Transcript
Moreelsepark 48 3511 EP Utrecht
Postbus 19035 3501 DA Utrecht
088 - 787 30 00 admin@surfnet.nl www.surfnet.nl
ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01
LeidraadclassificatieToelichtingeninvulinstructiebijgebruikvanhetclassificatieformulier
Auteur(s): MartinRomijn
Versie: 2.0
Datum: 18november2015
SCIPR Leidraad Classificatie
For this publication is the Creative Commons licence “Attribution 3.0 Unported”.. More information on the licence is to be found on http://creativecommons.org/licenses/by/3.0/
2
ColofonSCIPRLeidraadClassificatieSURFPOBox19035,3501DAUtrechtT+3188-7873000info@surf.nlwww.surf.nlAuteurMartinRomijnKerngroepAnitaPolderdijk-Rijntjes WindesheimBartvandenHeuvel UniversiteitMaastrichtMennoNonhevel KNAW-KoninklijkeNederlandseAkademievanWetenschappenAlfMoens SURFnetMeelezersDubravkaMarovic,LilianMaasFontys CorporateInformationSecurityOfficerEdgarvanGorkum Stenden WimKoolhoven UniversiteitTwente NickvanderLaan NWO JeanPopma RadboudUniversiteit ElmaMiddel Hanzehogeschool FreerkBosscha HogeschoolNHL PeterTimmermans OpenUniversiteit HansvanderWal Saxion RaoulVernede WageningenUniversiteit HaicoBianchi HogeschoolLeiden RonaldBoontje UniversiteitvanAmsterdam InformationSecurityManagerReneRitzen UniversiteitUtrecht CorporateInformationSecurityOfficerJelmarBoorsma VrijeUniversiteit InformationSecurityOfficerEindredactieGezamenlijkproductvandeSCIPRenSURFnetSURFisdeICT-samenwerkingsorganisatievanhethogeronderwijsenonderzoek(www.surf.nl).DezepublicatieisdigitaalbeschikbaarviadewebsitevanSURFnet(https://www.surf.nl/themas/digitale-rechten/privacy/index.html)
Leidraad classificatie
Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
Inhoud
Woord vooraf / leeswijzer ..................................................................................................................... 4
1. Inleiding ........................................................................................................................................... 6
1.1 Classificatie-aspecten: BIV ...................................................................................................... 6
1.2 Doelstelling classificatieproces: classificatie en maatregelen .................................................. 7
1.3 Classificatie versus Risicoanalyse ........................................................................................... 7
1.4 Baseline informatiebeveiliging versus Classificatie en Maatregelen ........................................ 7
1.5 Bronnen .................................................................................................................................... 8
2 Classificeren van informatie .......................................................................................................... 9
2.1 Uitgangspunten ........................................................................................................................ 9
2.2 Verantwoordelijkheden en Werkwijze Classificatie .................................................................. 9
2.3 Classificatie-niveaus .............................................................................................................. 10
3 Het classificatieproces ................................................................................................................. 11
3.1 De fasen in het classificatieproces ......................................................................................... 11
3.2 Kerneigenschappen per processtap ...................................................................................... 12
Bijlage I: Schadecategorieën ............................................................................................................. 14
Bijlage II: Template Samenvatting classificatierapport ................................................................... 15
Bijlage III: Voorbeeld vragenlijst “Inventariserend” ........................................................................ 16
Bijlage IV: Classificatievoorstel veel voorkomende gegevensobjecten ........................................ 19
SCIPR Leidraad classificatie
4/20
Woordvooraf / leeswi jzer
InditdocumentsteltSCIPR(deSURFCommunityvoorInformatiebeveiligingenPrivacy)deleidraadclassificatievoor.Dezevoorgesteldeleidraadbeschrijfteengoodpracticevoorhetclassificerenvaninformatie.Deleidraadbevathandvattenomeeninstellingseigenclassificatierichtlijnteontwikkelenofteverbeterenendezeteimplementeren.Webevelenaandeleidraadomtezettenineeninterneclassificatierichtlijn.Daarinkunnendespecifiekerollenenfunctionarissenzoalsdeinstellingdienoemt,wordengebruikt.Detekstindezeleidraadgaatnamelijkuitvaneengoodpracticeorganisatiestructuur.DatbetekentconcreetdaterwordtaangenomendatereenCISO-rolisingevuld(mogelijkonderdeelvaneencentraalCIO-office)endatdeeigenarenvanprocessenbenoemdzijn.VerderwordtaangenomendatdeFG-rol(FunctionarisGegevensbescherming)ingevuldis,ofeenPrivacyOfficerisaangesteld.Bijdeomzettingnaareeneigenrichtlijnkandezezodaniggeformuleerdwordenzodatdezepastbijdeeigeninternecultuurengovernancestructuur.
Indeleidraadisgekozenvoorhetclassificerenvaninformatieindecontextvanhetproceswaarindezeinformatiegebruiktwordt.Demethodiekistevenstoepasbaarvoorinformatieindecontextvaneenapplicatieofsysteem,doorindetekst“proces”telezenals“applicatie”of“systeem”.Zowelinapplicaties,systemenenprocessenwordtimmerseensetgegevensobjectenverwerkt.Metenigeeigeninterpretatieisdezeleidraaddaninzetbaarvoorhetclassificerenvaneenapplicatie.
UithetclassificerenvaneengegevensobjectinmeerderecontextenkanblijkendatdeBIV-codepercontextverschilt.Eengegevensobjectkanimmersinverschillendeprocessen,metverschillendeeisen,voorkomen.Voorbeeld:debeschikbaarheidseisvaneene-mailadresbijeenacuteroosterwijzigingishoog,eendigitalenieuwsbriefkangerusteendaglaterverstuurdworden.
