Classificeren van informatie
Een passend beschermingsniveau betekent dat je maatregelen neemt die aansluiten bij de waarde van de te beschermen informatie. Je koopt geen kluis van € 10.000 om hier vervolgens iets met een waarde van € 1.000 in op te slaan. Cybercriminelen denken op een soortgelijke manier. Doorgaans zullen zij alleen hun kostbare resources spenderen wanneer ze denken dat hetgeen wat ze ervoor terugkrijgen een hogere waarde vertegenwoordigd; de criminele businesscase.
Het is belangrijk om naast een minimum beschermingsniveau (vaak vastgelegd in de vorm van een baseline) een mechanisme te hebben waarmee je kunt bepalen of de waarde van de informatie extra beschermingsmaatregelen vereist. Een classificatiemodel maakt dat mogelijk, en wordt beschreven in hoofdstuk 8.2 van de ISO 27002:2013.
Betrouwbaarheidsaspecten
Een classificatiemodel maakt het minimaal mogelijk om informatie te beoordelen tegen de alom bekende betrouwbaarheidsaspecten: beschikbaarheid, integriteit en vertrouwelijkheid. Ik kan hier een volledig classificatiemodel gaan uitwerken, maar verwijs liever naar het document Dataclassificatie van het Centrum Informatiebeveiliging en Privacybescherming. Dit is een uitstekend document wat uitgebreid beschrijft hoe een classificatiemodel eruit ziet en opgezet kan worden. Bovendien geeft het document prima handvatten om het classificatiemodel in de praktijk toe te passen.
In grote lijnen komt het erop neer dat je per betrouwbaarheidsaspect een aantal niveaus (bijvoorbeeld vier) definieert die je een passende naam geeft. Voor beschikbaarheid kom je dan bijvoorbeeld uit op: niet nodig, belangrijk, noodzakelijk, en essentieel. Voorzie elk niveau van een korte beschrijving, zoals bijvoorbeeld “De informatie of service zou niet moeten uitvallen, het bedrijfsproces staat nauwelijks uitval toe. De continuïteit zal snel moeten worden hervat. Schending van deze classificatie kan serieuze (in)directe schade toebrengen.” (voor noodzakelijk).
Vergeet niet per classificatieniveau te beschrijven welke beveiligingseisen van toepassing zijn. Ik kom wel eens over de vloer bij organisaties die heel netjes een classificatiemodel hebben opgesteld, maar dit op een enkele manier hebben gekoppeld aan maatregelen. Dan heeft een dergelijk model weinig toegevoegde waarde. Niemand weet immers wat hij of zij moet doen op het moment dat informatie ten aanzien van bijvoorbeeld de beschikbaarheid wordt geclassificeerd als “noodzakelijk”.
Toepassen
Het bepalen van de bijhorende beveiligingseisen begint met het invullen van vooraf opgestelde vragenlijsten (zie document van het CIP voor een goed voorbeeld) die helpen om het classificatieniveau te bepalen. Dit wordt ook wel de business impact analyse genoemd; je bepaalt wat het gevolg / de impact voor het bedrijf is bij verschillende niveaus van de betrouwbaarheidsaspecten. Zodra de classificatie duidelijk is, bepaal je of de benodigde maatregelen om het classificatieniveau te borgen reeds worden afgedekt door de baseline (die het minimale beveiligingsniveau voor alle informatie beschrijft), of dat er aanvullende maatregelen nodig zijn.
Om dit te kunnen bepalen kun je de baseline als het ware plotten op je classificatiemodel. Schematisch ziet dit er dan bijvoorbeeld als volgt uit.
| Boven-baseline | niveau 1 | niveau 1 | niveau 1 |
| niveau 2 | niveau 2 | niveau 2 | |
| Baseline | niveau 3 | niveau 3 | niveau 3 |
| niveau 4 | niveau 4 | niveau 4 | |
| Beschikbaarheid | Integriteit | Vertrouwelijkheid |
Bovenstaande figuur stelt eigenlijk dat de onderste twee niveaus van de betrouwbaarheidsaspecten, worden afgedekt door maatregelen die worden genomen als gevolg van het toepassen van de baseline. Aangenomen dat de baseline goed is toegepast, betekent dit dat je voor de onderste twee niveaus geen aanvullende maatregelen hoeft te nemen en dat de basisbescherming voldoende is. Zodra de classificatie van een van de betrouwbaarheidsniveaus het baseline niveau overstijgt (de bovenste twee niveaus), dan is er sprake van ‘boven-baseline’ en dan vraag je om voor die betrouwbaarheidsaspecten een risicoanalyse uit te voeren. Het resultaat van de risicoanalyse is dan een set maatregelen die als aanvulling op de baseline genomen dienen te worden om een passend beschermingsniveau te borgen.
Labelen
Wanneer informatie is geclassificeerd kan het handig zijn om deze classificatie aan de informatie te koppelen zodat medewerkers snel kunnen zien met wat voor informatie ze te maken hebben. Handig wanneer er bijvoorbeeld veelvuldig informatie wordt gedeeld met derden. Bij fysieke documenten kun je simpelweg het classificatieniveau op het titelblad van het document vermelden. Bij digitale verwerking kan het gebruik van meta-data of specifiek gebruik van bestandsnamen een uitkomst bieden. Bedenk wanneer en op welke wijze je labeling wil toepassen, en leg dit vast een procedure.
Behandelen van bedrijfsmiddelen
Wanneer er met informatie wordt gewerkt, is het belangrijk om rekening te houden met het classificatieniveau. Zorg er bijvoorbeeld voor dat de autorisaties aansluiten op de classificatieniveaus; niet iedereen hoeft alle informatie te zien. Ook is het goed om bij het uitwisselen van informatie met andere organisaties kennis te nemen van het classificatiemodel van de andere partij. Probeer dit te matchen met het eigen classificatiemodel en ga verantwoordelijk om met informatie van derden.
Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging