1.2.3.4.1. Definitie van de impactschalen
We identificeren een informatieklasse door na te gaan wat het (potentieel) gevolg kan zijn van een inbreuk op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.
De impact is gebaseerd op de potentiële schade van een inbreuk. Deze impact schalen rangschikken we oplopend van lage tot onbestaande impact of schade in Klasse 1, tot bedreigende impact of schade in Klasse 5. Op deze manier worden deze impact of schade schalen uniek verbonden aan de kwaliteitsgraden in het informatieclassificatieraamwerk.
1.2.3.4.2. Impact van de gebruikte criteria
In het ICR gebruiken we deze criteria:
Informatieveiligheidsstandaarden als basis (ISO27001/2);
Regelgevingen, die leiden tot een vaste informatieklasse;
Contractuele verbintenissen die leiden tot een vaste informatieklasse;
Impact van potentiële inbreuken op basis van onderstaande impact schalen en hun referentie criteria.
Het is hierbij belangrijk het onderwerp van de betrokken regelgeving (en/of contractuele verbintenis) correct te interpreteren.
In specifieke regelgeving kan dit anders liggen. Het bekendste voorbeeld hiervan is de GDPR-wetgeving die het individu beschermt tegen risico’s verbonden aan het verwerken van informatie door anderen dan de burger zelf. In GDPR-context is men verplicht om, naast de ’gevolgen van inbreuken voor de organisatie’ ook, de ’gevolgen van inbreuken op het betrokken individu in kaart te brengen en te evalueren’.
1.2.3.4.3. Inschatting van de impact
Wanneer we het hebben over impact, maken we onderscheid tussen materiële en immateriële schade.
Materiële schade
Materiële schade is het meest ‘tastbaar’. Het heeft betrekking op schade waarbij de grootte van het nadeel relatief gemakkelijk monetair uit te drukken is. Doorgaans speken we hierbij over:
Fysische schade
Schade aan voorwerpen en goederen
Letselschade of schade aan personen beperkt in tijd die niet resulteren in immateriële schade
Financiële schade
Economische schade
Tijdelijke (technische) werkloosheid van het personeel
Verminderde dienstverlening aan burgers en/of bedrijven
Voorbeelden van materiële schade:
Kosten bij aankoop vervangingsgoederen en diensten, inkomensverlies, pensioenschade, kosten van huishoudelijke hulp, ziektekosten (ziekenhuiskosten, kosten fysiotherapeut, kosten hulpmiddelen), kosten woningaanpassing, extra reiskosten, stijgende verzekeringspremie, telefoonkosten en juridische hulp
Immateriële schade
Immateriële schade is minder makkelijk aanwijsbaar en is veel lastiger uit te drukken in geld. In de meeste gevallen is de compensatie van de schade erg hoog of erg moeilijk tot onmogelijk. We spreken hierbij over:
Geestelijke schade, pijn, trauma of smart, gemis, verdriet, verlies van levensvreugde, angsten
Vrijheidsbeperking: gedeeltelijk of volledig, tijdelijk of permanent
Verlies van fysieke vrijheid
Verlies van vrijheid van handelen
Verlies van beroep
Verlies van vrijetijdsbesteding
Fysische schade, gedeeltelijke of volledige onbeschikbaarheid van handelen, in extreme vormen bedreigend voor het voortbestaan van:
Personen
Organisaties
Diensten
Sociale schade, verlies van sociale contacten
Reputatieschade verbonden aan:
Personen
Organisaties
Producten
Diensten
Voorbeeld:
Smaad of laster. Een kritisch artikel over iemands wangedrag kan volkomen rechtmatig zijn ook al schaadt het de betrokkene in zijn reputatie.