Eenaanvullendaspectdatvoorzowelbeschikbaarheid,integriteitenvertrouwelijkheidvanbelangis,iscontroleerbaarheid.Nietalleen“weten”ofietsinordeis,maardatookachterafkunnen“verifiëren”.
InNederlandzijnenkelemethodenvanclassificereningebruik.Indezeleidraadisgebruikgemaaktvaneendirectemethode.Dezeiseenvoudigtoetepassenenvoldoendeadequaat.VraagindiengewenstdecollegaCISO’sofSCIPRcontactpersonennaaralternatieven.
Gebruiktetermen
Term BetekenisBedrijfsobject Eenbedrijfsobjectiseenpassiefelementdatvanuitbedrijfsperspectief
relevantieheeft[HORA].Derelevantebedrijfsobjectenindezeleidraadzijngegevensobjecten.Voorbeeldenvanbedrijfsobjectenindecontextvandezeleidraadzijnalumnus,begrotingencontact.
Beheerder Eenpersoondieeensysteem(aldannietberoepsmatig)regeltenonderhoudt[Wikipedia].Indezeleidraadkanhetbeherenbetrekkinghebbenopinformatie,applicaties,databasesensystemeninderolvanfunctioneel,technischen/ofapplicatiebeheerder.Ookinformatiekaneenbeheerderhebben.
BIA BusinessImpactAnalyseEenBIAwordtinhetkadervanhetBusinessContinuityManagement(BCM)gebruiktomdekritiekeprocessenvandenietkritiekeprocessentescheiden[Wikipedia].
SCIPR Leidraad classificatie
5/20
BIV-classificatie EenBIV-classificatieofBIV-indelingiseenindelingwaarbijbeschikbaarheid,(continuïteit),integriteit(betrouwbaarheid)envertrouwelijkheid(exclusiviteit)vaninformatieensystemenwordtaangegeven[Wikipedia].
Beschikbaarheid Informatiemoetbeschikbaarentoegankelijkzijn.Classificatiegaatinopdemogelijkegevolgenalsinformatie,ofeeninformatieset,nietbeschikbaaris.
Controleerbaarheid Dematewaarinhetmogelijkisomachterafparametersdievanbelangzijnvoorbeschikbaarheid,integriteitofvertrouwelijkheidteverifiëren.Zulkeparameterszijnbijvoorbeelddowntime,toegangentransacties[ModelbeveiligingsbeleiduithetFrameworkInformatiebeveiligingHogerOnderwijs,SCIPR,mei2015].
Data Data,ofwelgegevens,zijnobjectievefeiten,tekstenengetallenwaaraannoggeenbetekenisisgekoppeld.
Eigenaar Deafdeling/dienst/persoonofroldieovereenzaak(stukgrond,voorwerp,hoeveelheidgeldenz.)naareigengoeddunkenkanbeschikken[naarWikipedia].Indezeleidraadwordtmetdeeigenaardiegenebedoelddiehetbeslisrechtovereenproces,applicatie,systeem,gegevenselementetceteraheeft.Wanneerdeformeeleigenaar(vaakhetCollegevanBestuur)hetbeschikkingsrechtoverdraagt(mandateert)sprekenwevanfunctioneelofgedelegeerdeigenaar.Eeneigenaarkanookbestaanvooreenorganisatiebreedsysteemen/ofdataineenorganisatiebreedsysteem.
Gegevens Gegevenszijndeobjectiefwaarneembareneerslagofregistratievanfeitenopeenbepaaldmedium,zodanigdatdezegegevensuitgewisseldenvoorlangeretijdbewaardkunnenworden[Wikipedia].Aandezeobjectievefeitenisnoggeenbetekenisgekoppeld.
Informatie Gegevenswordeninformatiealsdegegevenseenbetekenisofnieuwswaardehebbenvoordeontvanger.
Integriteit Hetinovereenstemmingzijnvaninformatiemetdewerkelijkheid(informatieisjuist,volledigenactueel).Goedbeheervanbevoegdhedenenmogelijkhedentotmuteren,toevoegen,ofvernietigenvangegevensvooreengedefinieerdegroepgerechtigdeniscruciaalvoordeintegriteitvaninformatie.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieonjuist,onvolledigisofnietactueelis.
PIA EenPrivacyImpactAssessment(PIA)iseentooldathelptbijhetidentificerenvanprivacyrisico’senlevertdehandvatenomdezerisico’steverkleinentoteenacceptabelniveau[ModelPrivacyImpactAssessment,werkgroepSURF-PIA].
Proces Eenbedrijfsprocesiseenordeningvanhetwerkdatuitgevoerddienttewordenineenorganisatie[Wikipedia].
Risicoanalyse Eenrisicoanalyseiseenmethodewaarbijnaderbenoemderisico'swordengekwantificeerddoorhetbepalenvandekansdateendreigingzichvoordoetendegevolgendaarvan:Risico=KansxGevolg[Wikipedia].
Vertrouwelijkheid Debevoegdhedenenmogelijkhedenomkennistenemenvaninformatievooreengedefinieerdegroepgerechtigden.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieinhandenkomtvanderdendiehiertoenietzijngeautoriseerd.
SCIPR Leidraad classificatie
6/20
1. In le id ing
DeSurfCommunityvoorinformatiebeveiligingenprivacy(SCIPR),heeftopzichgenomendebestaandeleidraadclassificatietemoderniseren.Uitgangspuntvoordeleidraadisdatinstellingenveelalmetdezelfdedreigingentemakenhebben,hetgeenookblijktuithetrecentedoorSURFgepubliceerderapport“CyberdreigingsbeeldinhetHogerOnderwijs”.VerderzijndeprimaireprocessenbinnenhetHogerOnderwijsingrotelijnenovereenkomstig.
IedereinstellingstreeftnaareengoedebalanstussenhetoptimaalgebruikvanICT-middelenenerzijdsenhetborgenvandebeschikbaarheid,integriteitenvertrouwelijkheidvaninformatieanderzijds.Dezedoelstellingenbereikenwealleenmeteengezamenlijkeinspanningvanuiteenfunctionele,technischeenorganisatorischeinvalshoekdoorbeleidenuitvoeringaangaandeclassificatie.Classificatiedraagtbijaan:
§ eenveiligeleer-enwerkomgeving;§ eengoedimago;§ nalevingvanwetgeving,zoalsWetbeschermingpersoonsgegevens(Wbp)1.
Classificatievaninformatiehelptbij:
§ hetselecterenvanmaatregelendiegenomenmoetenwordenominformatieadequaattebeschermen,deintegriteittewaarborgenendebeschikbaarheidteoptimaliseren;
§ hetvergrotenvandealertheidvandeorganisatiemetbetrekkingtotdewaardevaninformatieenbeveiligingsrisico’s.
Informatiebetekentinditverbandalledataengegevens,ongeachthetmediumwaaropdezeopgeslagenwordenenongeachtdepresentatiedaarvan.Informatiewordtindepraktijkverwerktbinnenéénofmeerderebedrijfsprocessenenopéénofmeersystemen/applicaties.Dezecontextwordtdanookbijdeclassificatiebetrokken.Gekozenisvoorhetbegrip“classificatievaninformatie”,inlijnmetdenaamvanhetvakgebied:“informatiebeveiliging”.
1.1 Class i f i cat ie -aspecten: B IV
HetbeschermingsniveauvaninformatiewordtuitgedruktinclassificatieniveausvoorBeschikbaarheid,IntegriteitenVertrouwelijkheid(BIV).
• Beschikbaarheid:informatiemoetbeschikbaarentoegankelijkzijn.Classificatiegaatinopdemogelijkegevolgenalsinformatie,ofeeninformatieset,nietbeschikbaaris.
• Integriteit:hetinovereenstemmingzijnvaninformatiemetdewerkelijkheid(informatieisjuist,volledigenactueel).Goedbeheervanbevoegdhedenenmogelijkhedentotmuteren,toevoegen,ofvernietigenvangegevensvooreengedefinieerdegroepgerechtigdeniscruciaalvoordeintegriteitvaninformatie.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieonjuist,onvolledigisofnietactueelis.
• Vertrouwelijkheid:debevoegdhedenenmogelijkhedenomkennistenemenvaninformatievooreengedefinieerdegroepgerechtigden.Classificatiegaatinopdemogelijkegevolgen
1 Vanuit de EU wordt naar verwachting in 2016 de Algemene Verordening Gegevensverwerking (AVG) van kracht. Tot de invoer van de AVG blijft de Wbp van kracht.
SCIPR Leidraad classificatie
7/20
wanneerinformatieinhandenkomtvanderdendiehiertoenietzijngeautoriseerd.
1.2 Doelste l l ing c lass i f i cat ieproces : c lass i f i cat ie en maatrege len
Classificatiegeefteeninschattingvandegevoeligheidenhetbelangvaninformatieomtoteenjuistematevanbeveiligingtekomen.Nietalleinformatieisevenvertrouwelijkofhoeftbijeenincidentevensnelweerbeschikbaartezijn.Hetisnietergefficiëntofgebruiksvriendelijkomniet-vertrouwelijkeinformatieopdezelfdemaniertebeschermenalsvertrouwelijkeinformatie.
InditdocumentwordteenclassificatieprocesbeschrevenwaarinnietalleenhetfeitelijkebelangvaninformatiewordtbepaaldinrelatietotdeaspectenBIV,maartevensdeimpactvaneventueleinbreukenendetekiezenrisicobeperkendemaatregelen.
Informatieclassificatiehoortinelkprojectthuiswaarinformatieeenrolspeelt,maarzalookopnieuwetoepassingenenbestaandeomgevingenmoetenwordenuitgevoerd.Zokandoorveranderendeprocessendewaardevaninformatieindeloopvandetijdveranderen.Ookhetniveauvandreigingkanveranderen.Daardoorkunnendebenodigdebeschermingsmaatregelenveranderen.
1.3 Class i f i cat ie versus R is icoanalyse
Meteenrisicoanalysekandemogelijkeschadewordengeëvalueerddieeendreigingkantoebrengenaanspecifiekeinformatie(bijv.misbruikdooroneigenlijketoegang,ongeautoriseerdetoegang)enwatdekansisdatdieschadeoptreedt.Hetmanagementdientvervolgensaantegevenwelkerisico’saanvaardbaarzijnenwelkemetmaatregelenmoetenwordenafgedekt.
Hetgebruikvanstandaardrisicoanalysehulpmiddelenisvaakeentijdrovendenabstracttraject.Deindezeleidraadvoorgesteldeclassificatiemethodiekgeefteengoedeindicatievanhetbelangvandeinformatie.Gekoppeldaandeclassificatiewordenmaatregelengeselecteerddiedekansopendeimpactvaninbreukenopdeveiligheidterugdringentoteenvoordeorganisatieacceptabelniveau.Declassificatiekangezienwordenalseenrisicoanalyseopbasisvanalgemenewaardeninplaatsvanconcreterisico’s.Erkandanookaltijdbeslotenwordenalsnogeenuitgebreiderisicoanalyseuittevoeren.
1.4 Base l ine in format iebeve i l ig ing versus C lass i f i cat ie en Maatrege len
DemeesteinstellingenhebbeneenbaselinevastgesteldvoorInformatiebeveiliging.SCIPRheeftdaartoeeenBaselineInformatiebeveiligingHO(BIHO)ontwikkeld.DeBIHObeschrijftbasismaatregelendieelkeinstellingaltijdzoumoetenimplementeren.Ditzijnalgemenemaatregelen,zoalshetvaststellenvanIB-beleid,plusmaatregelendieterelaterenzijnaandeclassificatieaspectenbeschikbaarheid,integriteitenvertrouwelijkheid.
