1.3.4.3 Informatieklassen en impact

 1.3.4.3.2.  Relatie tussen informatieklasse en impact

Het toekennen van informatieklassen aan informatieassets heeft als doel (relatief) eenvoudig en consistent in te schatten welke controlemaatregelen we nodig hebben om de vertrouwelijkheid, integriteit en beschikbaarheid van de asset op gepast niveau te borgen. Om dit te kunnen doen, moeten we eerst inzicht krijgen in de gevolgen als niet voldaan wordt aan de vertrouwelijkheid, integriteit of beschikbaarheid van de asset. We gaan na welke impact er zou zijn indien de asset gecompromitteerd zou worden, dus als er een inbreuk zou plaatsvinden.

1.3.4.3.1.  Definitie van de impactschalen

We identificeren een informatieklasse door na te gaan wat het (potentieel) gevolg kan zijn van een inbreuk op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

De impact is gebaseerd op de potentiële schade van een inbreuk. Deze impact schalen rangschikken we oplopend van lage tot onbestaande impact of schade in Klasse 1, tot bedreigende impact of schade in Klasse 5. Op deze manier worden deze impact of schade schalen uniek verbonden aan de kwaliteitsgraden in het informatieclassificatieraamwerk.

1.3.4.3.2.  Impact van de gebruikte criteria

In het ICR gebruiken we deze criteria:

• Informatieveiligheidsstandaarden als basis (ISO27001/2);

• Regelgevingen, die leiden tot een vaste informatieklasse;

• Contractuele verbintenissen die leiden tot een vaste informatieklasse;

• Impact van potentiële inbreuken op basis van onderstaande impact schalen en hun referentie criteria.

Het is hierbij belangrijk het onderwerp van de betrokken regelgeving (en/of contractuele verbintenis) correct te interpreteren.

In specifieke regelgeving kan dit anders liggen. Het bekendste voorbeeld hiervan is de GDPR-wetgeving die het individu beschermt tegen risico’s verbonden aan het verwerken van informatie door anderen dan de burger zelf. In GDPR-context is men verplicht om, naast de ’gevolgen van inbreuken voor de organisatie’ ook, de ’gevolgen van inbreuken op het betrokken individu in kaart te brengen en te evalueren’.

1.3.4.3.3.  Inschatting van de impact

Wanneer we het hebben over impact, maken we onderscheid tussen materiële en immateriële schade.

Materiële schade

Materiële schade is het meest ‘tastbaar’. Het heeft betrekking op schade waarbij de grootte van het nadeel relatief gemakkelijk monetair uit te drukken is. Doorgaans speken we hierbij over:

• Fysische schade

  • Schade aan voorwerpen en goederen

  • Letselschade of schade aan personen beperkt in tijd die niet resulteren in immateriële schade

• Financiële schade

• Economische schade

  • Tijdelijke (technische) werkloosheid van het personeel

• Verminderde dienstverlening aan burgers en/of bedrijven

Voorbeelden van materiële schade:

Immateriële schade

Immateriële schade is minder makkelijk aanwijsbaar en is veel lastiger uit te drukken in geld. In de meeste gevallen is de compensatie van de schade erg hoog of erg moeilijk tot onmogelijk. We spreken hierbij over:

• Geestelijke schade, pijn, trauma of smart, gemis, verdriet, verlies van levensvreugde, angsten

• Vrijheidsbeperking: gedeeltelijk of volledig, tijdelijk of permanent

  • Verlies van fysieke vrijheid

  • Verlies van vrijheid van handelen

  • Verlies van beroep

  • Verlies van vrijetijdsbesteding

• Fysische schade, gedeeltelijke of volledige onbeschikbaarheid van handelen, in extreme vormen bedreigend voor het voortbestaan van:

  • Personen

  • Organisaties

  • Diensten

• Sociale schade, verlies van sociale contacten

• Reputatieschade verbonden aan:

  • Personen

  • Organisaties

  • Producten

  • Diensten

Voorbeeld:     

Smaad of laster. Een kritisch artikel over iemands wangedrag kan volkomen rechtmatig zijn ook al schaadt het de betrokkene in zijn reputatie.