Toelichting en invulinstructie bij gebruik van het ......Moreelsepark 48 3511 EP Utrecht Postbus...
Transcript of Toelichting en invulinstructie bij gebruik van het ......Moreelsepark 48 3511 EP Utrecht Postbus...
Moreelsepark 48 3511 EP Utrecht
Postbus 19035 3501 DA Utrecht
088 - 787 30 00 [email protected] www.surfnet.nl
ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01
LeidraadclassificatieToelichtingeninvulinstructiebijgebruikvanhetclassificatieformulier
Auteur(s): MartinRomijn
Versie: 2.0
Datum: 18november2015
SCIPR Leidraad Classificatie
For this publication is the Creative Commons licence “Attribution 3.0 Unported”.. More information on the licence is to be found on http://creativecommons.org/licenses/by/3.0/
2
ColofonSCIPRLeidraadClassificatieSURFPOBox19035,3501DAUtrechtT+3188-7873000info@surf.nlwww.surf.nlAuteurMartinRomijnKerngroepAnitaPolderdijk-Rijntjes WindesheimBartvandenHeuvel UniversiteitMaastrichtMennoNonhevel KNAW-KoninklijkeNederlandseAkademievanWetenschappenAlfMoens SURFnetMeelezersDubravkaMarovic,LilianMaasFontys CorporateInformationSecurityOfficerEdgarvanGorkum Stenden WimKoolhoven UniversiteitTwente NickvanderLaan NWO JeanPopma RadboudUniversiteit ElmaMiddel Hanzehogeschool FreerkBosscha HogeschoolNHL PeterTimmermans OpenUniversiteit HansvanderWal Saxion RaoulVernede WageningenUniversiteit HaicoBianchi HogeschoolLeiden RonaldBoontje UniversiteitvanAmsterdam InformationSecurityManagerReneRitzen UniversiteitUtrecht CorporateInformationSecurityOfficerJelmarBoorsma VrijeUniversiteit InformationSecurityOfficerEindredactieGezamenlijkproductvandeSCIPRenSURFnetSURFisdeICT-samenwerkingsorganisatievanhethogeronderwijsenonderzoek(www.surf.nl).DezepublicatieisdigitaalbeschikbaarviadewebsitevanSURFnet(https://www.surf.nl/themas/digitale-rechten/privacy/index.html)
Leidraad classificatie
Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
Inhoud
Woord vooraf / leeswijzer ..................................................................................................................... 4
1. Inleiding ........................................................................................................................................... 6
1.1 Classificatie-aspecten: BIV ...................................................................................................... 6
1.2 Doelstelling classificatieproces: classificatie en maatregelen .................................................. 7
1.3 Classificatie versus Risicoanalyse ........................................................................................... 7
1.4 Baseline informatiebeveiliging versus Classificatie en Maatregelen ........................................ 7
1.5 Bronnen .................................................................................................................................... 8
2 Classificeren van informatie .......................................................................................................... 9
2.1 Uitgangspunten ........................................................................................................................ 9
2.2 Verantwoordelijkheden en Werkwijze Classificatie .................................................................. 9
2.3 Classificatie-niveaus .............................................................................................................. 10
3 Het classificatieproces ................................................................................................................. 11
3.1 De fasen in het classificatieproces ......................................................................................... 11
3.2 Kerneigenschappen per processtap ...................................................................................... 12
Bijlage I: Schadecategorieën ............................................................................................................. 14
Bijlage II: Template Samenvatting classificatierapport ................................................................... 15
Bijlage III: Voorbeeld vragenlijst “Inventariserend” ........................................................................ 16
Bijlage IV: Classificatievoorstel veel voorkomende gegevensobjecten ........................................ 19
SCIPR Leidraad classificatie
4/20
Woordvooraf / leeswi jzer
InditdocumentsteltSCIPR(deSURFCommunityvoorInformatiebeveiligingenPrivacy)deleidraadclassificatievoor.Dezevoorgesteldeleidraadbeschrijfteengoodpracticevoorhetclassificerenvaninformatie.Deleidraadbevathandvattenomeeninstellingseigenclassificatierichtlijnteontwikkelenofteverbeterenendezeteimplementeren.Webevelenaandeleidraadomtezettenineeninterneclassificatierichtlijn.Daarinkunnendespecifiekerollenenfunctionarissenzoalsdeinstellingdienoemt,wordengebruikt.Detekstindezeleidraadgaatnamelijkuitvaneengoodpracticeorganisatiestructuur.DatbetekentconcreetdaterwordtaangenomendatereenCISO-rolisingevuld(mogelijkonderdeelvaneencentraalCIO-office)endatdeeigenarenvanprocessenbenoemdzijn.VerderwordtaangenomendatdeFG-rol(FunctionarisGegevensbescherming)ingevuldis,ofeenPrivacyOfficerisaangesteld.Bijdeomzettingnaareeneigenrichtlijnkandezezodaniggeformuleerdwordenzodatdezepastbijdeeigeninternecultuurengovernancestructuur.
Indeleidraadisgekozenvoorhetclassificerenvaninformatieindecontextvanhetproceswaarindezeinformatiegebruiktwordt.Demethodiekistevenstoepasbaarvoorinformatieindecontextvaneenapplicatieofsysteem,doorindetekst“proces”telezenals“applicatie”of“systeem”.Zowelinapplicaties,systemenenprocessenwordtimmerseensetgegevensobjectenverwerkt.Metenigeeigeninterpretatieisdezeleidraaddaninzetbaarvoorhetclassificerenvaneenapplicatie.
UithetclassificerenvaneengegevensobjectinmeerderecontextenkanblijkendatdeBIV-codepercontextverschilt.Eengegevensobjectkanimmersinverschillendeprocessen,metverschillendeeisen,voorkomen.Voorbeeld:debeschikbaarheidseisvaneene-mailadresbijeenacuteroosterwijzigingishoog,eendigitalenieuwsbriefkangerusteendaglaterverstuurdworden.