DemaatregelenindeBIHOzijngeneriekenhebbendanookeenrelatiefhoogabstractieniveau.Tenbehoevevaninformatieclassificatieisereensetoperationelemaatregelenbenodigd,passendbijdeniveausLaag,MiddenenHoogvoorbeschikbaarheid,integriteitenvertrouwelijkheid.Hetverdientaanbevelingeenbasissetoperationelemaatregelenspecifiekvoordeeigeninstellingoptebouwen.DepraktijkheeftuitgewezendatdesetorganisatiespecifiekisendaardoorvooralsnognietalsoperationelebaselinevanuitSCIPRaangebodenkanworden.Terinspiratiekanvoortgebouwdwordenopdevoorbeeldmaatregelendieinhetclassificatieformulierzijnopgenomen.
SCIPR Leidraad classificatie
8/20
UitdeBIVclassificatievolgtwelkeoperationelemaatregelengeïmplementeerdmoetenworden.Inhetclassificatierapportwordtvanaldezemaatregelenaangegevenofenhoedezegeïmplementeerdzijn/wordenconformhetprincipe“pastoeofleguit”.
NB: Aanbevolenwordtomvoordeinstellingeen“defaultclassificatieniveau”vasttestellenwatovereenkomtmetdebaselineeneenbalansvormttussenmaximalerisico’senminimalekosten.
EengoodpracticeisB=Midden,I=MiddenenV=Hoog(BIV=MMH).HierdoorwordengeenheelduremaatregelengenomenvoorBenI,terwijlvoorVertrouwelijkheid(privacy)zoweinigmogelijkrisico’swordengenomen.OnderliggendegedachteisdatopdezemaniervoldaankanwordenaandenationaleenEuropeseregelgevingalsdeEuropeseDPA,Wbp,wetMeldplichtDatalekken(vertrouwelijkheid)endeinformatie-eigenarenuitgedaagdwordenomeenclassificatieuittevoeren.
Trendisdatsteedsmeerdataopenbeschikbaarwordt.Daarwaardathetgevalis,wordthetvertrouwelijkheidsniveauvanleermaterialenenonderzoekgegevenslaag.
InbijlageIViseenvoorstelvoorclassificatievooreenserieveelvoorkomendegegevensobjectenopgenomen.DaarwaardeHORAeenclassificatievoorgesteldheeftisdezeovergenomen,deontbrekendezijninhetkadervandezeleidraaddoordekerngroeptoegevoegd.
1.5 Bronnen
De volgende bronnen zijn gebruikt:
Referentienaam Versie AuteurModelbeveiligingsbeleiduithetFrameworkInformatiebeveiligingHogerOnderwijs
2.0 SURFibo
HogerOnderwijsReferentieArchitectuur(HORA) WerkgroepArchitectuurSurfIBOleidraadclassificatiedefinitief,juli2010 1.0 SURFiboFontysWerkwijzeClassificatieenrisico-analyse 1.2 LilianMaasTemplateClassificatiesysteemWindesheim 2.0 AnitaPolderdijk-RijntjesClassificatie-richtlijnen-UM 1.2 BartvandenHeuvelWikipedia,verschillendedefinities 10-2015 GemeenschapRichtsnoer“Beveiligingvanpersoonsgegevens” 02-2013 CBP
SCIPR Leidraad classificatie
9/20
2 Class i f i ceren van in format ie
Dithoofdstukbeschrijftuitgangspunten,verantwoordelijkheden,niveaus
2.1 Uitgangspunten
§ Allegegevens,applicaties,processenensystemenhebbeneeneigenaar.§ De(gemandateerd)eigenaarbepaaltdeclassificatie(hetvereistebeschermingsniveau)enwelke
restrisico’saanvaardbaarzijn.§ DeCISO,inafstemmingmetgebruikersorganisatieenICT,bepaaltwatbijhet
beschermingsniveaupassendebeveiligingsmaatregelenzijn.§ Bijdeverwerkingvaninformatiekanhetclassificatieniveauvanhetproces/systeemwaarin
bepaaldeinformatiegebruiktwordtandersuitvallendanpuuropbasisvandeclassificatievandeinformatieverwachtzouworden.
§ Erwordtgestreefdnaareenverantwoord,maarzo'laag'mogelijkclassificatieniveau;overbodighogeclassificatieleidttotonnodigedrempelsenkosten.
§ DeCISObeheerthetregistervanalleclassificatierapporteneninitieertdeperiodiekereviewdoordeeigenaar.
2.2 Verantwoordel i jkhedenen Werkwi jze C lass i f i cat ie
Deeigenaarheeftdeeindverantwoordelijkheidvoordeuitvoeringenhetresultaatvandeclassificatie.Deeigenaarbeslistover(wijzigingenin)functionaliteit,voertopbasisdaarvandeinformatieclassificatieuitendraagtdekostendieverbandhoudenmetinformatiebeveiliging.Deeigenaarisverantwoordelijkvoordeimplementatieenopvolgingvandeafgesprokenbeveiligingsmaatregelen.
HetCIOOffice/deCISOisverantwoordelijkvoorbeleid,kadersenrichtlijnenophetgebiedvaninformatiemanagementeninformatiebeveiliging,bepaaltdemethodevandeinformatieclassificatieenrisicoanalyseenleverteenbijdrageaanhetbepalenvandeinformatieclassificatieinoverlegmetdefunctioneeleigenarenvandeinformatieen/ofIT-voorziening.
