Leidraad classificatie SCIPR

Moreelsepark 48 3511 EP Utrecht

Postbus 19035 3501 DA Utrecht

088 - 787 30 00 [email protected] www.surfnet.nl

ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01

LeidraadclassificatieToelichtingeninvulinstructiebijgebruikvanhetclassificatieformulier

Auteur(s): MartinRomijn

Versie: 2.0

Datum: 18november2015

SCIPR Leidraad Classificatie

For this publication is the Creative Commons licence “Attribution 3.0 Unported”.. More information on the licence is to be found on http://creativecommons.org/licenses/by/3.0/

2

ColofonSCIPRLeidraadClassificatieSURFPOBox19035,3501DAUtrechtT+3188-7873000info@surf.nlwww.surf.nlAuteurMartinRomijnKerngroepAnitaPolderdijk-Rijntjes WindesheimBartvandenHeuvel UniversiteitMaastrichtMennoNonhevel KNAW-KoninklijkeNederlandseAkademievanWetenschappenAlfMoens SURFnetMeelezersDubravkaMarovic,LilianMaasFontys CorporateInformationSecurityOfficerEdgarvanGorkum Stenden WimKoolhoven UniversiteitTwente NickvanderLaan NWO JeanPopma RadboudUniversiteit ElmaMiddel Hanzehogeschool FreerkBosscha HogeschoolNHL PeterTimmermans OpenUniversiteit HansvanderWal Saxion RaoulVernede WageningenUniversiteit HaicoBianchi HogeschoolLeiden RonaldBoontje UniversiteitvanAmsterdam InformationSecurityManagerReneRitzen UniversiteitUtrecht CorporateInformationSecurityOfficerJelmarBoorsma VrijeUniversiteit InformationSecurityOfficerEindredactieGezamenlijkproductvandeSCIPRenSURFnetSURFisdeICT-samenwerkingsorganisatievanhethogeronderwijsenonderzoek(www.surf.nl).DezepublicatieisdigitaalbeschikbaarviadewebsitevanSURFnet(https://www.surf.nl/themas/digitale-rechten/privacy/index.html)

Leidraad classificatie

Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl

Inhoud

Woord vooraf / leeswijzer ..................................................................................................................... 4

1. Inleiding ........................................................................................................................................... 6

1.1 Classificatie-aspecten: BIV ...................................................................................................... 6

1.2 Doelstelling classificatieproces: classificatie en maatregelen .................................................. 7

1.3 Classificatie versus Risicoanalyse ........................................................................................... 7

1.4 Baseline informatiebeveiliging versus Classificatie en Maatregelen ........................................ 7

1.5 Bronnen .................................................................................................................................... 8

2 Classificeren van informatie .......................................................................................................... 9

2.1 Uitgangspunten ........................................................................................................................ 9

2.2 Verantwoordelijkheden en Werkwijze Classificatie .................................................................. 9

2.3 Classificatie-niveaus .............................................................................................................. 10

3 Het classificatieproces ................................................................................................................. 11

3.1 De fasen in het classificatieproces ......................................................................................... 11

3.2 Kerneigenschappen per processtap ...................................................................................... 12

Bijlage I: Schadecategorieën ............................................................................................................. 14

Bijlage II: Template Samenvatting classificatierapport ................................................................... 15

Bijlage III: Voorbeeld vragenlijst “Inventariserend” ........................................................................ 16

Bijlage IV: Classificatievoorstel veel voorkomende gegevensobjecten ........................................ 19

SCIPR Leidraad classificatie

4/20

Woordvooraf / leeswi jzer

InditdocumentsteltSCIPR(deSURFCommunityvoorInformatiebeveiligingenPrivacy)deleidraadclassificatievoor.Dezevoorgesteldeleidraadbeschrijfteengoodpracticevoorhetclassificerenvaninformatie.Deleidraadbevathandvattenomeeninstellingseigenclassificatierichtlijnteontwikkelenofteverbeterenendezeteimplementeren.Webevelenaandeleidraadomtezettenineeninterneclassificatierichtlijn.Daarinkunnendespecifiekerollenenfunctionarissenzoalsdeinstellingdienoemt,wordengebruikt.Detekstindezeleidraadgaatnamelijkuitvaneengoodpracticeorganisatiestructuur.DatbetekentconcreetdaterwordtaangenomendatereenCISO-rolisingevuld(mogelijkonderdeelvaneencentraalCIO-office)endatdeeigenarenvanprocessenbenoemdzijn.VerderwordtaangenomendatdeFG-rol(FunctionarisGegevensbescherming)ingevuldis,ofeenPrivacyOfficerisaangesteld.Bijdeomzettingnaareeneigenrichtlijnkandezezodaniggeformuleerdwordenzodatdezepastbijdeeigeninternecultuurengovernancestructuur.

Indeleidraadisgekozenvoorhetclassificerenvaninformatieindecontextvanhetproceswaarindezeinformatiegebruiktwordt.Demethodiekistevenstoepasbaarvoorinformatieindecontextvaneenapplicatieofsysteem,doorindetekst“proces”telezenals“applicatie”of“systeem”.Zowelinapplicaties,systemenenprocessenwordtimmerseensetgegevensobjectenverwerkt.Metenigeeigeninterpretatieisdezeleidraaddaninzetbaarvoorhetclassificerenvaneenapplicatie.

UithetclassificerenvaneengegevensobjectinmeerderecontextenkanblijkendatdeBIV-codepercontextverschilt.Eengegevensobjectkanimmersinverschillendeprocessen,metverschillendeeisen,voorkomen.Voorbeeld:debeschikbaarheidseisvaneene-mailadresbijeenacuteroosterwijzigingishoog,eendigitalenieuwsbriefkangerusteendaglaterverstuurdworden.

Eenaanvullendaspectdatvoorzowelbeschikbaarheid,integriteitenvertrouwelijkheidvanbelangis,iscontroleerbaarheid.Nietalleen“weten”ofietsinordeis,maardatookachterafkunnen“verifiëren”.

InNederlandzijnenkelemethodenvanclassificereningebruik.Indezeleidraadisgebruikgemaaktvaneendirectemethode.Dezeiseenvoudigtoetepassenenvoldoendeadequaat.VraagindiengewenstdecollegaCISO’sofSCIPRcontactpersonennaaralternatieven.

Gebruiktetermen

Term BetekenisBedrijfsobject Eenbedrijfsobjectiseenpassiefelementdatvanuitbedrijfsperspectief

relevantieheeft[HORA].Derelevantebedrijfsobjectenindezeleidraadzijngegevensobjecten.Voorbeeldenvanbedrijfsobjectenindecontextvandezeleidraadzijnalumnus,begrotingencontact.

Beheerder Eenpersoondieeensysteem(aldannietberoepsmatig)regeltenonderhoudt[Wikipedia].Indezeleidraadkanhetbeherenbetrekkinghebbenopinformatie,applicaties,databasesensystemeninderolvanfunctioneel,technischen/ofapplicatiebeheerder.Ookinformatiekaneenbeheerderhebben.

BIA BusinessImpactAnalyseEenBIAwordtinhetkadervanhetBusinessContinuityManagement(BCM)gebruiktomdekritiekeprocessenvandenietkritiekeprocessentescheiden[Wikipedia].


5/20

BIV-classificatie EenBIV-classificatieofBIV-indelingiseenindelingwaarbijbeschikbaarheid,(continuïteit),integriteit(betrouwbaarheid)envertrouwelijkheid(exclusiviteit)vaninformatieensystemenwordtaangegeven[Wikipedia].

Beschikbaarheid Informatiemoetbeschikbaarentoegankelijkzijn.Classificatiegaatinopdemogelijkegevolgenalsinformatie,ofeeninformatieset,nietbeschikbaaris.

Controleerbaarheid Dematewaarinhetmogelijkisomachterafparametersdievanbelangzijnvoorbeschikbaarheid,integriteitofvertrouwelijkheidteverifiëren.Zulkeparameterszijnbijvoorbeelddowntime,toegangentransacties[ModelbeveiligingsbeleiduithetFrameworkInformatiebeveiligingHogerOnderwijs,SCIPR,mei2015].

Data Data,ofwelgegevens,zijnobjectievefeiten,tekstenengetallenwaaraannoggeenbetekenisisgekoppeld.

Eigenaar Deafdeling/dienst/persoonofroldieovereenzaak(stukgrond,voorwerp,hoeveelheidgeldenz.)naareigengoeddunkenkanbeschikken[naarWikipedia].Indezeleidraadwordtmetdeeigenaardiegenebedoelddiehetbeslisrechtovereenproces,applicatie,systeem,gegevenselementetceteraheeft.Wanneerdeformeeleigenaar(vaakhetCollegevanBestuur)hetbeschikkingsrechtoverdraagt(mandateert)sprekenwevanfunctioneelofgedelegeerdeigenaar.Eeneigenaarkanookbestaanvooreenorganisatiebreedsysteemen/ofdataineenorganisatiebreedsysteem.

Gegevens Gegevenszijndeobjectiefwaarneembareneerslagofregistratievanfeitenopeenbepaaldmedium,zodanigdatdezegegevensuitgewisseldenvoorlangeretijdbewaardkunnenworden[Wikipedia].Aandezeobjectievefeitenisnoggeenbetekenisgekoppeld.

Informatie Gegevenswordeninformatiealsdegegevenseenbetekenisofnieuwswaardehebbenvoordeontvanger.

Integriteit Hetinovereenstemmingzijnvaninformatiemetdewerkelijkheid(informatieisjuist,volledigenactueel).Goedbeheervanbevoegdhedenenmogelijkhedentotmuteren,toevoegen,ofvernietigenvangegevensvooreengedefinieerdegroepgerechtigdeniscruciaalvoordeintegriteitvaninformatie.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieonjuist,onvolledigisofnietactueelis.

PIA EenPrivacyImpactAssessment(PIA)iseentooldathelptbijhetidentificerenvanprivacyrisico’senlevertdehandvatenomdezerisico’steverkleinentoteenacceptabelniveau[ModelPrivacyImpactAssessment,werkgroepSURF-PIA].

Proces Eenbedrijfsprocesiseenordeningvanhetwerkdatuitgevoerddienttewordenineenorganisatie[Wikipedia].

Risicoanalyse Eenrisicoanalyseiseenmethodewaarbijnaderbenoemderisico'swordengekwantificeerddoorhetbepalenvandekansdateendreigingzichvoordoetendegevolgendaarvan:Risico=KansxGevolg[Wikipedia].

Vertrouwelijkheid Debevoegdhedenenmogelijkhedenomkennistenemenvaninformatievooreengedefinieerdegroepgerechtigden.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieinhandenkomtvanderdendiehiertoenietzijngeautoriseerd.


6/20

1. In le id ing

DeSurfCommunityvoorinformatiebeveiligingenprivacy(SCIPR),heeftopzichgenomendebestaandeleidraadclassificatietemoderniseren.Uitgangspuntvoordeleidraadisdatinstellingenveelalmetdezelfdedreigingentemakenhebben,hetgeenookblijktuithetrecentedoorSURFgepubliceerderapport“CyberdreigingsbeeldinhetHogerOnderwijs”.VerderzijndeprimaireprocessenbinnenhetHogerOnderwijsingrotelijnenovereenkomstig.

IedereinstellingstreeftnaareengoedebalanstussenhetoptimaalgebruikvanICT-middelenenerzijdsenhetborgenvandebeschikbaarheid,integriteitenvertrouwelijkheidvaninformatieanderzijds.Dezedoelstellingenbereikenwealleenmeteengezamenlijkeinspanningvanuiteenfunctionele,technischeenorganisatorischeinvalshoekdoorbeleidenuitvoeringaangaandeclassificatie.Classificatiedraagtbijaan:

§ eenveiligeleer-enwerkomgeving;§ eengoedimago;§ nalevingvanwetgeving,zoalsWetbeschermingpersoonsgegevens(Wbp)1.

Classificatievaninformatiehelptbij:

§ hetselecterenvanmaatregelendiegenomenmoetenwordenominformatieadequaattebeschermen,deintegriteittewaarborgenendebeschikbaarheidteoptimaliseren;

§ hetvergrotenvandealertheidvandeorganisatiemetbetrekkingtotdewaardevaninformatieenbeveiligingsrisico’s.

Informatiebetekentinditverbandalledataengegevens,ongeachthetmediumwaaropdezeopgeslagenwordenenongeachtdepresentatiedaarvan.Informatiewordtindepraktijkverwerktbinnenéénofmeerderebedrijfsprocessenenopéénofmeersystemen/applicaties.Dezecontextwordtdanookbijdeclassificatiebetrokken.Gekozenisvoorhetbegrip“classificatievaninformatie”,inlijnmetdenaamvanhetvakgebied:“informatiebeveiliging”.

1.1 Class i f i cat ie -aspecten: B IV

HetbeschermingsniveauvaninformatiewordtuitgedruktinclassificatieniveausvoorBeschikbaarheid,IntegriteitenVertrouwelijkheid(BIV).

• Beschikbaarheid:informatiemoetbeschikbaarentoegankelijkzijn.Classificatiegaatinopdemogelijkegevolgenalsinformatie,ofeeninformatieset,nietbeschikbaaris.

• Integriteit:hetinovereenstemmingzijnvaninformatiemetdewerkelijkheid(informatieisjuist,volledigenactueel).Goedbeheervanbevoegdhedenenmogelijkhedentotmuteren,toevoegen,ofvernietigenvangegevensvooreengedefinieerdegroepgerechtigdeniscruciaalvoordeintegriteitvaninformatie.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieonjuist,onvolledigisofnietactueelis.

• Vertrouwelijkheid:debevoegdhedenenmogelijkhedenomkennistenemenvaninformatievooreengedefinieerdegroepgerechtigden.Classificatiegaatinopdemogelijkegevolgen

1 Vanuit de EU wordt naar verwachting in 2016 de Algemene Verordening Gegevensverwerking (AVG) van kracht. Tot de invoer van de AVG blijft de Wbp van kracht.


7/20

wanneerinformatieinhandenkomtvanderdendiehiertoenietzijngeautoriseerd.

1.2 Doelste l l ing c lass i f i cat ieproces : c lass i f i cat ie en maatrege len

Classificatiegeefteeninschattingvandegevoeligheidenhetbelangvaninformatieomtoteenjuistematevanbeveiligingtekomen.Nietalleinformatieisevenvertrouwelijkofhoeftbijeenincidentevensnelweerbeschikbaartezijn.Hetisnietergefficiëntofgebruiksvriendelijkomniet-vertrouwelijkeinformatieopdezelfdemaniertebeschermenalsvertrouwelijkeinformatie.

InditdocumentwordteenclassificatieprocesbeschrevenwaarinnietalleenhetfeitelijkebelangvaninformatiewordtbepaaldinrelatietotdeaspectenBIV,maartevensdeimpactvaneventueleinbreukenendetekiezenrisicobeperkendemaatregelen.

Informatieclassificatiehoortinelkprojectthuiswaarinformatieeenrolspeelt,maarzalookopnieuwetoepassingenenbestaandeomgevingenmoetenwordenuitgevoerd.Zokandoorveranderendeprocessendewaardevaninformatieindeloopvandetijdveranderen.Ookhetniveauvandreigingkanveranderen.Daardoorkunnendebenodigdebeschermingsmaatregelenveranderen.

1.3 Class i f i cat ie versus R is icoanalyse

Meteenrisicoanalysekandemogelijkeschadewordengeëvalueerddieeendreigingkantoebrengenaanspecifiekeinformatie(bijv.misbruikdooroneigenlijketoegang,ongeautoriseerdetoegang)enwatdekansisdatdieschadeoptreedt.Hetmanagementdientvervolgensaantegevenwelkerisico’saanvaardbaarzijnenwelkemetmaatregelenmoetenwordenafgedekt.

Hetgebruikvanstandaardrisicoanalysehulpmiddelenisvaakeentijdrovendenabstracttraject.Deindezeleidraadvoorgesteldeclassificatiemethodiekgeefteengoedeindicatievanhetbelangvandeinformatie.Gekoppeldaandeclassificatiewordenmaatregelengeselecteerddiedekansopendeimpactvaninbreukenopdeveiligheidterugdringentoteenvoordeorganisatieacceptabelniveau.Declassificatiekangezienwordenalseenrisicoanalyseopbasisvanalgemenewaardeninplaatsvanconcreterisico’s.Erkandanookaltijdbeslotenwordenalsnogeenuitgebreiderisicoanalyseuittevoeren.

1.4 Base l ine in format iebeve i l ig ing versus C lass i f i cat ie en Maatrege len

DemeesteinstellingenhebbeneenbaselinevastgesteldvoorInformatiebeveiliging.SCIPRheeftdaartoeeenBaselineInformatiebeveiligingHO(BIHO)ontwikkeld.DeBIHObeschrijftbasismaatregelendieelkeinstellingaltijdzoumoetenimplementeren.Ditzijnalgemenemaatregelen,zoalshetvaststellenvanIB-beleid,plusmaatregelendieterelaterenzijnaandeclassificatieaspectenbeschikbaarheid,integriteitenvertrouwelijkheid.

DemaatregelenindeBIHOzijngeneriekenhebbendanookeenrelatiefhoogabstractieniveau.Tenbehoevevaninformatieclassificatieisereensetoperationelemaatregelenbenodigd,passendbijdeniveausLaag,MiddenenHoogvoorbeschikbaarheid,integriteitenvertrouwelijkheid.Hetverdientaanbevelingeenbasissetoperationelemaatregelenspecifiekvoordeeigeninstellingoptebouwen.DepraktijkheeftuitgewezendatdesetorganisatiespecifiekisendaardoorvooralsnognietalsoperationelebaselinevanuitSCIPRaangebodenkanworden.Terinspiratiekanvoortgebouwdwordenopdevoorbeeldmaatregelendieinhetclassificatieformulierzijnopgenomen.


8/20

UitdeBIVclassificatievolgtwelkeoperationelemaatregelengeïmplementeerdmoetenworden.Inhetclassificatierapportwordtvanaldezemaatregelenaangegevenofenhoedezegeïmplementeerdzijn/wordenconformhetprincipe“pastoeofleguit”.

NB: Aanbevolenwordtomvoordeinstellingeen“defaultclassificatieniveau”vasttestellenwatovereenkomtmetdebaselineeneenbalansvormttussenmaximalerisico’senminimalekosten.

EengoodpracticeisB=Midden,I=MiddenenV=Hoog(BIV=MMH).HierdoorwordengeenheelduremaatregelengenomenvoorBenI,terwijlvoorVertrouwelijkheid(privacy)zoweinigmogelijkrisico’swordengenomen.OnderliggendegedachteisdatopdezemaniervoldaankanwordenaandenationaleenEuropeseregelgevingalsdeEuropeseDPA,Wbp,wetMeldplichtDatalekken(vertrouwelijkheid)endeinformatie-eigenarenuitgedaagdwordenomeenclassificatieuittevoeren.

Trendisdatsteedsmeerdataopenbeschikbaarwordt.Daarwaardathetgevalis,wordthetvertrouwelijkheidsniveauvanleermaterialenenonderzoekgegevenslaag.

InbijlageIViseenvoorstelvoorclassificatievooreenserieveelvoorkomendegegevensobjectenopgenomen.DaarwaardeHORAeenclassificatievoorgesteldheeftisdezeovergenomen,deontbrekendezijninhetkadervandezeleidraaddoordekerngroeptoegevoegd.

1.5 Bronnen

De volgende bronnen zijn gebruikt:

Referentienaam Versie AuteurModelbeveiligingsbeleiduithetFrameworkInformatiebeveiligingHogerOnderwijs

2.0 SURFibo

HogerOnderwijsReferentieArchitectuur(HORA) WerkgroepArchitectuurSurfIBOleidraadclassificatiedefinitief,juli2010 1.0 SURFiboFontysWerkwijzeClassificatieenrisico-analyse 1.2 LilianMaasTemplateClassificatiesysteemWindesheim 2.0 AnitaPolderdijk-RijntjesClassificatie-richtlijnen-UM 1.2 BartvandenHeuvelWikipedia,verschillendedefinities 10-2015 GemeenschapRichtsnoer“Beveiligingvanpersoonsgegevens” 02-2013 CBP


9/20

2 Class i f i ceren van in format ie

Dithoofdstukbeschrijftuitgangspunten,verantwoordelijkheden,niveaus

2.1 Uitgangspunten

§ Allegegevens,applicaties,processenensystemenhebbeneeneigenaar.§ De(gemandateerd)eigenaarbepaaltdeclassificatie(hetvereistebeschermingsniveau)enwelke

restrisico’saanvaardbaarzijn.§ DeCISO,inafstemmingmetgebruikersorganisatieenICT,bepaaltwatbijhet

beschermingsniveaupassendebeveiligingsmaatregelenzijn.§ Bijdeverwerkingvaninformatiekanhetclassificatieniveauvanhetproces/systeemwaarin

bepaaldeinformatiegebruiktwordtandersuitvallendanpuuropbasisvandeclassificatievandeinformatieverwachtzouworden.

§ Erwordtgestreefdnaareenverantwoord,maarzo'laag'mogelijkclassificatieniveau;overbodighogeclassificatieleidttotonnodigedrempelsenkosten.

§ DeCISObeheerthetregistervanalleclassificatierapporteneninitieertdeperiodiekereviewdoordeeigenaar.

2.2 Verantwoordel i jkhedenen Werkwi jze C lass i f i cat ie

Deeigenaarheeftdeeindverantwoordelijkheidvoordeuitvoeringenhetresultaatvandeclassificatie.Deeigenaarbeslistover(wijzigingenin)functionaliteit,voertopbasisdaarvandeinformatieclassificatieuitendraagtdekostendieverbandhoudenmetinformatiebeveiliging.Deeigenaarisverantwoordelijkvoordeimplementatieenopvolgingvandeafgesprokenbeveiligingsmaatregelen.

HetCIOOffice/deCISOisverantwoordelijkvoorbeleid,kadersenrichtlijnenophetgebiedvaninformatiemanagementeninformatiebeveiliging,bepaaltdemethodevandeinformatieclassificatieenrisicoanalyseenleverteenbijdrageaanhetbepalenvandeinformatieclassificatieinoverlegmetdefunctioneeleigenarenvandeinformatieen/ofIT-voorziening.

Declassificatiezalingroepsverbandwordenuitgevoerdmeteenaantalbetrokkenen,minimaaldeeigenaar,CISOeneenfunctioneelbeheerder.Ditzorgtvooreenlerendeffect,geeftcommitmentbinnendegroep,zorgtvoorsamenwerkenenvooralvooreengoedgewogengemiddelde.

DeCISOsteltvervolgensmaatregelenvoorinoverlegmetbetrokkenen(iniedergevalfunctioneelbeheer,somsookde(interne/externe)ICT-leverancierinverbandmetdetechnischemogelijkheden.

DeBIV-scores,deingevuldevragenlijsten,eensamenvatting,deafsprakenovertenemenmaatregeleneneeneventueelvastgesteldrestrisicowordendoordeCISOverwerktineenclassificatierapportdatuiteindelijkdoordeeigenaarformeelwordtvastgesteld.Inhetkadervanreproduceerbaarheidenvoorbijvoorbeeldauditsofomvergelijkingentekunnenmakenbijtoekomstigeher-classificaties,wordendezeclassificatierapportengearchiveerddoordeCISO.


10/20

2.3 Class i f i cat ie -n iveaus

DeonderscheidenniveausvoordeaspectenB,IenVzijnverdeeldindriecategorieën:laag,midden,hoog.Onderstaandetabelgeefteenindicatievandebetekenisvandezecategorieën.

categorie schade beschikbaarheid2 integriteit vertrouwelijkheid

laag Inbreukopbeveiligingbijdezeclassificatiekanenige(in)directeschadetoebrengen.

algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1weekbrengtgeenmerkbare(meetbare)schadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten

hetbedrijfsprocesstaatenkeleintegriteitsfoutentoe.

informatiedietoegankelijkmagofmoetzijnvooralleofgrotegroepenmedewerkersofstudenten.Vertrouwelijkheidisgering.

Daarwaarinformatieopenbaaris,isinzagegeenissue,beheer(tenbehoevevandeintegriteit)wel.

midden Inbreukopbeveiligingbijdezeclassificatiekanserieuzeschadetoebrengen.

algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1dagbrengtmerkbareschadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten

hetbedrijfsprocesstaatzeerweinigintegriteitsfoutentoe.Beschermingvanintegriteitisabsoluutnoodzakelijk.

informatiediealleentoegankelijkmagzijnvooreenbeperktegroepgebruikers.Deinformatieisvertrouwelijk.

hoog Inbreukopbeveiligingbijdezeclassificatiekanzeergroteschadetoebrengen.

algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1uurbrengtmerkbareschadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten

hetbedrijfsprocesstaatgeenintegriteitsfoutentoe.

ditbetreftzeervertrouwelijkeinformatie,alleenbedoeldvoorspecifiekbenoemdepersonen,waarbijonbedoeldbekendwordenbuitendezegroepgroteschadekantoebrengen.

2 Definities uit het Model informatiebeveiliging SCIPR (voorheen SURFibo)


11/20

3 Het c lass i f i cat ieproces

HetprocesvanclassificatieverlooptininteractietussendeeigenaarvandeinformatieendeCISO.Deeigenaardeeltdiensinschattingvanhetbelangendebedrijfsrisico’smetdeCISO,waarnagezamenlijkconclusieswordengetrokkenenpassendemaatregelenwordengeselecteerd.Declassificatiemaaktinveelgevalleneentijdrovendeenabstracterisicoanalyseoverbodig.

3.1 Defasen in het c lass i f i cat ieproces

Dedriehoofdfasenvandeclassificatiezijnalsvolgt:

1. Inventarisatie

Deinformatieclassificatiestartmetvaststellenomwelkegegevensobjectenhetgaat,welkbedrijfsproces(sen),informatiesysteemenwelkewet-enregelgevingmogelijkeeisensteltaanhetgebruik,distributieenopslag.DenkbijvoorbeeldaanbewaartermijnenendeWetbeschermingpersoonsgegevens(Wbp).Vandeinformatie-elementenwordteeneersteclassificatievandeBIVaspectenvastgesteld.DevragenlijstInventarisatieishiervoorbedoeld.DezevragenlijstisbijdezeleidraadopgenomeninheteerstetabbladvanhetseparateExcelbestand.VanhetExcelbestandkunnendevragenindiengewenstovergezetwordennaarWordofeentoolvoorbeheervanvragenlijsten.

2. ImpactassessmentenniveaubepalingAansluitendopdeinventarisatiewordtbepaaldhoegrootdekansopendeimpactvaninbreukenisopdeBIVaspecten.Dezeinschattingleidttotdeeindclassificatievoorbeschikbaarheid,integriteitenvertrouwelijkheid.Dezeeindklasseisrichtinggevendvoordebijpassendemaatregelen.Demaatregelenzijndoordeinstellingvoorafineendeoperationelemaatregelensetopgenomen.Eenvoorbeeldsetmetmaatregelenisinhetclassificatieformulieropgenomen.Hetclassificatieformulierisdaardoorbedoeldvoordeimpact-enniveaubepalingpluseersteselectievanmaatregelen.

3. BeoordelenmaatregelenIndezestapwordtgekekenofdehiervoorvastgesteldemaatregelenvolstaan,dezereedszijngeïmplementeerd,ofdateraanvullendeactiesnodigzijnc.q.ofbepaalderestrisico’sacceptabelzijn.Hetmodelclassificatierapportisbedoeldvoordebeoordelingsfase.