Eenaanvullendaspectdatvoorzowelbeschikbaarheid,integriteitenvertrouwelijkheidvanbelangis,iscontroleerbaarheid.Nietalleen“weten”ofietsinordeis,maardatookachterafkunnen“verifiëren”.
InNederlandzijnenkelemethodenvanclassificereningebruik.Indezeleidraadisgebruikgemaaktvaneendirectemethode.Dezeiseenvoudigtoetepassenenvoldoendeadequaat.VraagindiengewenstdecollegaCISO’sofSCIPRcontactpersonennaaralternatieven.
Gebruiktetermen
Term BetekenisBedrijfsobject Eenbedrijfsobjectiseenpassiefelementdatvanuitbedrijfsperspectief
relevantieheeft[HORA].Derelevantebedrijfsobjectenindezeleidraadzijngegevensobjecten.Voorbeeldenvanbedrijfsobjectenindecontextvandezeleidraadzijnalumnus,begrotingencontact.
Beheerder Eenpersoondieeensysteem(aldannietberoepsmatig)regeltenonderhoudt[Wikipedia].Indezeleidraadkanhetbeherenbetrekkinghebbenopinformatie,applicaties,databasesensystemeninderolvanfunctioneel,technischen/ofapplicatiebeheerder.Ookinformatiekaneenbeheerderhebben.
BIA BusinessImpactAnalyseEenBIAwordtinhetkadervanhetBusinessContinuityManagement(BCM)gebruiktomdekritiekeprocessenvandenietkritiekeprocessentescheiden[Wikipedia].
SCIPR Leidraad classificatie
5/20
BIV-classificatie EenBIV-classificatieofBIV-indelingiseenindelingwaarbijbeschikbaarheid,(continuïteit),integriteit(betrouwbaarheid)envertrouwelijkheid(exclusiviteit)vaninformatieensystemenwordtaangegeven[Wikipedia].
Beschikbaarheid Informatiemoetbeschikbaarentoegankelijkzijn.Classificatiegaatinopdemogelijkegevolgenalsinformatie,ofeeninformatieset,nietbeschikbaaris.
Controleerbaarheid Dematewaarinhetmogelijkisomachterafparametersdievanbelangzijnvoorbeschikbaarheid,integriteitofvertrouwelijkheidteverifiëren.Zulkeparameterszijnbijvoorbeelddowntime,toegangentransacties[ModelbeveiligingsbeleiduithetFrameworkInformatiebeveiligingHogerOnderwijs,SCIPR,mei2015].
Data Data,ofwelgegevens,zijnobjectievefeiten,tekstenengetallenwaaraannoggeenbetekenisisgekoppeld.
Eigenaar Deafdeling/dienst/persoonofroldieovereenzaak(stukgrond,voorwerp,hoeveelheidgeldenz.)naareigengoeddunkenkanbeschikken[naarWikipedia].Indezeleidraadwordtmetdeeigenaardiegenebedoelddiehetbeslisrechtovereenproces,applicatie,systeem,gegevenselementetceteraheeft.Wanneerdeformeeleigenaar(vaakhetCollegevanBestuur)hetbeschikkingsrechtoverdraagt(mandateert)sprekenwevanfunctioneelofgedelegeerdeigenaar.Eeneigenaarkanookbestaanvooreenorganisatiebreedsysteemen/ofdataineenorganisatiebreedsysteem.
Gegevens Gegevenszijndeobjectiefwaarneembareneerslagofregistratievanfeitenopeenbepaaldmedium,zodanigdatdezegegevensuitgewisseldenvoorlangeretijdbewaardkunnenworden[Wikipedia].Aandezeobjectievefeitenisnoggeenbetekenisgekoppeld.
Informatie Gegevenswordeninformatiealsdegegevenseenbetekenisofnieuwswaardehebbenvoordeontvanger.
Integriteit Hetinovereenstemmingzijnvaninformatiemetdewerkelijkheid(informatieisjuist,volledigenactueel).Goedbeheervanbevoegdhedenenmogelijkhedentotmuteren,toevoegen,ofvernietigenvangegevensvooreengedefinieerdegroepgerechtigdeniscruciaalvoordeintegriteitvaninformatie.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieonjuist,onvolledigisofnietactueelis.
PIA EenPrivacyImpactAssessment(PIA)iseentooldathelptbijhetidentificerenvanprivacyrisico’senlevertdehandvatenomdezerisico’steverkleinentoteenacceptabelniveau[ModelPrivacyImpactAssessment,werkgroepSURF-PIA].
Proces Eenbedrijfsprocesiseenordeningvanhetwerkdatuitgevoerddienttewordenineenorganisatie[Wikipedia].
Risicoanalyse Eenrisicoanalyseiseenmethodewaarbijnaderbenoemderisico'swordengekwantificeerddoorhetbepalenvandekansdateendreigingzichvoordoetendegevolgendaarvan:Risico=KansxGevolg[Wikipedia].
Vertrouwelijkheid Debevoegdhedenenmogelijkhedenomkennistenemenvaninformatievooreengedefinieerdegroepgerechtigden.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieinhandenkomtvanderdendiehiertoenietzijngeautoriseerd.
SCIPR Leidraad classificatie
6/20
1. In le id ing
DeSurfCommunityvoorinformatiebeveiligingenprivacy(SCIPR),heeftopzichgenomendebestaandeleidraadclassificatietemoderniseren.Uitgangspuntvoordeleidraadisdatinstellingenveelalmetdezelfdedreigingentemakenhebben,hetgeenookblijktuithetrecentedoorSURFgepubliceerderapport“CyberdreigingsbeeldinhetHogerOnderwijs”.VerderzijndeprimaireprocessenbinnenhetHogerOnderwijsingrotelijnenovereenkomstig.
IedereinstellingstreeftnaareengoedebalanstussenhetoptimaalgebruikvanICT-middelenenerzijdsenhetborgenvandebeschikbaarheid,integriteitenvertrouwelijkheidvaninformatieanderzijds.Dezedoelstellingenbereikenwealleenmeteengezamenlijkeinspanningvanuiteenfunctionele,technischeenorganisatorischeinvalshoekdoorbeleidenuitvoeringaangaandeclassificatie.Classificatiedraagtbijaan:
§ eenveiligeleer-enwerkomgeving;§ eengoedimago;§ nalevingvanwetgeving,zoalsWetbeschermingpersoonsgegevens(Wbp)1.
Classificatievaninformatiehelptbij:
§ hetselecterenvanmaatregelendiegenomenmoetenwordenominformatieadequaattebeschermen,deintegriteittewaarborgenendebeschikbaarheidteoptimaliseren;
§ hetvergrotenvandealertheidvandeorganisatiemetbetrekkingtotdewaardevaninformatieenbeveiligingsrisico’s.
Informatiebetekentinditverbandalledataengegevens,ongeachthetmediumwaaropdezeopgeslagenwordenenongeachtdepresentatiedaarvan.Informatiewordtindepraktijkverwerktbinnenéénofmeerderebedrijfsprocessenenopéénofmeersystemen/applicaties.Dezecontextwordtdanookbijdeclassificatiebetrokken.Gekozenisvoorhetbegrip“classificatievaninformatie”,inlijnmetdenaamvanhetvakgebied:“informatiebeveiliging”.
1.1 Class i f i cat ie -aspecten: B IV
HetbeschermingsniveauvaninformatiewordtuitgedruktinclassificatieniveausvoorBeschikbaarheid,IntegriteitenVertrouwelijkheid(BIV).
• Beschikbaarheid:informatiemoetbeschikbaarentoegankelijkzijn.Classificatiegaatinopdemogelijkegevolgenalsinformatie,ofeeninformatieset,nietbeschikbaaris.
• Integriteit:hetinovereenstemmingzijnvaninformatiemetdewerkelijkheid(informatieisjuist,volledigenactueel).Goedbeheervanbevoegdhedenenmogelijkhedentotmuteren,toevoegen,ofvernietigenvangegevensvooreengedefinieerdegroepgerechtigdeniscruciaalvoordeintegriteitvaninformatie.Classificatiegaatinopdemogelijkegevolgenwanneerinformatieonjuist,onvolledigisofnietactueelis.
• Vertrouwelijkheid:debevoegdhedenenmogelijkhedenomkennistenemenvaninformatievooreengedefinieerdegroepgerechtigden.Classificatiegaatinopdemogelijkegevolgen
1 Vanuit de EU wordt naar verwachting in 2016 de Algemene Verordening Gegevensverwerking (AVG) van kracht. Tot de invoer van de AVG blijft de Wbp van kracht.
SCIPR Leidraad classificatie
7/20
wanneerinformatieinhandenkomtvanderdendiehiertoenietzijngeautoriseerd.
1.2 Doelste l l ing c lass i f i cat ieproces : c lass i f i cat ie en maatrege len
Classificatiegeefteeninschattingvandegevoeligheidenhetbelangvaninformatieomtoteenjuistematevanbeveiligingtekomen.Nietalleinformatieisevenvertrouwelijkofhoeftbijeenincidentevensnelweerbeschikbaartezijn.Hetisnietergefficiëntofgebruiksvriendelijkomniet-vertrouwelijkeinformatieopdezelfdemaniertebeschermenalsvertrouwelijkeinformatie.
InditdocumentwordteenclassificatieprocesbeschrevenwaarinnietalleenhetfeitelijkebelangvaninformatiewordtbepaaldinrelatietotdeaspectenBIV,maartevensdeimpactvaneventueleinbreukenendetekiezenrisicobeperkendemaatregelen.
Informatieclassificatiehoortinelkprojectthuiswaarinformatieeenrolspeelt,maarzalookopnieuwetoepassingenenbestaandeomgevingenmoetenwordenuitgevoerd.Zokandoorveranderendeprocessendewaardevaninformatieindeloopvandetijdveranderen.Ookhetniveauvandreigingkanveranderen.Daardoorkunnendebenodigdebeschermingsmaatregelenveranderen.
1.3 Class i f i cat ie versus R is icoanalyse
Meteenrisicoanalysekandemogelijkeschadewordengeëvalueerddieeendreigingkantoebrengenaanspecifiekeinformatie(bijv.misbruikdooroneigenlijketoegang,ongeautoriseerdetoegang)enwatdekansisdatdieschadeoptreedt.Hetmanagementdientvervolgensaantegevenwelkerisico’saanvaardbaarzijnenwelkemetmaatregelenmoetenwordenafgedekt.
Hetgebruikvanstandaardrisicoanalysehulpmiddelenisvaakeentijdrovendenabstracttraject.Deindezeleidraadvoorgesteldeclassificatiemethodiekgeefteengoedeindicatievanhetbelangvandeinformatie.Gekoppeldaandeclassificatiewordenmaatregelengeselecteerddiedekansopendeimpactvaninbreukenopdeveiligheidterugdringentoteenvoordeorganisatieacceptabelniveau.Declassificatiekangezienwordenalseenrisicoanalyseopbasisvanalgemenewaardeninplaatsvanconcreterisico’s.Erkandanookaltijdbeslotenwordenalsnogeenuitgebreiderisicoanalyseuittevoeren.
1.4 Base l ine in format iebeve i l ig ing versus C lass i f i cat ie en Maatrege len
DemeesteinstellingenhebbeneenbaselinevastgesteldvoorInformatiebeveiliging.SCIPRheeftdaartoeeenBaselineInformatiebeveiligingHO(BIHO)ontwikkeld.DeBIHObeschrijftbasismaatregelendieelkeinstellingaltijdzoumoetenimplementeren.Ditzijnalgemenemaatregelen,zoalshetvaststellenvanIB-beleid,plusmaatregelendieterelaterenzijnaandeclassificatieaspectenbeschikbaarheid,integriteitenvertrouwelijkheid.
DemaatregelenindeBIHOzijngeneriekenhebbendanookeenrelatiefhoogabstractieniveau.Tenbehoevevaninformatieclassificatieisereensetoperationelemaatregelenbenodigd,passendbijdeniveausLaag,MiddenenHoogvoorbeschikbaarheid,integriteitenvertrouwelijkheid.Hetverdientaanbevelingeenbasissetoperationelemaatregelenspecifiekvoordeeigeninstellingoptebouwen.DepraktijkheeftuitgewezendatdesetorganisatiespecifiekisendaardoorvooralsnognietalsoperationelebaselinevanuitSCIPRaangebodenkanworden.Terinspiratiekanvoortgebouwdwordenopdevoorbeeldmaatregelendieinhetclassificatieformulierzijnopgenomen.
SCIPR Leidraad classificatie
8/20
UitdeBIVclassificatievolgtwelkeoperationelemaatregelengeïmplementeerdmoetenworden.Inhetclassificatierapportwordtvanaldezemaatregelenaangegevenofenhoedezegeïmplementeerdzijn/wordenconformhetprincipe“pastoeofleguit”.
NB: Aanbevolenwordtomvoordeinstellingeen“defaultclassificatieniveau”vasttestellenwatovereenkomtmetdebaselineeneenbalansvormttussenmaximalerisico’senminimalekosten.
EengoodpracticeisB=Midden,I=MiddenenV=Hoog(BIV=MMH).HierdoorwordengeenheelduremaatregelengenomenvoorBenI,terwijlvoorVertrouwelijkheid(privacy)zoweinigmogelijkrisico’swordengenomen.OnderliggendegedachteisdatopdezemaniervoldaankanwordenaandenationaleenEuropeseregelgevingalsdeEuropeseDPA,Wbp,wetMeldplichtDatalekken(vertrouwelijkheid)endeinformatie-eigenarenuitgedaagdwordenomeenclassificatieuittevoeren.
Trendisdatsteedsmeerdataopenbeschikbaarwordt.Daarwaardathetgevalis,wordthetvertrouwelijkheidsniveauvanleermaterialenenonderzoekgegevenslaag.
InbijlageIViseenvoorstelvoorclassificatievooreenserieveelvoorkomendegegevensobjectenopgenomen.DaarwaardeHORAeenclassificatievoorgesteldheeftisdezeovergenomen,deontbrekendezijninhetkadervandezeleidraaddoordekerngroeptoegevoegd.
1.5 Bronnen
De volgende bronnen zijn gebruikt:
Referentienaam Versie AuteurModelbeveiligingsbeleiduithetFrameworkInformatiebeveiligingHogerOnderwijs
2.0 SURFibo
HogerOnderwijsReferentieArchitectuur(HORA) WerkgroepArchitectuurSurfIBOleidraadclassificatiedefinitief,juli2010 1.0 SURFiboFontysWerkwijzeClassificatieenrisico-analyse 1.2 LilianMaasTemplateClassificatiesysteemWindesheim 2.0 AnitaPolderdijk-RijntjesClassificatie-richtlijnen-UM 1.2 BartvandenHeuvelWikipedia,verschillendedefinities 10-2015 GemeenschapRichtsnoer“Beveiligingvanpersoonsgegevens” 02-2013 CBP
SCIPR Leidraad classificatie
9/20
2 Class i f i ceren van in format ie
Dithoofdstukbeschrijftuitgangspunten,verantwoordelijkheden,niveaus
2.1 Uitgangspunten
§ Allegegevens,applicaties,processenensystemenhebbeneeneigenaar.§ De(gemandateerd)eigenaarbepaaltdeclassificatie(hetvereistebeschermingsniveau)enwelke
restrisico’saanvaardbaarzijn.§ DeCISO,inafstemmingmetgebruikersorganisatieenICT,bepaaltwatbijhet
beschermingsniveaupassendebeveiligingsmaatregelenzijn.§ Bijdeverwerkingvaninformatiekanhetclassificatieniveauvanhetproces/systeemwaarin
bepaaldeinformatiegebruiktwordtandersuitvallendanpuuropbasisvandeclassificatievandeinformatieverwachtzouworden.
§ Erwordtgestreefdnaareenverantwoord,maarzo'laag'mogelijkclassificatieniveau;overbodighogeclassificatieleidttotonnodigedrempelsenkosten.
§ DeCISObeheerthetregistervanalleclassificatierapporteneninitieertdeperiodiekereviewdoordeeigenaar.
2.2 Verantwoordel i jkhedenen Werkwi jze C lass i f i cat ie
Deeigenaarheeftdeeindverantwoordelijkheidvoordeuitvoeringenhetresultaatvandeclassificatie.Deeigenaarbeslistover(wijzigingenin)functionaliteit,voertopbasisdaarvandeinformatieclassificatieuitendraagtdekostendieverbandhoudenmetinformatiebeveiliging.Deeigenaarisverantwoordelijkvoordeimplementatieenopvolgingvandeafgesprokenbeveiligingsmaatregelen.
HetCIOOffice/deCISOisverantwoordelijkvoorbeleid,kadersenrichtlijnenophetgebiedvaninformatiemanagementeninformatiebeveiliging,bepaaltdemethodevandeinformatieclassificatieenrisicoanalyseenleverteenbijdrageaanhetbepalenvandeinformatieclassificatieinoverlegmetdefunctioneeleigenarenvandeinformatieen/ofIT-voorziening.
