Mit jelent a CIA triász a kiberbiztonságban?

A CIA triász három alaptulajdonság: Bizalmasság (Confidentiality) — az adatot csak az lássa, akinek szabad; Sértetlenség (Integrity) — az adat ne változzon meg észrevétlenül; Rendelkezésre állás (Availability) — az adat és a rendszer elérhető legyen, amikor szükség van rá. A névnek semmi köze az amerikai CIA hírszerző ügynökséghez — a három angol szó kezdőbetűje adja.

Miért fontos a CIA triász a NIS2 szempontjából?

A NIS2-t átültető magyar Kiberbiztonsági törvény (2024. évi LXIX. tv.) kockázatarányos biztonsági intézkedéseket vár el. Ezek az intézkedések végső soron a CIA triász három lábát védik. Ha a triászt érted, akkor minden konkrét NIS2-elvárást (titkosítás, hozzáférés-kezelés, mentés, incidenskezelés) el tudsz helyezni: melyik tulajdonságot erősíti.

Hány eleme van a CIA triásznak — három vagy négy?

A klasszikus modell három elemű: Bizalmasság, Sértetlenség, Rendelkezésre állás. A hitelesség (authenticity) és a letagadhatatlanság (non-repudiation) fontos, de kiegészítő tulajdonságok — nem a triász negyedik eleme. Bővebb modellekben (pl. Parker-hexád) hat tulajdonság szerepel, de a gyakorlati alapkeret a három pillér.

// KIBERBIZTONSÁGI KISOKOS · 01. MODUL

A CIA triász — a kiberbiztonság három alappillére

Q: A titkosítás megvédi az egész cégemet?

Nem. A titkosítás elsősorban a Bizalmasságot védi (és részben a Sértetlenséget), de a Rendelkezésre állást nem. Egy zsarolóvírus titkosíthatja is az adataidat — ott épp a titkosítás ellened dolgozik. A három pillért külön-külön kell biztosítani; egyetlen eszköz sem fedi le mind a hármat.

C · I · A kb. 7 perc olvasás

Minden kiberbiztonsági intézkedés végső soron három dolgot véd: hogy az adatot csak az lássa, akinek szabad (Bizalmasság), hogy ne lehessen észrevétlenül megváltoztatni (Sértetlenség), és hogy elérhető legyen, amikor kell (Rendelkezésre állás). Ez a CIA triász — a tananyag vezérfonala. Ha ezt érted, minden további NIS2-elvárás a helyére kerül.

A három pillér → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi az a CIA triász?

A CIA triász a kiberbiztonság három alapkérdése. A név félrevezető lehet: semmi köze az amerikai hírszerzéshez — a három angol szó kezdőbetűje adja (Confidentiality, Integrity, Availability). Magyarul: Bizalmasság, Sértetlenség, Rendelkezésre állás.

Képzeld el egy céges széffel A jó kiberbiztonság olyan, mint egy páncélszekrény. Bizalmasság: csak az tudja kinyitni, akinek megvan a kombinációja — más nem láthat bele. Sértetlenség: ha valaki kicserélne benne egy iratot, a viaszpecsétről azonnal észrevennéd, hogy hozzányúltak. Rendelkezésre állás: a széf akkor is kinyílik, amikor épp sürgősen pénzt kell kivenned belőle — nem ragad be. Ha bármelyik feltétel sérül, a széf nem tölti be a szerepét.

Miért fontos ez üzletileg? Mert egy adatszivárgás (Bizalmasság), egy meghamisított utalási adat (Sértetlenség) vagy egy zsarolóvírusZsarolóvírus (ransomware): kártékony program, amely titkosítja vagy elérhetetlenné teszi az adataidat, majd váltságdíjat követel a feloldásért. Elsősorban a Rendelkezésre állást támadja.-leállás (Rendelkezésre állás) mind valódi, forintban mérhető kárt okoz — és a NIS2 mindhárom ellen véd.

