Classificatie, effe snel doen?
door Strict op do 13 aug 2015
Volgens de meeste informatiebeveiligingsdeskundigen is classificatie van informatie een van de belangrijkste instrumenten om beveiliging van informatie op een effectieve en efficiënte manier te realiseren. ‘De meeste’ schreef ik en ja, daar hoor ik ook bij. Soms. Ik wil er graag een paar kanttekeningen bij plaatsen. Want classificatie van informatie of zelfs gegevens is maar een klein onderdeel van dit instrument.
Er gaat een wereld aan problemen schuil achter de term classificatie. En dat is dan ook een van de redenen dat classificatie zelden op een effectieve en efficiënte manier in praktijk wordt gebracht. En als classificatie inderdaad niet effectief en efficiënt wordt uitgevoerd, dan kun je beter niets doen aan classificatie van informatie. Want om alleen informatie, of gegevens te classificeren om een vinkje te kunnen zetten bij de betreffende control van ISO27002 is een totaal verkeerde instelling. Zo’n vinkje is een blinde vink en geen control.
De afgelopen jaren heb ik regelmatig projecten met betrekking tot classificatie meegemaakt. In de regel classificeren we gegevens naar de drie criteria Beschikbaarheid, Integriteit en Vertrouwelijkheid. Doen we dat ook echt? Beoordelen we echt alle drie de criteria op dezelfde manier? Een klein voorbeeld: bij de rijksoverheid wordt vooral geclassificeerd naar het aspect vertrouwelijkheid. ‘Staatsgeheim (STG.) Zeer Geheim STG. Geheim STG. Confidentieel en Departementaal Vertrouwelijk’. BIR en BIG spreken over classificeren en wijzen vooral op de noodzaak om vertrouwelijkheid (van persoonsgegevens) te bewaken. Dit gaat dus over Vertrouwelijkheid en niet over Integriteit of beschikbaarheid.
Privacy
Vertrouwelijkheid is makkelijk. Dat doen we onder meer op grond van wettelijke verplichtingen, zoals vanuit de WBP. Er worden in de toelichting zelfs verschillende categorieën van persoonsgegevens opgegeven. Ook de NEN7510 eist maatregelen op het gebied van vertrouwelijkheid. Dus classificeren is een eitje? Nee absoluut niet. Er zijn meer gegevens die meer of minder vertrouwelijk behandeld moeten worden. Denk aan inkoopgegevens, bonusstaffels, marktanalyses, fraudegevoeligheid. Worden die naast het gewone, best wel simpele privacyaspect, ook onderkend in uw eigen classificatieproces?
Integriteit
Integriteit. Wat moet je daar nu mee? Dat is zo’n mantelbegrip, dat is toch te groot om te kunnen analyseren? Nou nee, dat valt mee. Het gaat eigenlijk om de accountancybegrippen:
- Juistheid (is een transactie rechtmatig verwerkt?)
- Volledigheid (is elke transactie verwerkt, niet gedoubleerd of weggelaten?)
- Tijdigheid (is elke transactie in het juiste tijdvak verwerkt?)
- Geautoriseerdheid (is de transactie op grond van een juist juridisch mandaat tot stand gekomen?)
Als je dit zo bekijkt, dan kan voor heel veel systemen worden vastgesteld of betrouwbaarheid een issue is en hoe groot het issue is. Maar doen we dat? Deels. We weten dat logbestanden write only moeten zijn en dat ze naar een ander subsysteem moeten worden weggeschreven. Maar verder?
Beschikbaarheid
Beschikbaarheid. Ook een fraaie. Eigenlijk is de vraag welk systeem zo vitaal is dat de bedrijfsvoering geschaad wordt als het niet beschikbaar is. Maar geldt dat misschien niet ook voor Bereikbaarheid? En hoe gaan we om met cloud en uitbesteding, staat alles wel netjes in SLA’s en contracten? En dit zijn eigenlijk nog betrekkelijk simpele overwegingen.
Echt moeilijk wordt het als we moeten bepalen wie de classificatie van een gegeven bepaalt, maar ook als we er nog iets verder op inzoomen:
- Wie is de verantwoordelijke voor classificatie? Is dat een gegevenseigenaar, of een systeemeigenaar, of een proceseigenaar of… vul maar in. Daar geeft ISO27001/2 geen antwoord op.
- Bevat de classificatiemethode wel zinvolle en daarmee onderscheidende vragen? Je wilt toch niet dat elk systeem standaard Hoog-Hoog-Hoog scoort op de BIV criteria? Want dan valt de bodem onder het nut en noodzaak van classificatie weg.
- Is er voor de verschillende BIV-klassen een passend niveau van organisatorische, applicatieve en technische maatregelen gedefinieerd en ingericht?
- Is er in de wijzigingsprocedure aandacht voor het aanpassen van de classificatie als een systeem wordt gewijzigd?
Kun je de eenmaal vastgestelde classificatie van informatie, of van systemen weer wijzigen? Kan de klasse omhoog worden gebracht of verlaagd worden en wat zijn dan de gevolgen daarvan…?
Fundamenteel
- Bepalen van de bij een classificatieniveau passende beveiligingsmaatregelen (dat is dus eigenlijk een efficiency afweging)
- Creëren van beveiligingsbewustzijn bij belanghebbenden. En niet om het vinkje van een ISO checklist.
Ik zal de volgende keer ingaan op een paar spannende classificatiedilemma’s.
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)