Declassificatiezalingroepsverbandwordenuitgevoerdmeteenaantalbetrokkenen,minimaaldeeigenaar,CISOeneenfunctioneelbeheerder.Ditzorgtvooreenlerendeffect,geeftcommitmentbinnendegroep,zorgtvoorsamenwerkenenvooralvooreengoedgewogengemiddelde.
DeCISOsteltvervolgensmaatregelenvoorinoverlegmetbetrokkenen(iniedergevalfunctioneelbeheer,somsookde(interne/externe)ICT-leverancierinverbandmetdetechnischemogelijkheden.
DeBIV-scores,deingevuldevragenlijsten,eensamenvatting,deafsprakenovertenemenmaatregeleneneeneventueelvastgesteldrestrisicowordendoordeCISOverwerktineenclassificatierapportdatuiteindelijkdoordeeigenaarformeelwordtvastgesteld.Inhetkadervanreproduceerbaarheidenvoorbijvoorbeeldauditsofomvergelijkingentekunnenmakenbijtoekomstigeher-classificaties,wordendezeclassificatierapportengearchiveerddoordeCISO.
SCIPR Leidraad classificatie
10/20
2.3 Class i f i cat ie -n iveaus
DeonderscheidenniveausvoordeaspectenB,IenVzijnverdeeldindriecategorieën:laag,midden,hoog.Onderstaandetabelgeefteenindicatievandebetekenisvandezecategorieën.
categorie schade beschikbaarheid2 integriteit vertrouwelijkheid
laag Inbreukopbeveiligingbijdezeclassificatiekanenige(in)directeschadetoebrengen.
algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1weekbrengtgeenmerkbare(meetbare)schadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten
hetbedrijfsprocesstaatenkeleintegriteitsfoutentoe.
informatiedietoegankelijkmagofmoetzijnvooralleofgrotegroepenmedewerkersofstudenten.Vertrouwelijkheidisgering.
Daarwaarinformatieopenbaaris,isinzagegeenissue,beheer(tenbehoevevandeintegriteit)wel.
midden Inbreukopbeveiligingbijdezeclassificatiekanserieuzeschadetoebrengen.
algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1dagbrengtmerkbareschadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten
hetbedrijfsprocesstaatzeerweinigintegriteitsfoutentoe.Beschermingvanintegriteitisabsoluutnoodzakelijk.
informatiediealleentoegankelijkmagzijnvooreenbeperktegroepgebruikers.Deinformatieisvertrouwelijk.
hoog Inbreukopbeveiligingbijdezeclassificatiekanzeergroteschadetoebrengen.
algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1uurbrengtmerkbareschadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten
hetbedrijfsprocesstaatgeenintegriteitsfoutentoe.
ditbetreftzeervertrouwelijkeinformatie,alleenbedoeldvoorspecifiekbenoemdepersonen,waarbijonbedoeldbekendwordenbuitendezegroepgroteschadekantoebrengen.
2 Definities uit het Model informatiebeveiliging SCIPR (voorheen SURFibo)
SCIPR Leidraad classificatie
11/20
3 Het c lass i f i cat ieproces
HetprocesvanclassificatieverlooptininteractietussendeeigenaarvandeinformatieendeCISO.Deeigenaardeeltdiensinschattingvanhetbelangendebedrijfsrisico’smetdeCISO,waarnagezamenlijkconclusieswordengetrokkenenpassendemaatregelenwordengeselecteerd.Declassificatiemaaktinveelgevalleneentijdrovendeenabstracterisicoanalyseoverbodig.
3.1 Defasen in het c lass i f i cat ieproces
Dedriehoofdfasenvandeclassificatiezijnalsvolgt:
1. Inventarisatie
Deinformatieclassificatiestartmetvaststellenomwelkegegevensobjectenhetgaat,welkbedrijfsproces(sen),informatiesysteemenwelkewet-enregelgevingmogelijkeeisensteltaanhetgebruik,distributieenopslag.DenkbijvoorbeeldaanbewaartermijnenendeWetbeschermingpersoonsgegevens(Wbp).Vandeinformatie-elementenwordteeneersteclassificatievandeBIVaspectenvastgesteld.DevragenlijstInventarisatieishiervoorbedoeld.DezevragenlijstisbijdezeleidraadopgenomeninheteerstetabbladvanhetseparateExcelbestand.VanhetExcelbestandkunnendevragenindiengewenstovergezetwordennaarWordofeentoolvoorbeheervanvragenlijsten.
2. ImpactassessmentenniveaubepalingAansluitendopdeinventarisatiewordtbepaaldhoegrootdekansopendeimpactvaninbreukenisopdeBIVaspecten.Dezeinschattingleidttotdeeindclassificatievoorbeschikbaarheid,integriteitenvertrouwelijkheid.Dezeeindklasseisrichtinggevendvoordebijpassendemaatregelen.Demaatregelenzijndoordeinstellingvoorafineendeoperationelemaatregelensetopgenomen.Eenvoorbeeldsetmetmaatregelenisinhetclassificatieformulieropgenomen.Hetclassificatieformulierisdaardoorbedoeldvoordeimpact-enniveaubepalingpluseersteselectievanmaatregelen.
3. BeoordelenmaatregelenIndezestapwordtgekekenofdehiervoorvastgesteldemaatregelenvolstaan,dezereedszijngeïmplementeerd,ofdateraanvullendeactiesnodigzijnc.q.ofbepaalderestrisico’sacceptabelzijn.Hetmodelclassificatierapportisbedoeldvoordebeoordelingsfase.
Vertaaldnaarstappeninhetproceszijndit:
1. Deeigenaarofgedelegeerd(functioneel)beheerdervultvragenlijstenin2. DeCISObestudeertdevragenlijstenenvormtzicheenmening3. EigenaarenCISObesprekendevragenlijstenenbepalendeeindscorevandeBIV-classificatie4. DetetreffenmaatregelenwordenovergenomenuitdeoperationeleBIV-maatregelenset.5. EigenaarenCISOgaannaofdeovergenomenmaatregelenvolstaan,waarafwijkingen
mogelijkofnoodzakelijkzijnenwelkerestrisico’sacceptabelzijn.6. CISOstelteenclassificatierapportmeteindadviesopdatdooreigenaarwordtvastgesteld.