1 · Laikusan

A három pillér — kattints rá

Kattints a háromszög egy sarkára vagy egy kártyára, és nézd meg, mit jelent a gyakorlatban, mi töri meg, és melyik konkrét intézkedés védi.

2 · A gyakorlatban

Miért épp ez a NIS2 alapja?

A NIS2-irányelvet Magyarországon a 2024. évi LXIX. törvény (Magyarország kiberbiztonságáról) ülteti át, amely 2025. január 1-jétől hatályos. A törvény nem konkrét termékeket ír elő, hanem kockázatarányos biztonsági intézkedéseket — és ezek végső soron mind a CIA triász egy-egy lábát erősítik.

Mi ez?

A NIS2 kockázatkezelési intézkedés-csomagot vár el: hozzáférés-kezelés, titkosítás, mentés, incidenskezelés, ellátásilánc-biztonság. Mindegyik a Bizalmasság, a Sértetlenség vagy a Rendelkezésre állás védelmét szolgálja.

Kinek kötelező?

Jellemzően azoknak az érintett ágazatban működő szervezeteknek, amelyek elérik a középvállalkozói méretet (általában legalább 50 fő és 10 millió eurónak megfelelő árbevétel/mérlegfőösszeg felett). A pontos érintettséget a szektori besorolás dönti el — ez egy egyszerű kérdés mentén tisztázható.

Hogyan segít a triász?

Ha minden intézkedésnél felteszed a kérdést „melyik pillért erősíti?", azonnal látod a réseket: hol véded túl a Bizalmasságot, és hol felejtetted el a Rendelkezésre állást (pl. nincs tesztelt mentésed).

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan használd döntési keretként?

A triász nem elmélet — egy gyakorlati szűrő, amellyel bármilyen biztonsági döntést mérlegelhetsz. Négy lépésben:

Nevezd meg, mit védesz

Egy adat, rendszer vagy folyamat. Pl. „az ügyfél-adatbázis" vagy „a webáruház rendelési felülete".

Kérdezd meg mind a három pillérre

Ki láthatja? (C) — Biztos, hogy nem változott meg? (I) — Elérhető, amikor kell? (A). Ahol bizonytalan a válasz, ott van a kockázat.

Rendeld hozzá az intézkedést

Minden javasolt kontrollnál nézd meg, melyik pillért erősíti. Így nem költesz feleslegesen oda, ahol már erős vagy.

Súlyozz a működésed szerint

Egy webáruháznak a Rendelkezésre állás létkérdés; egy ügyvédi irodának a Bizalmasság. Nincs egyforma recept — a triász segít priorizálni.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak az IT-felelősnek szólnak — a laikus olvasó nyugodtan átugorhatja, a triász megértéséhez nem szükséges.

Hitelesség és letagadhatatlanság — a „negyedik elem" mítosza

A hitelesség (authenticity — biztos, hogy az a fél, akinek mondja magát) és a letagadhatatlanság (non-repudiation — utólag nem tagadható le, ki végezte a műveletet) fontos tulajdonságok, de kiegészítők, nem a CIA triász negyedik eleme. Sokan tévesen „négy pillérről" beszélnek. A bővített modell a Parker-hexád (Donn Parker), amely hat tulajdonságot sorol: a klasszikus három mellé birtoklást/kontrollt (possession), hitelességet és hasznosságot (utility). A gyakorlati alapkeret azonban a három pillér marad.

A DAD-triász — a támadó tükörképe

Minden pillérnek van egy „sötét párja", amit a támadó el akar érni — ez a DAD-triász: Disclosure (nyilvánosságra hozatal) a Bizalmasság ellen, Alteration (megváltoztatás) a Sértetlenség ellen, Destruction/Denial (megsemmisítés / megtagadás) a Rendelkezésre állás ellen. Ha kontrollt tervezel, hasznos mindkét oldalról nézni: mit védek — és mit akar elérni a támadó.

