CIA-Kolmio: Usein Kysytyt Kysymykset

CIA-kolmio on perustavanlaatuinen tietoturvamalli, joka koostuu kolmesta ydinperiaatteesta:

• Luottamuksellisuus: Varmistaa, että arkaluontoiset tiedot ovat käytettävissä vain valtuutetuille henkilöille
• Eheys: Takaa tietojen tarkkuuden ja luotettavuuden koko niiden elinkaaren ajan
• Saatavuus: Varmistaa, että tiedot ja järjestelmät ovat käytettävissä tarvittaessa valtuutetuille käyttäjille

Nämä kolme periaatetta muodostavat perustan turvallisuuspolitiikkojen kehittämiselle, kontrollien valinnalle ja organisaation turvallisuustilanteen arvioimiselle.

Tiedon luokittelu liittyy suoraan CIA-kolmioon auttamalla organisaatioita määrittämään asianmukaiset turvallisuuskontrollit tiedon arkaluontoisuuden perusteella:

• Luottamuksellisuus: Luokittelutasot (esim. julkinen, sisäinen, luottamuksellinen, rajoitettu) määrittävät pääsynhallintakontrollit
• Eheys: Arkaluontoisemmat luokittelut saattavat vaatia tiukempaa validointia, tarkistussummia tai hyväksyntätyönkulkuja
• Saatavuus: Kriittiset tiedon luokittelut vaativat usein redundanssia ja korkeampia käyttöaikavaatimuksia

Luokittelemalla tietoja organisaatiot voivat soveltaa oikeasuhteisia turvallisuuskontrolleja kaikilla CIA-kolmion kolmella ulottuvuudella.

CIA-kolmio muodostaa perustan tärkeimmille compliance-kehyksille:

• NIST-Kehykset: Sisällyttävät CIA-periaatteet kontrollien kautta, jotka käsittelevät jokaista osa-aluetta
• ISO 27001: Rakentaa kontrolliensa tavoitteet luottamuksellisuuden, eheyden ja saatavuuden suojaamisen ympärille
• GDPR: Korostaa henkilötietojen luottamuksellisuutta ja eheyttä
• PCI DSS: Keskittyy kortinhaltijan tietojen turvallisuuteen kaikilla kolmella ulottuvuudella

Organisaatiot kartoittavat tyypillisesti CIA-pohjaiset kontrollinsa tiettyihin kehysvaatimuksiin compliance-ponnistelujen aikana.

Useita työkaluja auttaa CIA-kolmion turvallisuusarvioinnissa:

• CIA Compliance Manager: Tarjoaa kattavan arvioinnin turvallisuuskontroleista kaikilla kolmella alueella
• Haavoittuvuusskannerit: Tunnistavat heikkouksia, jotka vaikuttavat luottamuksellisuuteen ja eheyteen
• Saatavuuden valvontatyökalut: Seuraavat järjestelmän käyttöaikaa ja suorituskykyä
• Tiedon luokittelutyökalut: Auttavat luokittelemaan tietoja asianmukaista suojaa varten
• Riskinarviointialustat: Arvioivat uhkia kutakin CIA-komponenttia vastaan

CIA-kolmion tasapainottaminen sisältää:

1. Riskiarvioinnin kunkin elementin suhteellisen tärkeyden tunnistamiseksi tietyille järjestelmille/tiedoille
2. Asianmukaisten kontrollien toteuttamisen tiedon luokittelun perusteella
3. Vähimpien oikeuksien periaatteen käyttämisen pääsynhallinnassa
4. Syvyyssuojausstrategioiden toteuttamisen
5. Säännöllisen turvallisuusarvioinnin ja testauksen kaikilla kolmella alueella
6. Politiikkojen luomisen, jotka tunnustavat elementtien väliset kompromissit
7. Kontrollien mukauttamisen muuttuvien liiketoimintatarpeiden ja uhkakuvan perusteella

Luottamuksellisuuden uhkia:

• Tietomurrot
• Luvaton pääsy
• Salakuuntelu
• Sosiaalinen manipulointi

Eheyden uhkia:

• Luvattomat muutokset
• Man-in-the-middle-hyökkäykset
• Virheelliset pääsynhallintakontrollit
• Tietojen korruptoituminen

Saatavuuden uhkia:

• DDoS-hyökkäykset
• Laiteviat
• Luonnonkatastrofit
• Sähkökatkot
• Resurssien ehtyminen

Tehokkuutta voidaan mitata seuraavien kautta:

• Turvallisuusmittarit: Kullekin elementille spesifit (esim. tietomurtojen määrä luottamuksellisuudelle)
• Turvallisuusarvioinnit: Säännöllinen arviointi NIST:n tai ISO 27001:n kaltaisia kehyksiä vastaan
• Tunkeutumistestaus: Tulokset valvotuista turvallisuustesteistä
• Poikkeamien käsittely: Tehokkuus turvallisuuspoikkeamien käsittelyssä
• RTO:t ja RPO:t: Palautumisaikojen tavoitteet ja palautumispisteiden tavoitteet
• Liiketoimintavaikutusanalyysi: Turvallisuuskontrollien tehokkuuden ymmärtäminen suhteessa liiketoimintavaatimuksiin

CIA Compliance Manager tarjoaa vankat työkalut näiden mittareiden mittaamiseen ja seuraamiseen.