1.Inventarisatie2.Impact
assessmentenniveaubepaling
3.Maatregel-beoordeling
SCIPR Leidraad classificatie
12/20
DeafstemmingtusseneigenaarenCISOzalsomsgaanoverdejuistheidvanhetgeconcludeerdeniveau.Moetdebeschikbaarheiddaadwerkelijkzohoogzijn?Ishetverzamelenvandezeinformatiedaadwerkelijknodig,ofkanvolstaanwordenmetmindervertrouwelijkegegevens-ofverzamelingsvorm?Somsgaathetoverkosten,denoodzaakvanmaatregelenenmogelijkealternatieven.Aanvullendemaatregelenmetbetrekkingtotbeschikbaarheidkunnenmisschienookinhetteondersteunenprocesgenomenworden,waardooruitvalvaneensysteemminderimpactheeft.Aanvullendemaatregelenzoalsencryptieofanonimiserenkunnenhetrisicometbetrekkingtotvertrouwelijkeinformatiebeperken.Inzulkegevallenkunnenminderzwaremaatregelenopsysteemniveaumogelijkvoldoendezijn.Inhetuiteindelijkeadvieskomenalleoverwegingenenconclusiessamen.
3.2 Kerne igenschappenper processtap
Deonderstaandetabelzetdeprocesstappenachterelkaarengeeftperprocesstapdebelangrijkstekenmerkenweer.
SchemametkenmerkenperprocesstapgeïnspireerdopdepresentatievandeIBDbijVNGdd6oktober2014
Toelichtingbijbuitenscope:Alsdeclassificatievandebeschikbaarheid,integriteitofvertrouwelijkheidopHooguitkomtenhet
It
WERKWIJZE
SETTING
TOOLS
RESULTAAT
UREN INDICATIEF
STAP
Gesprekoverhetassessment
EigenaarenCISO
Classificatieformulier
EindclassificatieBIVbepaald
2uurCISO,1uurperoverigedeelnemer
2.Impactenniveau bepaling
Invullenvragenlijsten
Eigenaaroffunctioneelbeheerder
Vragenlijsten
Basisinzichtineisenencontext
2uurperinvuller
1.Inventarisatie
Workshopoverstandaard
maatregelen
CISOmeteigenaar
Samenvattingclassificatie-rapport
MaatregelenpassendbijBIV-
niveau
1,5uurperdeelnemer
3.Maatregelbeoordeling
Verzameleninformatie,inschattenrisico’senselecteren
VerantwoordelijkemetFG,security
en/ofprivacyofficer
ModelPIA SURF/SCIPR
Gedetailleerdinzichtinrisico’senmaatregelen
8uur
PIA
Deskresearchenworkshop(s)
Eigenaar,beheerder,key
users
Extern(Internet)
Gedetailleerdinzichtinrisico’senmaatregelen
16uur
Risicoanalyse
Kenmerk Scopeleidraadclassificatie Buitenscope
SCIPR Leidraad classificatie
13/20
assessmentnietleidttotvertrouwenindejuistheidvandegekozensetmaatregelen,wordthetuitvoerenvaneenrisicoanalysegeadviseerd.
Alsuithetinvullenvandeinventariserendevragenlijstblijktdatpersoonsgegevensverwerktworden,danis[volgensrichtsnoerhetCBP]eenrisicoanalyseverplichtendaarvooriseenPIAhetaanbevoleninstrument.Artikel13vandeWbpvereistbijdebeveiligingvanpersoonsgegeveneenrisicogerichtebenadering3.DePIAkanaanleidinggeventoteenhoge(re)classificatieophetaspectvertrouwelijkheideneventueelooktotaanvullendespecifiekemaatregelen,zekeralséénofmeervandevolgendesituatiesgelden:
§ gegevensbetreffenkwetsbaregroepenindesamenleving(bejaarden,kinderen,patiënten,..);§ gegevensbetreffengrotegroepenpersonen;§ deveiligheidvanbetrokkenloopt(ernstig)gevaaralspersoonsgegevensuitlekkenofonterecht
wordenverwerkt;§ uitlekkenvandepersoonsgegevenskantotidentiteitsfraudeleidenmetgrotepersoonlijkeof
organisatorischeschadetotgevolg(financieel,imago);§ uitlekkenofonterechtverwerkenkanbijbetrokkenenernstigefysiekeen/ofgeestelijkeschade
veroorzaken.
Somsishetwenselijkinvroegstadiumvaneenbusinesscaseofprojectinitiatieeeneerst,globaalbeeldvandeinformatie-elementenencontextteverkrijgen.Indiesituatiekandeinventariserendevragenlijstingezetworden.
3 Pagina 17 CBP richtsnoer “Beveiliging van persoonsgegevens”, februari 2013.
SCIPR Leidraad classificatie
14/20
Bi j lage I : Schadecategor ieën
Somsisbijhetbesprekenvandevragenlijstenhetbepalenvandeimpactonderbuikgevoel.Onderstaandetabelpoogtenigeobjectiviteitintebrengen.Degevolgschadetabelprobeertvervolgensaantegevenwordenhoesterkopmaatregeleningezetmoetworden.Deaanduidingenzijnindicatiefenookdefrequentiewaarmeegebeurtenissenplaatsvindenspeleneenrol.
Schadecategorieën
Gevolgschade financieel imago onderwijs certificatie
klein
Directeschadeligttussen0en€50.000
Eenkleinaantalnegatieveberichteninlokalemedia(inclusiefsocialemedia)
Hooguitverstoringvaneenbeperktaantalactiviteitenopeeninstituutofvakgroep.
Geeninvloedoponderwijscertificatie
middel
Directeschadetussen€50.000en€250.000
Negatieveberichtgevingindemediagedurendeeenpaardagen(inclusiefsocialemedia)
Verstoringvaneendeelvanhetonderwijs(zoalseendeelvaninstituutofvakgroep)
Extratoezichtoponderwijscertificatie
groot
Directeschadetussen€250.000en€1.500.000
Aanhoudendenegatieveberichtgevingindelokalemedia(inclusiefsocialemedia)
Verstoringvaneengrootdeelvanhetonderwijsopeenofmeerinstituten.
Beperkingvanonderwijscertificatie
catastrofaal
Directeschadeisgroterdan€1.500.000
Aanhoudendenegatieveberichtgevingindelandelijkemedia(inclusiefsocialemedia)
Merendeelvanhetonderwijswordtonmogelijkopeenofmeerinstituten
Verliesvanonderwijscertificatie
Gevolgschade B,IofVclassificatieKlein L(laag)Middel M(midden)Groot MofH(hoog)Catastrofaal Hgrotehoeveelhedenofcontinuïteitingevaar
Risico GevolgschadeKansopinbreuk
klein middel groot catastrofaal
dagelijks maandelijks jaarlijks zelden
RisicovaltonderBusinessContinuityManagement
ontoelaatbaarrisico bespreekbaarrisico acceptabelrisico
SCIPR Leidraad classificatie
15/20
Bi j lage I I : Template Samenvatt ing c lass i f i cat ierapport
Algemeen Functioneeleigenaar Dienst..Functie Telefoonnummer Laatstedatuminvullen Teclassificerenonderwerp
Informatie o.a.Studentgegevens,…4Risico’s <algemenebeschrijvingrisico’s> Classificatieenrisicoanalyse Beschikbaarheid Integriteit Vertrouwelijkheid Geadviseerdbeveiligingsniveau Eindadvies XvoldoetindehuidigeconstructieWEL/NIETaanhet
modelvaninformatieclassificatie,indienvoldaanwordtaandeonderstaandeacties
Acties A.B.C.
Isereenmotivatieomaftewijkenvandeconclusie(doordefunctioneeleigenaar)?Ja/NeeIndienereenafwijkingis:
- Geefdeafwijking,eventueeltegenmaatregelenhetrestrisicoaan- Ishetrestrisicoacceptabel?Ja/Nee
Aldusopgemaaktd.d.: Naamfunctioneeleigenaar:
4 Bij voorkeur wordt in het volledige rapport een compleet overzicht geleverd van alle gegevens- en bedrijfsobjecten
SCIPR Leidraad classificatie
16/20
Bi j lage I I I : Voorbeeld vragenl i j s t “ Inventar iserend”
Eigenaarschap
Naamverantwoordelijkedienst/opleiding
DienstOnderwijsondersteuning
Naamhoofd/leidinggevende JolandaPeters
Functie DirecteurOnderwijsondersteuning
Contactgegevens j.peters@instelling.nl
Invuldatum 1oktober2015
Inleiding
NaamsaanduidingprocesNaamenkorteomschrijvingvanhetproces
Beherenstudieresultaten
FunctioneledoelenWatdientmethetprocesbereiktteworden;welkedeelprocessenbevathetproces?
§ Bewakenstudievoortgang§ Coachingstudenten§ Diplomeren/Certificeren
TypenwerkplekkenWaarwordendewerkzaamhedeninditprocesuitgevoerd?Metanderewoorden:voorwelketypenwerkplekkenisraadplegingen/ofmutatievangegevensbedoeld?Vermeldhierdemogelijkhedenvoorkantoor,thuisviainternetenmobiel
§ Kantoor(doorinstellingbeheerdewerkplek)§ Onderweg(BOYDeninstellingslaptop)§ Thuis(privéPC,laptop)
KetenverbindingenWordeninditprocesgegevensverzamelddiehergebruiktwordeninandereprocessen,enomwelkegegevensgaathetdan?Vermeldindienrelevantookdeontvangendesysteem-oftoepassingsnamenendenaamvandeeigenaar/eigenarendaarvan.
§ Studentgegevensvanuitinschrijfproces§ StudentenengroepennaarELO§ AfgestudeerdennaarexamenregisterenCRM§ ContactgegevensnaarSMSserver
Aanduidinggegevens
Welkegegevenstypenwordenvastgelegd?Denkaanteksten,tabellen,plaatjese.d.
Gestructureerdegegevensalscontactgegevens,teksten(verslagen,rapporten,werkstukken),studieresultaten(beoordelingen).
SCIPR Leidraad classificatie
17/20
Welkegegevenselementenwordenvastgelegd?Denkaanmeetresultaten,personalia,locaties,financiëne.d.Benoemnadrukkelijkgegevensdieconcurrentie-offraudegevoeligzijn,eninformatiediedirectofindirectherleidbaarisnaarnatuurlijkepersonen.
GegevenselementHORAOpleidingMinorOnderwijsprogrammaOnderwijseenheiduitvoeringOnderwijseenheiddeelnameExamenprogrammaToetsresultaatOnderwijseenheidresultaatOnderwijsovereenkomstDeelnemerWaardedocumentLesgroepLeergroepCompetentieOnderwijsactiviteitDeelnemeractiviteit
BIV-codeMHLMHLMHLMHLMMLMHLLHMLHMLMLMHHLHLMMLLMLLLLMMLMMH
Wordenprivacygevoeligegegevensvastgelegd?AlsgegevensopgeslagenofverwerktwelkeherleidbaarzijntotnatuurlijkepersonendaniseenuitvoerenvaneenPIAverplicht.
Ja.Naarpersoonteherleidenstudieresultaten(deelcijfersencijfers).Ookverslagenvanstudiebegeleidersensamenvattingvanpsychologischegesprekkenentests.
MutatiebevoegdhedenHoeveelpersonenkrijgenrechtenomdegegevenstemuteren?Maakhierbijonderscheid:autorisatievangebruikers,mutatievansysteemtabellen,invoervantransactiese.d.Vermeldookderechtenvan(externe)consultantsbijuitbreidingofonderhoud.
§ Beheerders(6):onderhoudreferentietabellen
§ Backoffice(14):onderhoudenopleidingsspecifiekeinformatie§ Cijfersadminstratie(3):invoeren/corrigerenresultatenvoortoegewezen
faculteiten§ Docenten(600):vastleggenresultaten§ Studiebegeleiders(6):gespreksverslagen,voorzieningenvoor
toegewezenstudenten§ Studenten(6000):Eigengegevensonderhouden
RaadpleegbevoegdhedenHoeveelpersonenkrijgenrechtenomdegegevensintezien?Maakhierbijonderscheid:algemeneraadpleegfuncties,persoonlijkegegevensvanalleendegebruikerzelfe.d.
§ Backoffice:volggegevensvoorallefaculteiten§ Docenten/Studenten:eigenpersoonlijkegegevens§ Studiebegeleiders:begeleidingsgegevensallestudent
BewaartermijnenHoelangwordengegevensbewaard(nadatzebedrijfsmatigzijnafgehandeld)?Denkhierbijaanafgegevendiploma’s,promoties,pensioengegevensenzovoorts.Specificeerdetermijnen,bijvoorbeeldnaeenjaarafsluitingofnadiploma-uitreikingofpensionering.
Gegeven PeriodeStudenteneersteinschrijving 2jaarnauitschrijving
Studenteninschrijvingcollegejaar 7jaarnainschrijving
Numerusfixus 7jaarnaaanpassing
Buitenlandsestudententoelating 5jaarnainschrijving
Studievoortgangbewaking 1jaarna
accountantscontrole
Studentenfinanciëleondersteuning 7jaarnaverstrekking
Studentenbijzonderevoorziening 7jaarnainschrijving
Studentenschorsing 10jaarnaontzegging
Studentenweigeringverwijdering 5jaarnaweigeringof
verwijdering
Studentenuitschrijving 5jaarnauitschrijving
SCIPR Leidraad classificatie
18/20
Verklaringbehaaldetentamens 1jaarnauitgifte
ArchiveringIshetdebedoelingdathistorischegegevensvastgelegddanwelperiodiekweggeschrevennaaranderemedia?Bedoeldishiereeninterneen/ofexternearchiveringsfunctieenderegelmaatwaarmeeditgebeurt.
Bovenstaandegegevensmetbewaartermijn“Bewaren”worden1jaarnaafrondenstudieovergebrachtnaarhetstatischearchief.
Toepassingen
WelkeITtoepassing(en)wordeningezetterondersteuningvanhetproces?Vermeldhierookeventuelealternatieven(pakket,systeem,netwerkcomponente.d.).
PeoplesoftCampusSolutions
SCIPR Leidraad classificatie
19/20
Bi j lage IV : C lass i f i cat ievoorste l vee l voorkomendegegevensobjecten
Ter indicatie bevat onderstaande tabel voor 25 veel voorkomende gegevensobjecten een voorstel voor de BIV classificatieniveaus.
Nr. Dataover KomtvolgensHORAvoorinapplicaties VoorstelBIV
1. Alumni Komtvooralsverwerkingvaninstellingzelfenookbijalumniverenigingen.
MHM
2. Betaaltransacties Betaalsystemen MMM3. Beelden
cameratoezichtOnderwijsFacilitairsysteem
HMH
4. Leden Ledenadministraties MMM5. Toetsen Onderwijs HHH6. Gediplomeerden Examenregister LHM7. Debiteurenen
crediteurenFinancieelsysteem MMM
8. Leners BibliotheeksysteemVertrouwelijkheidhoogindiendebetaal-enleenhistoriewordtbewaard.
LHM/LHH
9. ICTgebruikers Applicatieplatform:Identitymanagementsysteem HHM10. Leveranciers Bedrijfsvoering:Inkoopsysteem LML11. Configuraties Bedrijfsvoering:ITmanagementsysteem LMH12. Kiesgerechtigden NietalszodaniginHORAaanwezig.
Goedvoorbeeldvanniet-bronsysteem:bevatinformatieuitanderebronsystemen.
MHM
13. Academischestaf Samenwerkingssysteem:Nevenwerkopenbaarregister(conformgedragscodeNSVU)
LHL
14. Onderzoeks-projecten
Onderzoeksgegevensbeheersysteem LHM
15. Medewerkers Personeelssysteem MHH16. Relaties Bedrijfsvoering MHH17. Roosters Onderwijsondersteuning HML18. Salarissen Salarisverwerkingssysteem MHH19. Sollicitanten AlsMedewerkers MHH20. Studenten Studenteninformatiesysteem
DocumentManagementSysteemEmailStageenafstudeersystem
MHH
21. Ruimtenengebruikers
Facilitairsysteem:Toegangenbeheersysteem MMM
22. Webcontent Generiek MMH23. Kengetallen ManagementInformatieSysteem
Indienanoniem,danLMLofLHLalszedebasisvormenvanLMLLHH
SCIPR Leidraad classificatie
20/20
Nr. Dataover KomtvolgensHORAvoorinapplicaties VoorstelBIV
grotebedrijfsbeslissingen.IndiennietanoniemdandevertrouwelijkheidHoog.
24. Cursussen,deelnemers
Digitaleleeromgeving MMM
25. Mailberichten,mailadressen
E-mailsysteem HHH
top related