Soms zie je even door de bomen het bos niet meer. Op zich niet zo erg, maar wel wat onhandig als je de weg probeert te vinden. En die weg zocht ik vandaag, nadat ik van een collega de vraag kreeg ‘wat de verschillen zijn tussen diverse media/gegevensdragers, en welke maatregelen ze vereisen op informatiebeveiligingsvlak’? Een scherpe vaag die mij aan het denken zette als het over dit onderwerp gaat. Daarom in deze blog een nadere verkenning van

diverse begrippen uit de BIG.

Onnodig verwarring?

Niet zo heel ingewikkeld zul je zeggen, dat is immers precies één van de vragen waarom de Baseline Informatiebeveiliging Gemeenten (BIG) door de IBD is ontwikkeld. Nou blijkt die BIG niet zo eenduidig te zijn. Al snel raak je verstrikt in een veelheid aan termen die naar mijn idee vaak opvallende overlap vertonen: in de tactische BIG worden namelijk termen gebruikt als ‘verwijderbare media’ (10.7), ‘fysieke media’ (10.8.3.), ‘apparatuur met opslagmedia’ (9.2.6.) en ‘mobiele gegevensdragers’ (9.1.3.). Maakt de IBD hier een correct onderscheid of ontstaat er onnodig verwarring (of beide)? Allereerst. wat verstaan we eigenlijk onder een gegevensdrager?

Wikipedia

Een simpele zoekopdracht hiernaar op Google leidde mij naar de pagina van Wikipedia en die vertelt ons het volgende: het woord gegevensdrager is een algemene naam voor een opslagmedium, een fysiek voorwerp waarop gegevens zijn opgeslagen of kunnen worden opgeslagen. Volgens deze definitie is zowel een vel papier als een kleitablet een gegevensdrager. Het woord gegevensdrager wordt echter in de informatica in het algemeen gebruikt voor middelen waarop digitaal opgeslagen gegevens kunnen worden bewaard. Hoewel niet zo gedefinieerd, worden vaak verwisselbare media bedoeld, die afzonderlijk van een systeem kunnen worden bewaard.

Terug naar de BIG

We weten nu de algemene betekenis van het woord gegevensdrager. Laten we deze nu eens vergelijken met de eerder genoemde termen die in de tactische BIG worden genoemd. Hier worden de termen, ‘verwijderbare media’, ‘fysieke media’, ‘apparatuur met opslagmedia’ en ‘mobiele gegevensdragers’ in verschillende hoofdstukken benoemd. Maar wat betekenen de termen nu eigenlijk volgens de tactische BIG?

De enige term waar een duidelijke definitie van terug te vinden is in de tactische BIG is: verwijderbare media. Verwijderbare media zijn opslagmiddelen die los van de apparatuur kunnen worden verwijderd en worden meegenomen. De verwijderbare media kunnen dus worden afgelezen met andere apparatuur. Hierbij kun je denken aan Cd-roms, USB-sticks, verwijderbare schijven, tapes of gedrukte media. Vergelijk het maar met de term verwisselbare media in de paragraaf hiervoor.

Dan de term fysieke media, waarbij het (de naam zegt het al) gaat om fysieke ‘vast te houden’ media waar informatie op opgeslagen kan worden, zoals USB-sticks, back up tapes, Cd-roms, dvd, externe HD’s etc.

En tot slot mobiele gegevensdragers die worden gebruikt voor het overdragen van informatie. Voorbeelden van mobiele gegevensdragers zijn: USB-sticks, Cd-roms, geheugenkaartjes, flash kaartjes, mobiele telefoons en tablets. Een andere benaming voor gegevensdragers is opslagmedia. En dan heb je nog apparatuur met opslagmedia, denk aan bijvoorbeeld mobiele telefoons en tablets.

Ook de draad kwijt?

Nou ik wel eerlijk gezegd. De verschillen in uitleg en toepassing van de termen zijn voor mij niet duidelijk. Simpelweg omdat ze teveel op elkaar lijken en overlap vertonen. Hiermee maakt de IBD het de lezer onnodig complex. Er kan mijns inziens simpelweg een tweedeling gemaakt worden in fysieke, verwijderbare of verwisselbare media. Dat wil zeggen media die fungeren als gegevensdrager, hiertoe behoren bijvoorbeeld USB sticks, mobiele HD’s, Cd-roms, dvd’s, Blu-rays, tapes, geheugenkaartjes etc. En daarnaast apparatuur met daarin opslagmedia die niet te verwijderen of te verwisselen is zonder het apparaat open te schroeven. Hierbij kun je denken aan een mobiele telefoon, tablet of laptop. Maar ook hierbij kan nog de kanttekening gemaakt worden dat het onderscheid niet altijd even helder is, immers een mobiele telefoon kan ook functioneren met een geheugenkaartje..

Conclusie

Door het gebruik van deze diverse terminologie wekt de IBD de indruk dat het over verschillende termen en dus ook over verschillende bijbehorende maatregelen gaat. Mogelijk heeft de IBD vooral genuanceerd willen zijn, maar heeft ze daarmee de zaak ook onnodig complex gemaakt. De nuance leidt bij mij in ieder geval tot verwarring en niet tot een zinvol onderscheid. Wat vind jij? Tijd voor een update van de BIG of zit ik er helemaal naast in deze blog?