A pillérek néha feszülnek egymásnak (trade-off)

A három cél nem mindig erősíti egymást. A szigorú Bizalmasság (sok titkosítás, sok jóváhagyási lépcső) ronthatja a Rendelkezésre állást — lassabb, nehezebb hozzáférés. A magas Rendelkezésre állás (sok másolat, széles hozzáférés) növelheti a Bizalmasság kockázatát. A kockázatarányosság épp ezt a mérlegelést jelenti: nem maximalizálni mindent, hanem a működésedhez illő egyensúlyt megtalálni.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, egy-egy pillérre. Nincs adatküldés, nincs regisztráció — a válaszaid csak a böngésződben maradnak. Nézd meg, melyik lábad a leggyengébb.

Hol állsz a három pilléren?

Válaszolj őszintén — a cél nem a jó pontszám, hanem a rések feltárása.

C — Pontosan tudod, ki fér hozzá a legérzékenyebb adataitokhoz (pl. ügyfél- és béradatok), és van rajtuk MFA?

I — Észrevennétek, ha valaki jogosulatlanul megváltoztatna egy fontos adatot (van naplózás, verziókövetés)?

A — Van rendszeres, tesztelt mentésetek, amiből egy zsarolóvírus után is helyre tudnátok állni?

1 · Laikusan

Gyakori tévhitek

Tévhit

„Van titkosításunk, tehát biztonságban vagyunk."

A titkosítás főleg a Bizalmasságot védi — a Rendelkezésre állást nem. Egy zsarolóvírus maga is titkosít: ott épp ellened dolgozik. Mind a három pillért külön kell biztosítani.

Tévhit

„A kiberbiztonság IT-ügy, az informatikus dolga."

A NIS2 szerint a kiberbiztonsági kockázatkezelés a vezetés felelőssége — átruházhatatlanul. A triász épp azért hasznos, mert üzleti nyelven is elmondható, nem kell hozzá mély technikai tudás.

Tévhit

„Minket úgysem támadnak meg, kicsik vagyunk."

A támadások többsége automatizált és válogatás nélküli — nem a cég méretét, hanem a rést keresi. A kis cég sokszor épp azért célpont, mert kevésbé védett, és gyakran egy nagyobb partner felé vezető kapu.

Gyakori kérdések

GYIK a CIA triászról

Tényleg semmi köze az amerikai CIA-hoz?

Semmi. A betűszó a három angol szó kezdőbetűje: Confidentiality, Integrity, Availability. A névbeli egyezés véletlen, és gyakori félreértés forrása.

Melyik pillér a legfontosabb?

Nincs általános válasz — a működésedtől függ. Egy webáruháznak a Rendelkezésre állás, egy ügyvédi irodának vagy egészségügyi szolgáltatónak a Bizalmasság, egy banknak vagy könyvelőnek a Sértetlenség lehet a legkritikusabb. A kockázatelemzés feladata kideríteni, neked melyik.

A titkosítás megvédi az egész cégemet?

Nem. A titkosítás elsősorban a Bizalmasságot (és részben a Sértetlenséget) védi, a Rendelkezésre állást nem. Egyetlen eszköz sem fedi le mind a három pillért — ezért beszélünk rétegzett védelemről.

Három vagy négy eleme van a triásznak?

A klasszikus modell három elemű. A hitelesség és a letagadhatatlanság fontos, de kiegészítő tulajdonságok — nem a triász negyedik eleme. Bővebb modellekben (pl. Parker-hexád) hat tulajdonság szerepel, de a gyakorlati alap a három pillér.

← Vissza Kiberbiztonsági Kisokos (áttekintés) Következő modul → Legkisebb jogosultság (least privilege)

Következő lépés

Megvan a keret — hol állsz valójában?

A három pillér közül a technikai réseket (titkosítás, biztonsági fejlécek, elérhetőség) egy ingyenes szivárgás-audit pár perc alatt megmutatja — konkrétan, a saját domained alapján. A szervezeti kontrollokat magadnak kell bevezetned, de a kiindulóponthoz nem kell vakon tippelned.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz