Notitie
aanmaakdatum 29 februari 2007 onderwerp
DIV systemen classificatie naar BIV
contactpersoon A. v. Dreumel telefoon (073) 629 52 95
van A. v. Dreumel
Actuele datum: 31 mei 2010
Inleiding Doel Te komen tot een gestructureerde aanpak van informatiebeveiliging binnen de AVANS organisatie is het essentieel om de beheerde systemen naar importantie in te delen De Code voor Informatiebeveiliging (uitgave door het Nederlands Normalisatie Instituut – NNI) is een uitstekende leidraad hiervoor. De Code voor Informatiebeveiliging kent tien stappen om informatiebeveiliging goed op te zetten (stappenvoorbereiding) in een organisatie. In stap 3 wordt de classificatie en beheer van bedrijfsmiddenen uitgewerkt. Deze stelt dat er een overzicht van alle belangrijke informatiebedrijfsmiddenen en ict-bedrijfsmiddenen vervaardigd dient te worden. Dit overzicht moet er toe bijdragen dat alle bedrijfsmiddenen op de juiste manier beveiligd blijven. Hiertoe moeten de belangrijkste bedrijfsmiddenen worden geïnventariseerd. Door midden van classificatie wordt het juiste beveiligingsniveau voor bedrijfsmiddenen bepaald. Voor classificatie bestaat geen officiële standaard, daarom moet men voorzichtig zijn bij het interpreteren van classificaties gedaan door andere bedrijven. Hoe Om te komen tot een aanzet kunnen we, conform de code, de systemen waarvan DIV geacht wordt het EIGENAARSCHAP te hebben deze te classificeren naar hun waarde voor de (deel)organisatie. De systemen kunnen geclassificeerd worden op basis van de beveiligingsaspecten : Beschikbaarheid Onder beschikbaarheid wordt verstaan het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddenen. Integriteit Onder integriteit wordt verstaan het waarborgen van de correctheid en de volledigheid van informatie en verwerking. Vertrouwelijkheid Onder vertrouwelijkheid wordt verstaan het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
Classificatie DIV systemen (een aanzet) Systeem
Appl type
Eigenaar (afdeling / bevraagd)
Clientèle
Call registratie Systeem
DIF - Ina Kluijtmans
GP-Untis
Roostering (maken)
DIF - Thea v. Rijen
WinLRS
Roostering (wijzigingen aanbrengen) Gebouw toegangssysteem – backoffice deel) Betaal systeem (alleen uitlezen gegevens)
DIF - Thea v. Rijen
Reservering (reserverenvan LIC en ICT midd.) Betalen (Albron\ printen) EN toegang E-mail
DIF - Hans Trommelen (i.s.m. Ellen Simons) DIF - Ina Kluijtmans (i.s.m. Lars Derde) DIF - Hans Dingemans
* Secure Perfect
** Questor (kassasysteem)
Resource > inmiddens vervangen door Planon Chipkaart Systemen Groupwise
BeschikBaarheid
Integriteit gegevens
midden ( tijdel. terugval op papier?)
laag
Vertrouwelijkheid (eyes only?) laag
Risico classificatie*
laag (Ik neem aan dat dit gepland vooraf gebeurt ) laag (idem)
laag
laag
Standaard
laag
laag
Standaard
DIF - Ernest Smolders
laag (want is geen live verbinding)
midden
laag
Standaard
DIF - Patrick Dingenouts
laag (alleen uitlezen van gegevens dus kan uitstel verdragen) laag (kan enig uitstel dulden)
midden
laag\midden
gevoelig
laag
laag
standaard
midden (i.v.m. betalen)
Hoog
midden
gevoelig
midden (lastig maar
laag
laag
standaard
Standaard
Systeem
Appl type
Eigenaar (afdeling / bevraagd)
BeschikBaarheid
mail wordt gebufferd en later alsnog bezorgd) hoog (voorwaarde scheppend voor toegang tot netwerk + afnemende (externe) systemen) laag (kan m.i. enige uitval verdragen)
Integriteit gegevens
Vertrouwelijkheid (eyes only?)
Risico classificatie*
hoog
laag
kritisch
hoog
laag
kritisch
NDS Meta Directory DirXML (Radius, Ldap, …)
Id-manag. (authenticatie EN autorisatie)
DIF -Hans Dingemans
Integration Broker
Middenware inzake IDmanagement?
