Dataclassificatie versus informatiebeveiliging


Classificatie, ofwel rubricering, is een term die vaak wordt aangehaald. Juist op het vlak van informatiebeveiliging. Door de verschillende objecten van classificatie leidt dit nogal eens tot verwarring. Want wát classificeer je nu eigenlijk? Wat is het belang van classificatie? En, nog veel belangrijker: wat ga je er vervolgens mee doen? Vandaag een blog die ingaat op deze vragen. Laat ik beginnen met het doel van classificatie, want als je dat niet helder hebt, heeft de hele exercitie weinig zin. Classificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen.

Het doel

Laat ik beginnen met het doel van classificatie, want als je dat niet helder hebt, heeft de hele exercitie weinig zin. Classificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen. Als gemeente beschik je over veel (persoons)gegevens. Om te bepalen welke gegevens in meer of mindere mate beschermd moet worden, kun je de gegevens classificeren. Om een simpel voorbeeld te geven: als je een restaurant hebt bescherm je als ondernemer een uniek recept beter dan de reeds bekende openingstijden. Dus: een hogere classificatie betekent meer technische en/of organisatorische maatregelen.

Het object

Laat duidelijk zijn: het draait bij dataclassificatie altijd om informatie. Dit kan informatie zijn in de ruwe vorm, zoals data/gegevens (dataclassificatie), maar ook informatie in een informatiesysteem (systeemclassificatie) of informatie als onderdeel van een proces (procesclassificatie), wat vooral het geval is in de context van Business Continuity Management. Dat betekent ook dat de classificatie van een informatiesysteem of een proces dus te allen tijde afgeleid is van de classificatie van de ‘onderliggende informatie’. De informatie zelf is leidend. Ofwel in de context van een proces, ofwel in de context van een systeem. Immers, hoe zou je een proces of een systeem op zichzelf kunnen classificeren indien je niet weet welke informatie er in/door gaat?

De aanpak

Maar wat en hoe classificeer je nu eigenlijk? Voor de classificatie zelf wordt gebruik gemaakt van drie normen/niveaus, ook wel de BIV-waarden genoemd:

  • Beschikbaarheid – hoeveel en wanneer data toegankelijk is en gebruikt kan worden.
  • Integriteit – het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid).
  • Vertrouwelijkheid – de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim.

Voor het toekennen van een BIV-waarde aan informatie, wordt er bij elke BIV-waarde onderscheid gemaakt in vier gradaties/niveaus. De relevantie van het toekennen van de juiste gradatie is in dit geval hoog, aangezien het (vereiste) beschermingsniveau hierop wordt gebaseerd door de eigenaar van de gegevens (veelal ook de proceseigenaar). Op basis hiervan wordt bepaald welke beveiligingseisen en -maatregelen genomen moeten worden. De classificatie op BIV bepaalt dus de mate van (informatie)beveiliging.

Dataclassificatie en risicoanalyse

Uiteraard heeft niet elke dreiging/risico een even grote kans om op te treden. Bovendien heeft elke dreiging ook niet dezelfde impact. Om in kaart te brengen wat de impact is van een dreiging, kan een risicoanalyse worden uitgevoerd op elk type data dat op de verschillende informatieststemen of processen die je bezit staat opgeslagen. Het management kan vervolgens bepalen welke dreigingen/risico’s door middel van maatregelen moeten worden aangepakt. In de handreiking dataclassificatie van de Informatiebeveiligingsdienst van gemeenten (IBD) wordt de risicoanalyse bestempeld als een ‘tijdrovend en abstract traject’. En dit is precies waar het belang van dataclassificatie om de hoek komt kijken. Dit traject kan namelijk aanzienlijk worden verlicht door de dataclassificatie-methodiek toe te passen. De classificatiemethodiek kan dienen als basis voor een risicoanalyse doordat het een snelle indicatie geeft van het belang van informatie. Dataclassificatie kan daarmee dus gezien worden als een vereenvoudigde vorm van een risicoanalyse. Tevens brengt de classificatiemethode in kaart of een proces of systeem binnen of buiten de Baseline Informatiebeveiliging voor Gemeenten (BIG) valt. Dit kan helpen bij het bepalen van additionele maatregelen.

Het pad naar het gewenste resultaat

Om je op weg te helpen wordt in de handreiking dataclassificatie een aantal stappen gegeven waarlangs je de classificatieniveaus kunt bepalen:

  1. Wettelijke eisen – Welke wetten of regels zijn er van toepassing op het gebruik, de distributie en de opslag van de data? De tactische BIG geeft een overzicht van de relevante wetgeving.
  2. Verantwoordelijkheden t.a.v. data – De eigenaar van de gegevens is verantwoordelijk voor de classificatie. Kennis over gebruik, distributie en opslag én kennis van de beveiligingscontext ligt veelal bij anderen.
  3. Analyse kritische bedrijfsprocessen – Classificatieniveaus zijn afgeleid van de waarde van informatie en het belang van het bedrijfsproces waarin deze data een rol speelt. Stel daarom vast wat het belang is van de bedrijfsvoeringsprocessen voor de organisatie en hoe deze processen worden ondersteund door de ICT-voorzieningen.
  4. Afweging; criteria bij het bepalen van het classificatieniveau – Voor het nemen van technische en organisatorische maatregelen worden drie criteria benoemt: 1) de stand der techniek, 2) de kosten van de tenuitvoerlegging en 3) de risico’s die de verwerking met zich meebrengt.
  5. Het resultaat – Het resultaat van de analyse wordt gepresenteerd in een classificatierapport, met daarin een uitwerking van de drie BIV-waarden.

De implementatie

Tot slot, de stap die dan eigenlijk nog ontbreekt, is het daadwekelijk doen, ofwel de implementatie. Wanneer je de beveiligingseisen per classificatie niet helder hebt en/of niet opvolgt (het feitelijk handelen conform de classificatie), dan heeft classificatie weinig zin. Dat is inderdaad een open deur, maar velen gaan er door. Mijn advies is dan ook: start dus pas met het feitelijk classificeren van data/informatie zodra je de:

  • classificatieniveaus scherp verwoord hebt voor de BIV-waarden;
  • de beveiligingseisen per classificatieniveau hebt gedefinieerd;
  • de eerste twee punten overzichtelijk bij elkaar komen in een ‘model’ dat over te dragen is aan de data- en/of proceseigenaren;
  • taken en verantwoordelijkheden op het gebied van classificatie goed belegd zijn (incl. toezicht).

Uiteraard zijn er meerdere wegen naar Rome: je kan starten met dataclassificatie, systeemclassificatie of procesclassificatie. Belangrijkste is echter dat je ze wel goed van elkaar weet te onderscheiden.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …

Kennisproducten ter ondersteuning implementatie BIO; wanneer gebruik je wat?

Om gemeenten bij de implementatie van de BIO te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In d…

Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. Maar hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In d…

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…