Vertaaldnaarstappeninhetproceszijndit:

1. Deeigenaarofgedelegeerd(functioneel)beheerdervultvragenlijstenin2. DeCISObestudeertdevragenlijstenenvormtzicheenmening3. EigenaarenCISObesprekendevragenlijstenenbepalendeeindscorevandeBIV-classificatie4. DetetreffenmaatregelenwordenovergenomenuitdeoperationeleBIV-maatregelenset.5. EigenaarenCISOgaannaofdeovergenomenmaatregelenvolstaan,waarafwijkingen

mogelijkofnoodzakelijkzijnenwelkerestrisico’sacceptabelzijn.6. CISOstelteenclassificatierapportmeteindadviesopdatdooreigenaarwordtvastgesteld.

1.Inventarisatie2.Impact

assessmentenniveaubepaling

3.Maatregel-beoordeling


12/20

DeafstemmingtusseneigenaarenCISOzalsomsgaanoverdejuistheidvanhetgeconcludeerdeniveau.Moetdebeschikbaarheiddaadwerkelijkzohoogzijn?Ishetverzamelenvandezeinformatiedaadwerkelijknodig,ofkanvolstaanwordenmetmindervertrouwelijkegegevens-ofverzamelingsvorm?Somsgaathetoverkosten,denoodzaakvanmaatregelenenmogelijkealternatieven.Aanvullendemaatregelenmetbetrekkingtotbeschikbaarheidkunnenmisschienookinhetteondersteunenprocesgenomenworden,waardooruitvalvaneensysteemminderimpactheeft.Aanvullendemaatregelenzoalsencryptieofanonimiserenkunnenhetrisicometbetrekkingtotvertrouwelijkeinformatiebeperken.Inzulkegevallenkunnenminderzwaremaatregelenopsysteemniveaumogelijkvoldoendezijn.Inhetuiteindelijkeadvieskomenalleoverwegingenenconclusiessamen.

3.2 Kerne igenschappenper processtap

Deonderstaandetabelzetdeprocesstappenachterelkaarengeeftperprocesstapdebelangrijkstekenmerkenweer.

SchemametkenmerkenperprocesstapgeïnspireerdopdepresentatievandeIBDbijVNGdd6oktober2014

Toelichtingbijbuitenscope:Alsdeclassificatievandebeschikbaarheid,integriteitofvertrouwelijkheidopHooguitkomtenhet

It

WERKWIJZE

SETTING

TOOLS

RESULTAAT

UREN INDICATIEF

STAP

Gesprekoverhetassessment

EigenaarenCISO

Classificatieformulier

EindclassificatieBIVbepaald

2uurCISO,1uurperoverigedeelnemer

2.Impactenniveau bepaling

Invullenvragenlijsten

Eigenaaroffunctioneelbeheerder

Vragenlijsten

Basisinzichtineisenencontext

2uurperinvuller

1.Inventarisatie

Workshopoverstandaard

maatregelen

CISOmeteigenaar

Samenvattingclassificatie-rapport

MaatregelenpassendbijBIV-

niveau

1,5uurperdeelnemer

3.Maatregelbeoordeling

Verzameleninformatie,inschattenrisico’senselecteren

VerantwoordelijkemetFG,security

en/ofprivacyofficer

ModelPIA SURF/SCIPR

Gedetailleerdinzichtinrisico’senmaatregelen

8uur

PIA

Deskresearchenworkshop(s)

Eigenaar,beheerder,key

users

Extern(Internet)

Gedetailleerdinzichtinrisico’senmaatregelen

16uur

Risicoanalyse

Kenmerk Scopeleidraadclassificatie Buitenscope


13/20

assessmentnietleidttotvertrouwenindejuistheidvandegekozensetmaatregelen,wordthetuitvoerenvaneenrisicoanalysegeadviseerd.

Alsuithetinvullenvandeinventariserendevragenlijstblijktdatpersoonsgegevensverwerktworden,danis[volgensrichtsnoerhetCBP]eenrisicoanalyseverplichtendaarvooriseenPIAhetaanbevoleninstrument.Artikel13vandeWbpvereistbijdebeveiligingvanpersoonsgegeveneenrisicogerichtebenadering3.DePIAkanaanleidinggeventoteenhoge(re)classificatieophetaspectvertrouwelijkheideneventueelooktotaanvullendespecifiekemaatregelen,zekeralséénofmeervandevolgendesituatiesgelden:

§ gegevensbetreffenkwetsbaregroepenindesamenleving(bejaarden,kinderen,patiënten,..);§ gegevensbetreffengrotegroepenpersonen;§ deveiligheidvanbetrokkenloopt(ernstig)gevaaralspersoonsgegevensuitlekkenofonterecht

wordenverwerkt;§ uitlekkenvandepersoonsgegevenskantotidentiteitsfraudeleidenmetgrotepersoonlijkeof

organisatorischeschadetotgevolg(financieel,imago);§ uitlekkenofonterechtverwerkenkanbijbetrokkenenernstigefysiekeen/ofgeestelijkeschade

veroorzaken.

Somsishetwenselijkinvroegstadiumvaneenbusinesscaseofprojectinitiatieeeneerst,globaalbeeldvandeinformatie-elementenencontextteverkrijgen.Indiesituatiekandeinventariserendevragenlijstingezetworden.

3 Pagina 17 CBP richtsnoer “Beveiliging van persoonsgegevens”, februari 2013.


14/20

Bi j lage I : Schadecategor ieën

Somsisbijhetbesprekenvandevragenlijstenhetbepalenvandeimpactonderbuikgevoel.Onderstaandetabelpoogtenigeobjectiviteitintebrengen.Degevolgschadetabelprobeertvervolgensaantegevenwordenhoesterkopmaatregeleningezetmoetworden.Deaanduidingenzijnindicatiefenookdefrequentiewaarmeegebeurtenissenplaatsvindenspeleneenrol.

Schadecategorieën

Gevolgschade financieel imago onderwijs certificatie

klein

Directeschadeligttussen0en€50.000

Eenkleinaantalnegatieveberichteninlokalemedia(inclusiefsocialemedia)

Hooguitverstoringvaneenbeperktaantalactiviteitenopeeninstituutofvakgroep.

Geeninvloedoponderwijscertificatie

middel

Directeschadetussen€50.000en€250.000

Negatieveberichtgevingindemediagedurendeeenpaardagen(inclusiefsocialemedia)

Verstoringvaneendeelvanhetonderwijs(zoalseendeelvaninstituutofvakgroep)

Extratoezichtoponderwijscertificatie

groot

Directeschadetussen€250.000en€1.500.000

Aanhoudendenegatieveberichtgevingindelokalemedia(inclusiefsocialemedia)

Verstoringvaneengrootdeelvanhetonderwijsopeenofmeerinstituten.

Beperkingvanonderwijscertificatie

catastrofaal

Directeschadeisgroterdan€1.500.000

Aanhoudendenegatieveberichtgevingindelandelijkemedia(inclusiefsocialemedia)

Merendeelvanhetonderwijswordtonmogelijkopeenofmeerinstituten

Verliesvanonderwijscertificatie

Gevolgschade B,IofVclassificatieKlein L(laag)Middel M(midden)Groot MofH(hoog)Catastrofaal Hgrotehoeveelhedenofcontinuïteitingevaar

Risico GevolgschadeKansopinbreuk

klein middel groot catastrofaal

dagelijks maandelijks jaarlijks zelden

RisicovaltonderBusinessContinuityManagement

ontoelaatbaarrisico bespreekbaarrisico acceptabelrisico


15/20

Bi j lage I I : Template Samenvatt ing c lass i f i cat ierapport

Algemeen Functioneeleigenaar Dienst..Functie Telefoonnummer Laatstedatuminvullen Teclassificerenonderwerp

Informatie o.a.Studentgegevens,…4Risico’s <algemenebeschrijvingrisico’s> Classificatieenrisicoanalyse Beschikbaarheid Integriteit Vertrouwelijkheid Geadviseerdbeveiligingsniveau Eindadvies XvoldoetindehuidigeconstructieWEL/NIETaanhet

modelvaninformatieclassificatie,indienvoldaanwordtaandeonderstaandeacties

Acties A.B.C.

Isereenmotivatieomaftewijkenvandeconclusie(doordefunctioneeleigenaar)?Ja/NeeIndienereenafwijkingis:

- Geefdeafwijking,eventueeltegenmaatregelenhetrestrisicoaan- Ishetrestrisicoacceptabel?Ja/Nee

Aldusopgemaaktd.d.: Naamfunctioneeleigenaar:

4 Bij voorkeur wordt in het volledige rapport een compleet overzicht geleverd van alle gegevens- en bedrijfsobjecten


16/20

Bi j lage I I I : Voorbeeld vragenl i j s t “ Inventar iserend”

Eigenaarschap

Naamverantwoordelijkedienst/opleiding

DienstOnderwijsondersteuning

Naamhoofd/leidinggevende JolandaPeters

Functie DirecteurOnderwijsondersteuning

Contactgegevens [email protected]

Invuldatum 1oktober2015

Inleiding

NaamsaanduidingprocesNaamenkorteomschrijvingvanhetproces

Beherenstudieresultaten

FunctioneledoelenWatdientmethetprocesbereiktteworden;welkedeelprocessenbevathetproces?

§ Bewakenstudievoortgang§ Coachingstudenten§ Diplomeren/Certificeren

TypenwerkplekkenWaarwordendewerkzaamhedeninditprocesuitgevoerd?Metanderewoorden:voorwelketypenwerkplekkenisraadplegingen/ofmutatievangegevensbedoeld?Vermeldhierdemogelijkhedenvoorkantoor,thuisviainternetenmobiel

§ Kantoor(doorinstellingbeheerdewerkplek)§ Onderweg(BOYDeninstellingslaptop)§ Thuis(privéPC,laptop)

KetenverbindingenWordeninditprocesgegevensverzamelddiehergebruiktwordeninandereprocessen,enomwelkegegevensgaathetdan?Vermeldindienrelevantookdeontvangendesysteem-oftoepassingsnamenendenaamvandeeigenaar/eigenarendaarvan.

§ Studentgegevensvanuitinschrijfproces§ StudentenengroepennaarELO§ AfgestudeerdennaarexamenregisterenCRM§ ContactgegevensnaarSMSserver

Aanduidinggegevens

Welkegegevenstypenwordenvastgelegd?Denkaanteksten,tabellen,plaatjese.d.

Gestructureerdegegevensalscontactgegevens,teksten(verslagen,rapporten,werkstukken),studieresultaten(beoordelingen).


17/20

Welkegegevenselementenwordenvastgelegd?Denkaanmeetresultaten,personalia,locaties,financiëne.d.Benoemnadrukkelijkgegevensdieconcurrentie-offraudegevoeligzijn,eninformatiediedirectofindirectherleidbaarisnaarnatuurlijkepersonen.

GegevenselementHORAOpleidingMinorOnderwijsprogrammaOnderwijseenheiduitvoeringOnderwijseenheiddeelnameExamenprogrammaToetsresultaatOnderwijseenheidresultaatOnderwijsovereenkomstDeelnemerWaardedocumentLesgroepLeergroepCompetentieOnderwijsactiviteitDeelnemeractiviteit

BIV-codeMHLMHLMHLMHLMMLMHLLHMLHMLMLMHHLHLMMLLMLLLLMMLMMH

Wordenprivacygevoeligegegevensvastgelegd?AlsgegevensopgeslagenofverwerktwelkeherleidbaarzijntotnatuurlijkepersonendaniseenuitvoerenvaneenPIAverplicht.