Declassificatiezalingroepsverbandwordenuitgevoerdmeteenaantalbetrokkenen,minimaaldeeigenaar,CISOeneenfunctioneelbeheerder.Ditzorgtvooreenlerendeffect,geeftcommitmentbinnendegroep,zorgtvoorsamenwerkenenvooralvooreengoedgewogengemiddelde.
DeCISOsteltvervolgensmaatregelenvoorinoverlegmetbetrokkenen(iniedergevalfunctioneelbeheer,somsookde(interne/externe)ICT-leverancierinverbandmetdetechnischemogelijkheden.
DeBIV-scores,deingevuldevragenlijsten,eensamenvatting,deafsprakenovertenemenmaatregeleneneeneventueelvastgesteldrestrisicowordendoordeCISOverwerktineenclassificatierapportdatuiteindelijkdoordeeigenaarformeelwordtvastgesteld.Inhetkadervanreproduceerbaarheidenvoorbijvoorbeeldauditsofomvergelijkingentekunnenmakenbijtoekomstigeher-classificaties,wordendezeclassificatierapportengearchiveerddoordeCISO.
SCIPR Leidraad classificatie
10/20
2.3 Class i f i cat ie -n iveaus
DeonderscheidenniveausvoordeaspectenB,IenVzijnverdeeldindriecategorieën:laag,midden,hoog.Onderstaandetabelgeefteenindicatievandebetekenisvandezecategorieën.
categorie schade beschikbaarheid2 integriteit vertrouwelijkheid
laag Inbreukopbeveiligingbijdezeclassificatiekanenige(in)directeschadetoebrengen.
algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1weekbrengtgeenmerkbare(meetbare)schadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten
hetbedrijfsprocesstaatenkeleintegriteitsfoutentoe.
informatiedietoegankelijkmagofmoetzijnvooralleofgrotegroepenmedewerkersofstudenten.Vertrouwelijkheidisgering.
Daarwaarinformatieopenbaaris,isinzagegeenissue,beheer(tenbehoevevandeintegriteit)wel.
midden Inbreukopbeveiligingbijdezeclassificatiekanserieuzeschadetoebrengen.
algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1dagbrengtmerkbareschadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten
hetbedrijfsprocesstaatzeerweinigintegriteitsfoutentoe.Beschermingvanintegriteitisabsoluutnoodzakelijk.
informatiediealleentoegankelijkmagzijnvooreenbeperktegroepgebruikers.Deinformatieisvertrouwelijk.
hoog Inbreukopbeveiligingbijdezeclassificatiekanzeergroteschadetoebrengen.
algeheelverliesofnietbeschikbaarzijnvandezeinformatiegedurendelangerdan1uurbrengtmerkbareschadetoeaandebelangenvandeinstelling,haarmedewerkersofhaarstudentenofklanten
hetbedrijfsprocesstaatgeenintegriteitsfoutentoe.
ditbetreftzeervertrouwelijkeinformatie,alleenbedoeldvoorspecifiekbenoemdepersonen,waarbijonbedoeldbekendwordenbuitendezegroepgroteschadekantoebrengen.
2 Definities uit het Model informatiebeveiliging SCIPR (voorheen SURFibo)
SCIPR Leidraad classificatie
11/20
3 Het c lass i f i cat ieproces
HetprocesvanclassificatieverlooptininteractietussendeeigenaarvandeinformatieendeCISO.Deeigenaardeeltdiensinschattingvanhetbelangendebedrijfsrisico’smetdeCISO,waarnagezamenlijkconclusieswordengetrokkenenpassendemaatregelenwordengeselecteerd.Declassificatiemaaktinveelgevalleneentijdrovendeenabstracterisicoanalyseoverbodig.
3.1 Defasen in het c lass i f i cat ieproces
Dedriehoofdfasenvandeclassificatiezijnalsvolgt:
1. Inventarisatie
Deinformatieclassificatiestartmetvaststellenomwelkegegevensobjectenhetgaat,welkbedrijfsproces(sen),informatiesysteemenwelkewet-enregelgevingmogelijkeeisensteltaanhetgebruik,distributieenopslag.DenkbijvoorbeeldaanbewaartermijnenendeWetbeschermingpersoonsgegevens(Wbp).Vandeinformatie-elementenwordteeneersteclassificatievandeBIVaspectenvastgesteld.DevragenlijstInventarisatieishiervoorbedoeld.DezevragenlijstisbijdezeleidraadopgenomeninheteerstetabbladvanhetseparateExcelbestand.VanhetExcelbestandkunnendevragenindiengewenstovergezetwordennaarWordofeentoolvoorbeheervanvragenlijsten.
2. ImpactassessmentenniveaubepalingAansluitendopdeinventarisatiewordtbepaaldhoegrootdekansopendeimpactvaninbreukenisopdeBIVaspecten.Dezeinschattingleidttotdeeindclassificatievoorbeschikbaarheid,integriteitenvertrouwelijkheid.Dezeeindklasseisrichtinggevendvoordebijpassendemaatregelen.Demaatregelenzijndoordeinstellingvoorafineendeoperationelemaatregelensetopgenomen.Eenvoorbeeldsetmetmaatregelenisinhetclassificatieformulieropgenomen.Hetclassificatieformulierisdaardoorbedoeldvoordeimpact-enniveaubepalingpluseersteselectievanmaatregelen.
3. BeoordelenmaatregelenIndezestapwordtgekekenofdehiervoorvastgesteldemaatregelenvolstaan,dezereedszijngeïmplementeerd,ofdateraanvullendeactiesnodigzijnc.q.ofbepaalderestrisico’sacceptabelzijn.Hetmodelclassificatierapportisbedoeldvoordebeoordelingsfase.
Vertaaldnaarstappeninhetproceszijndit:
1. Deeigenaarofgedelegeerd(functioneel)beheerdervultvragenlijstenin2. DeCISObestudeertdevragenlijstenenvormtzicheenmening3. EigenaarenCISObesprekendevragenlijstenenbepalendeeindscorevandeBIV-classificatie4. DetetreffenmaatregelenwordenovergenomenuitdeoperationeleBIV-maatregelenset.5. EigenaarenCISOgaannaofdeovergenomenmaatregelenvolstaan,waarafwijkingen
mogelijkofnoodzakelijkzijnenwelkerestrisico’sacceptabelzijn.6. CISOstelteenclassificatierapportmeteindadviesopdatdooreigenaarwordtvastgesteld.
1.Inventarisatie2.Impact
assessmentenniveaubepaling
3.Maatregel-beoordeling
SCIPR Leidraad classificatie
12/20
DeafstemmingtusseneigenaarenCISOzalsomsgaanoverdejuistheidvanhetgeconcludeerdeniveau.Moetdebeschikbaarheiddaadwerkelijkzohoogzijn?Ishetverzamelenvandezeinformatiedaadwerkelijknodig,ofkanvolstaanwordenmetmindervertrouwelijkegegevens-ofverzamelingsvorm?Somsgaathetoverkosten,denoodzaakvanmaatregelenenmogelijkealternatieven.Aanvullendemaatregelenmetbetrekkingtotbeschikbaarheidkunnenmisschienookinhetteondersteunenprocesgenomenworden,waardooruitvalvaneensysteemminderimpactheeft.Aanvullendemaatregelenzoalsencryptieofanonimiserenkunnenhetrisicometbetrekkingtotvertrouwelijkeinformatiebeperken.Inzulkegevallenkunnenminderzwaremaatregelenopsysteemniveaumogelijkvoldoendezijn.Inhetuiteindelijkeadvieskomenalleoverwegingenenconclusiessamen.
3.2 Kerne igenschappenper processtap
Deonderstaandetabelzetdeprocesstappenachterelkaarengeeftperprocesstapdebelangrijkstekenmerkenweer.
SchemametkenmerkenperprocesstapgeïnspireerdopdepresentatievandeIBDbijVNGdd6oktober2014
Toelichtingbijbuitenscope:Alsdeclassificatievandebeschikbaarheid,integriteitofvertrouwelijkheidopHooguitkomtenhet
It
WERKWIJZE
SETTING
TOOLS
RESULTAAT
UREN INDICATIEF
STAP
Gesprekoverhetassessment
EigenaarenCISO
Classificatieformulier
EindclassificatieBIVbepaald
2uurCISO,1uurperoverigedeelnemer
2.Impactenniveau bepaling
Invullenvragenlijsten
Eigenaaroffunctioneelbeheerder
Vragenlijsten
Basisinzichtineisenencontext
2uurperinvuller
1.Inventarisatie
Workshopoverstandaard
maatregelen
CISOmeteigenaar
Samenvattingclassificatie-rapport
MaatregelenpassendbijBIV-
niveau
1,5uurperdeelnemer
3.Maatregelbeoordeling
Verzameleninformatie,inschattenrisico’senselecteren
VerantwoordelijkemetFG,security
en/ofprivacyofficer
ModelPIA SURF/SCIPR
Gedetailleerdinzichtinrisico’senmaatregelen
8uur
PIA
Deskresearchenworkshop(s)
Eigenaar,beheerder,key
users
Extern(Internet)
Gedetailleerdinzichtinrisico’senmaatregelen
16uur
Risicoanalyse
Kenmerk Scopeleidraadclassificatie Buitenscope
SCIPR Leidraad classificatie
13/20
assessmentnietleidttotvertrouwenindejuistheidvandegekozensetmaatregelen,wordthetuitvoerenvaneenrisicoanalysegeadviseerd.
Alsuithetinvullenvandeinventariserendevragenlijstblijktdatpersoonsgegevensverwerktworden,danis[volgensrichtsnoerhetCBP]eenrisicoanalyseverplichtendaarvooriseenPIAhetaanbevoleninstrument.Artikel13vandeWbpvereistbijdebeveiligingvanpersoonsgegeveneenrisicogerichtebenadering3.DePIAkanaanleidinggeventoteenhoge(re)classificatieophetaspectvertrouwelijkheideneventueelooktotaanvullendespecifiekemaatregelen,zekeralséénofmeervandevolgendesituatiesgelden:
§ gegevensbetreffenkwetsbaregroepenindesamenleving(bejaarden,kinderen,patiënten,..);§ gegevensbetreffengrotegroepenpersonen;§ deveiligheidvanbetrokkenloopt(ernstig)gevaaralspersoonsgegevensuitlekkenofonterecht
wordenverwerkt;§ uitlekkenvandepersoonsgegevenskantotidentiteitsfraudeleidenmetgrotepersoonlijkeof
organisatorischeschadetotgevolg(financieel,imago);§ uitlekkenofonterechtverwerkenkanbijbetrokkenenernstigefysiekeen/ofgeestelijkeschade
veroorzaken.
Somsishetwenselijkinvroegstadiumvaneenbusinesscaseofprojectinitiatieeeneerst,globaalbeeldvandeinformatie-elementenencontextteverkrijgen.Indiesituatiekandeinventariserendevragenlijstingezetworden.
3 Pagina 17 CBP richtsnoer “Beveiliging van persoonsgegevens”, februari 2013.
SCIPR Leidraad classificatie
14/20
Bi j lage I : Schadecategor ieën
Somsisbijhetbesprekenvandevragenlijstenhetbepalenvandeimpactonderbuikgevoel.Onderstaandetabelpoogtenigeobjectiviteitintebrengen.Degevolgschadetabelprobeertvervolgensaantegevenwordenhoesterkopmaatregeleningezetmoetworden.Deaanduidingenzijnindicatiefenookdefrequentiewaarmeegebeurtenissenplaatsvindenspeleneenrol.
