...
We moeten de vertrouwelijkheid van de informatie beschermen tegen verwerking door een niet-geautoriseerde derde. Dit kan gaan om personen, overheden of organisaties.
Zie ook 8.12.3. Beslissingsboom voor vertrouwelijkheid
1.3.2.2. Integriteit
Integriteit is een synoniem voor betrouwbaarheid. Betrouwbare informatie voldoet aan volgende integriteitskenmerken:
...
- De informatie is correct (rechtmatigheid is hier een kernbegrip)
- De informatie is volledig
- De informatie is tijdig (op tijd)
- De informatie is geautoriseerd (aangemaakt of aangepast door een persoon of organisatie die gerechtigd is een aanpassing aan te brengen)
Zie ook 8.12.2. Beslissingsboom voor integriteit
1.3.2.3. Beschikbaarheid
Beschikbaarheid geeft aan in hoeverre toepassing en de daaraan gerelateerde informatie toegankelijk is voor de geautoriseerde gebruikers. We maken een onderscheid tussen beschikbaarheid en bedrijfscontinuïteit. Bedrijfscontinuïteit houdt in dat kritieke dienstverlening gegarandeerd kan worden ingeval van ramp. Beschikbaarheid houdt in dat de dienstverlening geleverd wordt tijdens normale omstandigheden. Met dienstverlening bedoelen we het leveren van informatie en informatie verwerkende middelen aan burgers en organisaties.
Zie ook 8.12.1. Beslissingsboom voor beschikbaarheid
Een voorbeeld om dit verschil duidelijk te maken:
...
Wanneer verschillende componenten achtereenvolgens in een informatiesysteem worden gebruikt, wordt de beschikbaarheid bepaald door de beschikbaarheidsfactoren met elkaar te vermenigvuldigen. Combinatie van de twee componenten met een beschikbaarheid van resp. 2 en 4 negens betekent een totale niet-beschikbaarheid voor het systeem van 3,69 dagen per jaar.
1.3.2.4. Relatie tussen vertrouwelijkheid en integriteit
Vertrouwelijkheid en integriteit hebben geen één-op-één relatie. Conform de opzet en structuur van de informatieklassen, bevatten de minimale algemene maatregelen de basis om aan vertrouwelijkheids- en aan integriteitvereisten tegemoet te komen. Op basis van specifieke regelgeving zullen deze minimale algemene maatregelen uitgebreid worden met minimale specifieke maatregelen. De eigenaar of verwerker van de informatie kan op basis van geïdentificeerde risico’s beslissen om bijkomend maatregelen te identificeren en in te richten of om het risico op een andere manier te behandelen (risico-overdracht, risico-acceptatie).
Vertrouwelijkheids- en integriteitsklassen en beschikbaarheidsklassen worden onafhankelijk van elkaar toegekend aan informatie. Het kan dus gebeuren dat informatie een bepaalde klasse voor vertrouwelijkheid toegekend krijgt – bv. 2 – en een andere voor integriteit – bv. 3. In dit geval moeten de minimale maatregelen voor klasse 2 voor vertrouwelijkheid en voor klasse 3 voor integriteit toegepast worden. Het komt vaak voor dat een maatregel zowel vertrouwelijkheid als integriteit bedient. In dit geval wordt de maatregel voor de hoogste klasse toegepast – in het voorbeeld klasse 3 (integriteit). Een maatregel die uitsluitend vertrouwelijkheid of uitsluitend integriteit afdekt, hoeft aan deze regel niet te voldoen.