Ja.Naarpersoonteherleidenstudieresultaten(deelcijfersencijfers).Ookverslagenvanstudiebegeleidersensamenvattingvanpsychologischegesprekkenentests.

MutatiebevoegdhedenHoeveelpersonenkrijgenrechtenomdegegevenstemuteren?Maakhierbijonderscheid:autorisatievangebruikers,mutatievansysteemtabellen,invoervantransactiese.d.Vermeldookderechtenvan(externe)consultantsbijuitbreidingofonderhoud.

§ Beheerders(6):onderhoudreferentietabellen

§ Backoffice(14):onderhoudenopleidingsspecifiekeinformatie§ Cijfersadminstratie(3):invoeren/corrigerenresultatenvoortoegewezen

faculteiten§ Docenten(600):vastleggenresultaten§ Studiebegeleiders(6):gespreksverslagen,voorzieningenvoor

toegewezenstudenten§ Studenten(6000):Eigengegevensonderhouden

RaadpleegbevoegdhedenHoeveelpersonenkrijgenrechtenomdegegevensintezien?Maakhierbijonderscheid:algemeneraadpleegfuncties,persoonlijkegegevensvanalleendegebruikerzelfe.d.

§ Backoffice:volggegevensvoorallefaculteiten§ Docenten/Studenten:eigenpersoonlijkegegevens§ Studiebegeleiders:begeleidingsgegevensallestudent

BewaartermijnenHoelangwordengegevensbewaard(nadatzebedrijfsmatigzijnafgehandeld)?Denkhierbijaanafgegevendiploma’s,promoties,pensioengegevensenzovoorts.Specificeerdetermijnen,bijvoorbeeldnaeenjaarafsluitingofnadiploma-uitreikingofpensionering.

Gegeven PeriodeStudenteneersteinschrijving 2jaarnauitschrijving

Studenteninschrijvingcollegejaar 7jaarnainschrijving

Numerusfixus 7jaarnaaanpassing

Buitenlandsestudententoelating 5jaarnainschrijving

Studievoortgangbewaking 1jaarna

accountantscontrole

Studentenfinanciëleondersteuning 7jaarnaverstrekking

Studentenbijzonderevoorziening 7jaarnainschrijving

Studentenschorsing 10jaarnaontzegging

Studentenweigeringverwijdering 5jaarnaweigeringof

verwijdering

Studentenuitschrijving 5jaarnauitschrijving


18/20

Verklaringbehaaldetentamens 1jaarnauitgifte

ArchiveringIshetdebedoelingdathistorischegegevensvastgelegddanwelperiodiekweggeschrevennaaranderemedia?Bedoeldishiereeninterneen/ofexternearchiveringsfunctieenderegelmaatwaarmeeditgebeurt.

Bovenstaandegegevensmetbewaartermijn“Bewaren”worden1jaarnaafrondenstudieovergebrachtnaarhetstatischearchief.

Toepassingen

WelkeITtoepassing(en)wordeningezetterondersteuningvanhetproces?Vermeldhierookeventuelealternatieven(pakket,systeem,netwerkcomponente.d.).

PeoplesoftCampusSolutions


19/20

Bi j lage IV : C lass i f i cat ievoorste l vee l voorkomendegegevensobjecten

Ter indicatie bevat onderstaande tabel voor 25 veel voorkomende gegevensobjecten een voorstel voor de BIV classificatieniveaus.

Nr. Dataover KomtvolgensHORAvoorinapplicaties VoorstelBIV

1. Alumni Komtvooralsverwerkingvaninstellingzelfenookbijalumniverenigingen.

MHM

2. Betaaltransacties Betaalsystemen MMM3. Beelden

cameratoezichtOnderwijsFacilitairsysteem

HMH

4. Leden Ledenadministraties MMM5. Toetsen Onderwijs HHH6. Gediplomeerden Examenregister LHM7. Debiteurenen

crediteurenFinancieelsysteem MMM

8. Leners BibliotheeksysteemVertrouwelijkheidhoogindiendebetaal-enleenhistoriewordtbewaard.

LHM/LHH

9. ICTgebruikers Applicatieplatform:Identitymanagementsysteem HHM10. Leveranciers Bedrijfsvoering:Inkoopsysteem LML11. Configuraties Bedrijfsvoering:ITmanagementsysteem LMH12. Kiesgerechtigden NietalszodaniginHORAaanwezig.

Goedvoorbeeldvanniet-bronsysteem:bevatinformatieuitanderebronsystemen.

MHM

13. Academischestaf Samenwerkingssysteem:Nevenwerkopenbaarregister(conformgedragscodeNSVU)

LHL

14. Onderzoeks-projecten

Onderzoeksgegevensbeheersysteem LHM

15. Medewerkers Personeelssysteem MHH16. Relaties Bedrijfsvoering MHH17. Roosters Onderwijsondersteuning HML18. Salarissen Salarisverwerkingssysteem MHH19. Sollicitanten AlsMedewerkers MHH20. Studenten Studenteninformatiesysteem

DocumentManagementSysteemEmailStageenafstudeersystem

MHH

21. Ruimtenengebruikers

Facilitairsysteem:Toegangenbeheersysteem MMM

22. Webcontent Generiek MMH23. Kengetallen ManagementInformatieSysteem

Indienanoniem,danLMLofLHLalszedebasisvormenvanLMLLHH


20/20

Nr. Dataover KomtvolgensHORAvoorinapplicaties VoorstelBIV

grotebedrijfsbeslissingen.IndiennietanoniemdandevertrouwelijkheidHoog.

24. Cursussen,deelnemers

Digitaleleeromgeving MMM

25. Mailberichten,mailadressen

E-mailsysteem HHH

Leidraad classificatie SCIPR

Documents

Transcript of Leidraad classificatie SCIPR