Schadecategorieën
Gevolgschade financieel imago onderwijs certificatie
klein
Directeschadeligttussen0en€50.000
Eenkleinaantalnegatieveberichteninlokalemedia(inclusiefsocialemedia)
Hooguitverstoringvaneenbeperktaantalactiviteitenopeeninstituutofvakgroep.
Geeninvloedoponderwijscertificatie
middel
Directeschadetussen€50.000en€250.000
Negatieveberichtgevingindemediagedurendeeenpaardagen(inclusiefsocialemedia)
Verstoringvaneendeelvanhetonderwijs(zoalseendeelvaninstituutofvakgroep)
Extratoezichtoponderwijscertificatie
groot
Directeschadetussen€250.000en€1.500.000
Aanhoudendenegatieveberichtgevingindelokalemedia(inclusiefsocialemedia)
Verstoringvaneengrootdeelvanhetonderwijsopeenofmeerinstituten.
Beperkingvanonderwijscertificatie
catastrofaal
Directeschadeisgroterdan€1.500.000
Aanhoudendenegatieveberichtgevingindelandelijkemedia(inclusiefsocialemedia)
Merendeelvanhetonderwijswordtonmogelijkopeenofmeerinstituten
Verliesvanonderwijscertificatie
Gevolgschade B,IofVclassificatieKlein L(laag)Middel M(midden)Groot MofH(hoog)Catastrofaal Hgrotehoeveelhedenofcontinuïteitingevaar
Risico GevolgschadeKansopinbreuk
klein middel groot catastrofaal
dagelijks maandelijks jaarlijks zelden
RisicovaltonderBusinessContinuityManagement
ontoelaatbaarrisico bespreekbaarrisico acceptabelrisico
SCIPR Leidraad classificatie
15/20
Bi j lage I I : Template Samenvatt ing c lass i f i cat ierapport
Algemeen Functioneeleigenaar Dienst..Functie Telefoonnummer Laatstedatuminvullen Teclassificerenonderwerp
Informatie o.a.Studentgegevens,…4Risico’s <algemenebeschrijvingrisico’s> Classificatieenrisicoanalyse Beschikbaarheid Integriteit Vertrouwelijkheid Geadviseerdbeveiligingsniveau Eindadvies XvoldoetindehuidigeconstructieWEL/NIETaanhet
modelvaninformatieclassificatie,indienvoldaanwordtaandeonderstaandeacties
Acties A.B.C.
Isereenmotivatieomaftewijkenvandeconclusie(doordefunctioneeleigenaar)?Ja/NeeIndienereenafwijkingis:
- Geefdeafwijking,eventueeltegenmaatregelenhetrestrisicoaan- Ishetrestrisicoacceptabel?Ja/Nee
Aldusopgemaaktd.d.: Naamfunctioneeleigenaar:
4 Bij voorkeur wordt in het volledige rapport een compleet overzicht geleverd van alle gegevens- en bedrijfsobjecten
SCIPR Leidraad classificatie
16/20
Bi j lage I I I : Voorbeeld vragenl i j s t “ Inventar iserend”
Eigenaarschap
Naamverantwoordelijkedienst/opleiding
DienstOnderwijsondersteuning
Naamhoofd/leidinggevende JolandaPeters
Functie DirecteurOnderwijsondersteuning
Contactgegevens [email protected]
Invuldatum 1oktober2015
Inleiding
NaamsaanduidingprocesNaamenkorteomschrijvingvanhetproces
Beherenstudieresultaten
FunctioneledoelenWatdientmethetprocesbereiktteworden;welkedeelprocessenbevathetproces?
§ Bewakenstudievoortgang§ Coachingstudenten§ Diplomeren/Certificeren
TypenwerkplekkenWaarwordendewerkzaamhedeninditprocesuitgevoerd?Metanderewoorden:voorwelketypenwerkplekkenisraadplegingen/ofmutatievangegevensbedoeld?Vermeldhierdemogelijkhedenvoorkantoor,thuisviainternetenmobiel
§ Kantoor(doorinstellingbeheerdewerkplek)§ Onderweg(BOYDeninstellingslaptop)§ Thuis(privéPC,laptop)
KetenverbindingenWordeninditprocesgegevensverzamelddiehergebruiktwordeninandereprocessen,enomwelkegegevensgaathetdan?Vermeldindienrelevantookdeontvangendesysteem-oftoepassingsnamenendenaamvandeeigenaar/eigenarendaarvan.
§ Studentgegevensvanuitinschrijfproces§ StudentenengroepennaarELO§ AfgestudeerdennaarexamenregisterenCRM§ ContactgegevensnaarSMSserver
Aanduidinggegevens
Welkegegevenstypenwordenvastgelegd?Denkaanteksten,tabellen,plaatjese.d.
Gestructureerdegegevensalscontactgegevens,teksten(verslagen,rapporten,werkstukken),studieresultaten(beoordelingen).
SCIPR Leidraad classificatie
17/20
Welkegegevenselementenwordenvastgelegd?Denkaanmeetresultaten,personalia,locaties,financiëne.d.Benoemnadrukkelijkgegevensdieconcurrentie-offraudegevoeligzijn,eninformatiediedirectofindirectherleidbaarisnaarnatuurlijkepersonen.
GegevenselementHORAOpleidingMinorOnderwijsprogrammaOnderwijseenheiduitvoeringOnderwijseenheiddeelnameExamenprogrammaToetsresultaatOnderwijseenheidresultaatOnderwijsovereenkomstDeelnemerWaardedocumentLesgroepLeergroepCompetentieOnderwijsactiviteitDeelnemeractiviteit
BIV-codeMHLMHLMHLMHLMMLMHLLHMLHMLMLMHHLHLMMLLMLLLLMMLMMH
Wordenprivacygevoeligegegevensvastgelegd?AlsgegevensopgeslagenofverwerktwelkeherleidbaarzijntotnatuurlijkepersonendaniseenuitvoerenvaneenPIAverplicht.
Ja.Naarpersoonteherleidenstudieresultaten(deelcijfersencijfers).Ookverslagenvanstudiebegeleidersensamenvattingvanpsychologischegesprekkenentests.
MutatiebevoegdhedenHoeveelpersonenkrijgenrechtenomdegegevenstemuteren?Maakhierbijonderscheid:autorisatievangebruikers,mutatievansysteemtabellen,invoervantransactiese.d.Vermeldookderechtenvan(externe)consultantsbijuitbreidingofonderhoud.
§ Beheerders(6):onderhoudreferentietabellen
§ Backoffice(14):onderhoudenopleidingsspecifiekeinformatie§ Cijfersadminstratie(3):invoeren/corrigerenresultatenvoortoegewezen
faculteiten§ Docenten(600):vastleggenresultaten§ Studiebegeleiders(6):gespreksverslagen,voorzieningenvoor
toegewezenstudenten§ Studenten(6000):Eigengegevensonderhouden
RaadpleegbevoegdhedenHoeveelpersonenkrijgenrechtenomdegegevensintezien?Maakhierbijonderscheid:algemeneraadpleegfuncties,persoonlijkegegevensvanalleendegebruikerzelfe.d.
§ Backoffice:volggegevensvoorallefaculteiten§ Docenten/Studenten:eigenpersoonlijkegegevens§ Studiebegeleiders:begeleidingsgegevensallestudent
BewaartermijnenHoelangwordengegevensbewaard(nadatzebedrijfsmatigzijnafgehandeld)?Denkhierbijaanafgegevendiploma’s,promoties,pensioengegevensenzovoorts.Specificeerdetermijnen,bijvoorbeeldnaeenjaarafsluitingofnadiploma-uitreikingofpensionering.
Gegeven PeriodeStudenteneersteinschrijving 2jaarnauitschrijving
Studenteninschrijvingcollegejaar 7jaarnainschrijving
Numerusfixus 7jaarnaaanpassing
Buitenlandsestudententoelating 5jaarnainschrijving
Studievoortgangbewaking 1jaarna
accountantscontrole
Studentenfinanciëleondersteuning 7jaarnaverstrekking
Studentenbijzonderevoorziening 7jaarnainschrijving
Studentenschorsing 10jaarnaontzegging
Studentenweigeringverwijdering 5jaarnaweigeringof
verwijdering
Studentenuitschrijving 5jaarnauitschrijving
SCIPR Leidraad classificatie
18/20
Verklaringbehaaldetentamens 1jaarnauitgifte
ArchiveringIshetdebedoelingdathistorischegegevensvastgelegddanwelperiodiekweggeschrevennaaranderemedia?Bedoeldishiereeninterneen/ofexternearchiveringsfunctieenderegelmaatwaarmeeditgebeurt.
Bovenstaandegegevensmetbewaartermijn“Bewaren”worden1jaarnaafrondenstudieovergebrachtnaarhetstatischearchief.
Toepassingen
WelkeITtoepassing(en)wordeningezetterondersteuningvanhetproces?Vermeldhierookeventuelealternatieven(pakket,systeem,netwerkcomponente.d.).
PeoplesoftCampusSolutions
SCIPR Leidraad classificatie
19/20
Bi j lage IV : C lass i f i cat ievoorste l vee l voorkomendegegevensobjecten
Ter indicatie bevat onderstaande tabel voor 25 veel voorkomende gegevensobjecten een voorstel voor de BIV classificatieniveaus.
Nr. Dataover KomtvolgensHORAvoorinapplicaties VoorstelBIV
1. Alumni Komtvooralsverwerkingvaninstellingzelfenookbijalumniverenigingen.
MHM
2. Betaaltransacties Betaalsystemen MMM3. Beelden
cameratoezichtOnderwijsFacilitairsysteem
HMH
4. Leden Ledenadministraties MMM5. Toetsen Onderwijs HHH6. Gediplomeerden Examenregister LHM7. Debiteurenen
crediteurenFinancieelsysteem MMM
8. Leners BibliotheeksysteemVertrouwelijkheidhoogindiendebetaal-enleenhistoriewordtbewaard.
LHM/LHH
9. ICTgebruikers Applicatieplatform:Identitymanagementsysteem HHM10. Leveranciers Bedrijfsvoering:Inkoopsysteem LML11. Configuraties Bedrijfsvoering:ITmanagementsysteem LMH12. Kiesgerechtigden NietalszodaniginHORAaanwezig.
Goedvoorbeeldvanniet-bronsysteem:bevatinformatieuitanderebronsystemen.
MHM
13. Academischestaf Samenwerkingssysteem:Nevenwerkopenbaarregister(conformgedragscodeNSVU)
LHL
14. Onderzoeks-projecten
Onderzoeksgegevensbeheersysteem LHM
15. Medewerkers Personeelssysteem MHH16. Relaties Bedrijfsvoering MHH17. Roosters Onderwijsondersteuning HML18. Salarissen Salarisverwerkingssysteem MHH19. Sollicitanten AlsMedewerkers MHH20. Studenten Studenteninformatiesysteem
DocumentManagementSysteemEmailStageenafstudeersystem
MHH
21. Ruimtenengebruikers
Facilitairsysteem:Toegangenbeheersysteem MMM
22. Webcontent Generiek MMH23. Kengetallen ManagementInformatieSysteem
Indienanoniem,danLMLofLHLalszedebasisvormenvanLMLLHH
SCIPR Leidraad classificatie
20/20
Nr. Dataover KomtvolgensHORAvoorinapplicaties VoorstelBIV
grotebedrijfsbeslissingen.IndiennietanoniemdandevertrouwelijkheidHoog.
24. Cursussen,deelnemers
Digitaleleeromgeving MMM
25. Mailberichten,mailadressen
E-mailsysteem HHH