Impact op integriteit meten

Overweeg bij het beoordelen van de impact van risico's op de integriteit:

  • Operationeel: Onjuiste gegevens die leiden tot verkeerde zakelijke beslissingen

  • Financieel: Frauduleuze transacties, boekhoudkundige fouten

  • Juridisch: Contracten of records gewijzigd, audit trail aangetast

  • Veiligheid: Kritieke systeemconfiguraties gewijzigd (gezondheidszorg, industriële besturing)

Verificatie van integriteit: Implementeer checksums, digitale handtekeningen en versiebeheer om ongeautoriseerde wijzigingen te detecteren. Regelmatige integriteitscontroles (file integrity monitoring, database checksums) geven een vroege waarschuwing bij integriteitsschendingen voordat de schade zich verspreidt.

Beschikbaarheid (Availability)

Definitie

Beschikbaarheid zorgt ervoor dat informatie en informatiesystemen toegankelijk en bruikbaar zijn voor geautoriseerde gebruikers wanneer dat nodig is. Systemen moeten betrouwbaar, veerkrachtig en herstelbaar zijn.

Wat beschikbaarheid beschermt

  • Bedrijfsvoering: Kritieke applicaties, klantgerichte diensten

  • Inkomstengeneratie: E-commerce platforms, betalingsverwerking

  • Communicatiesystemen: E-mail, samenwerkingstools, telefoonsystemen

  • Toegang tot gegevens: Databases, bestandsservers, cloudopslag

  • Infrastructuur: Netwerken, servers, werkstations

Bedreigingen voor de beschikbaarheid

  • Distributed Denial of Service (DDoS) aanvallen

  • Ransomware die kritieke gegevens versleutelt

  • Hardwarestoringen en capaciteitsgebrek

  • Stroomuitval en milieurampen

  • Netwerkstoringen en bandbreedteverzadiging

  • Softwarecrashes en verkeerde configuraties

  • Kwaadwillige verwijdering van gegevens of systemen

ISO 27001-maatregelen die de beschikbaarheid beschermen

  • A.8.13 - Informatieback-up: Herstel na gegevensverlies

  • A.5.29 - Informatiebeveiliging tijdens verstoring: Continuïteit van de bedrijfsvoering tijdens incidenten

  • A.5.30 - ICT-gereedheid voor bedrijfscontinuïteit: Disaster recovery planning

  • A.8.6 - Capaciteitsbeheer: Zorgen voor voldoende systeembronnen

  • A.8.14 - Redundantie van informatieverwerkende faciliteiten: Voorkomen van single points of failure

  • A.7.12 - Onderhoud van apparatuur: Preventief onderhoud om storingen te voorkomen

  • A.8.7 - Bescherming tegen malware: Voorkomen van verstoringen door ransomware

Impact op beschikbaarheid meten

Overweeg bij het beoordelen van de impact van risico's op de beschikbaarheid:

  • Financieel: Omzetverlies tijdens downtime, SLA-boetes

  • Operationeel: Productiviteitsverlies, gemiste deadlines

  • Reputatie: Ontevredenheid bij klanten, falen van serviceniveaus

  • Juridisch/regelgevend: Compliance-schendingen, contractbreuk

Beschikbaarheidsstatistieken

  • Recovery Time Objective (RTO): Maximaal acceptabele downtime

  • Recovery Point Objective (RPO): Maximaal acceptabel gegevensverlies

  • Mean Time Between Failures (MTBF): Maatstaf voor systeembetrouwbaarheid

  • Mean Time To Repair (MTTR): Hoe snel u de service herstelt

  • Uptime-percentage: 99,9% (8,76 uur/jaar downtime), 99,99% (52,6 minuten/jaar)

Kosten van beschikbaarheid: Hoge beschikbaarheid is duur. Een systeem met 99,9% beschikbaarheid is veel goedkoper dan 99,999% ("five nines"). Baseer beschikbaarheidseisen op de impact voor de business, niet op willekeurige doelen. Kritieke inkomstensystemen hebben wellicht five nines nodig; interne tools kunnen mogelijk 99% beschikbaarheid tolereren.

Balancering van de CIA-triade

Afwegingen tussen principes

Beveiligingsmaatregelen vereisen vaak een balans tussen de CIA-principes:

  • Vertrouwelijkheid versus Beschikbaarheid: Sterke versleuteling beschermt de vertrouwelijkheid, maar kan de systeemprestaties vertragen of herstel bemoeilijken als versleutelingssleutels verloren gaan

  • Integriteit versus Beschikbaarheid: Uitgebreide wijzigingsbeheer- en goedkeuringsprocessen beschermen de integriteit, maar kunnen dringende systeemupdates vertragen die nodig zijn voor de beschikbaarheid

  • Beschikbaarheid versus Vertrouwelijkheid: Hoge beschikbaarheid vereist vaak replicatie van gegevens over meerdere locaties, wat het risico voor de vertrouwelijkheid verhoogt door meerdere opslagpunten

Contextspecifieke prioritering

Verschillende organisaties en informatietypen geven op verschillende manieren prioriteit aan CIA:

  • Gezondheidszorg: Beschikbaarheid is cruciaal (patiëntenzorg hangt af van toegang tot systemen), maar vertrouwelijkheid is wettelijk verplicht (AVG/NEN 7510)

  • Financiële dienstverlening: Integriteit staat voorop (nauwkeurigheid van transacties) met sterke vertrouwelijkheid en hoge beschikbaarheid

  • Openbare websites: Beschikbaarheid is cruciaal (reputatie-impact), integriteit is belangrijk (voorkomen van defacement), vertrouwelijkheid is minder relevant voor openbare gegevens

  • Onderzoeksgegevens: Integriteit is essentieel (nauwkeurigheid van gegevens), vertrouwelijkheid varieert naar gelang de gevoeligheid, beschikbaarheid kan enige vertraging tolereren

Begeleiding bij risicobeoordeling: Beoordeel bij het evalueren van informatiebeveiligingsrisico's de impact op elk CIA-component afzonderlijk. Een enkel incident kan een hoge impact hebben op de vertrouwelijkheid, een gemiddelde impact op de integriteit en een lage impact op de beschikbaarheid. Deze granulaire analyse helpt bij het selecteren van de juiste maatregelen.

CIA-triade in ISO 27001-processen

Classificatie van informatie

Overweeg bij het classificeren van activa (A.5.12) welke CIA-principes bescherming nodig hebben:

  • Openbaar: Lage CIA-vereisten

  • Intern: Gemiddelde vertrouwelijkheid, gemiddelde integriteit, gemiddelde beschikbaarheid

  • Vertrouwelijk: Hoge vertrouwelijkheid, hoge integriteit, variabele beschikbaarheid

  • Kritiek: Hoog op alle drie de CIA-dimensies

Impactbeoordeling bij risicoanalyse

ISO 27001-risicobeoordelingen evalueren de impact op vertrouwelijkheid, integriteit en beschikbaarheid afzonderlijk en combineren of prioriteren deze vervolgens op basis van de organisatorische context.

Selectie van maatregelen

Match de soorten maatregelen met de CIA-bedreigingen:

  • Preventieve maatregelen: Stop CIA-schendingen voordat ze optreden (toegangscontroles, versleuteling)

  • Detectieve maatregelen: Identificeer CIA-schendingen wanneer ze gebeuren (monitoring, logging)

  • Correctieve maatregelen: Herstel CIA na schendingen (back-ups, incident response)

Verder dan de CIA-triade

Uitgebreide modellen

Sommige kaders voegen extra beveiligingsprincipes toe:

  • Authenticiteit: Verificatie dat gegevens of gebruikers echt zijn (gedekt door authenticatiecontroles)

  • Onweerlegbaarheid (Non-repudiation): Bewijs dat acties niet kunnen worden ontkend (audit trails, digitale handtekeningen)

  • Verantwoordelijkheid (Accountability): Traceerbaarheid van acties naar individuen (logging, toegangscontroles)

ISO 27001 adresseert deze impliciet via controles, maar richt zich primair op de CIA.

CIA-triade bij respons op incidenten

Classificatie van incidenten

Categoriseer beveiligingsincidenten op basis van welk CIA-principe is geschonden:

  • Vertrouwelijkheidsincidenten: Datalekken, ongeautoriseerde toegang, informatielekken

  • Integriteitsincidenten: Ongeautoriseerde wijzigingen, gegevenscorruptie, defacement

  • Beschikbaarheidsincidenten: DDoS-aanvallen, ransomware, systeemuitval

Prioritering van respons

De ernst hangt af van welk CIA-principe is aangetast en het belang ervan voor uw bedrijf. Een inbreuk op de vertrouwelijkheid van PII van klanten kan ernstiger zijn dan de tijdelijke onbeschikbaarheid van een interne tool.

Gerelateerde concepten

Hulp krijgen

Gebruik ISMS Copilot om te beoordelen welke CIA-principes het meest kritisch zijn voor uw bedrijfsmiddelen, kies de juiste maatregelen en documenteer de CIA-impact in uw risicobeoordelingen.

Was dit nuttig?