DIF - Ina Kluijtmans
FMS
Financieele mgmt systeem
DFS - Gerdinand Bosch
midden
hoog
hoog
kritisch
Osiris
Studenten administratie geg. Inschrijven enz
DFS - Gerdinand Bosch
hoog
hoog
hoog
kritisch
DFS - Gerdinand Bosch
hoog
hoog
hoog
kritisch
RPMO
Systeem
Appl type
Telefonie
Eigenaar (afdeling / bevraagd)
BeschikBaarheid
Integriteit gegevens
Vertrouwelijkheid (eyes only?)
Risico classificatie*
hoog
midden
midden
kritisch
midden
midden
laag
gevoelig
DIF
Portal
Intranet
DMCS – Huub Hameleers
Planon
Reserveringssyst eem en ..
DIF LIC -
Corsa
Document mgmt systeem, o.a. voor factureringen
DFS -
Avans.nl
Website
DMCS -
Blackboard
Electronische leeromgeving
LIC -
hoog
midden
midden
kritisch
Pica
Bibliotheek systeem
LIC -
midden
midden
laag
gevoelig
Systeem
Appl type
Eigenaar (afdeling / bevraagd)
Resource >
Reservering (reserverenvan LIC en ICT midd.)
DIF LIC -
Teleform
DIF LIC - Henk Opstal
Edukaat
Personeelsinformatie Systeem
DP&O
Pcounter
Printaccounting
DIF -
BeschikBaarheid
Integriteit gegevens
midden
laag
Vertrouwelijkheid (eyes only?) laag
laag
hoog
laag
Risico classificatie*
gevoelig
kritisch
* is geen ‘online’ systeem, toegangscontrole werkt enkele dagen autonoom door. Beschikbaarheidseis derhalve laag. ** ik ga er vanuit aan dat uitwijk\terugval naar papieren registratie en cash mogelijk is voor ’n bepaalde periode wat dus de beschikbaarheidseis drukt.
Classificatie naar beveiligingsaspect: laag\ midden\ hoog 1. laag: standaard voorzieningen t.a.v. de BIV aspecten volstaan (geen extra maatregelen\voorzieningen nodig) - het systeem behoeft eenvoudige beschermende
maatregelen; het risico van schade* door misbruik van het betreffende systeem is relatief beperkt en heeft geen verstrekkende gevolgen 2. midden: het systeem behoeft (wellicht) extra beveiligingsmaatregelen boven op de standaardmaatregelen omdat het niet kunnen voldoen aan de eisen in één of meer
van de BIV-aspecten tot schade kan leiden. 3. hoog: onderzocht dient te worden of het systeem voorzien moet worden van (een set van) extra beveiligingsmaatregelen aangezien het niet kunnen voldoen aan
de eisen in één of meer van de BIV-aspecten tot substantiële schade kan leiden.
*Onder schade wordt ook verstaan: overtreding van wettelijke bepalingen en voorschriften, overtreding van uitgevaardigde bepalingen en voorschriften, imagoschade, directe financiële schade a.g.v. verloren gaan van middenen en/of geld, indirecte financiële schade a.g.v.verloren gaan van resultaten van personele inzet
Beveiligingsaspecten Beschikbaarheid NEN7510: Onder beschikbaarheid wordt verstaan de mate waarin de uitval van het bedrijfsprces, informatie(systeem) acceptabel is Geeft aan in hoeverre een ICT-dienst, systeem of component toegankelijk is voor de geautoriseerde gebruikers. Beschikbaarheid van een dienst wordt beïnvloed door verschillende factoren. De belangrijkste is de uitval van de dienst. Daarbij zijn twee verschillende soorten uitval relevant: 1. geplande onbeschikbaarheid 2. ongeplande onbeschikbaarheid Bij het bepalen van de de beschikbaarheid wordt de geplande onbeschikbaarheid niet meegenomen. Dat wil zeggen dat het geplande onderhoud geen negatieve invloed heeft op de beschikbaarheid die wordt gerapporteerd, tenzij de planning wordt overschreden. Een andere factor is de bereikbaarheid, bijvoorbeeld door uitval van een tussenliggende component zoals het Internet. Deze factor leidt tot de perceptie van onbeschikbaarheid, maar leidt niet tot lagere beschikbaarheid. Beschikbaarheid van een dienst is afhankelijk van de beschikbaarheid van elk van de samenstellende delen.
Integriteit NEN7510: Integriteit heeft betrekking op de mate van juistheid of volledigheid van de uitvoering van het bedrijfsproces, van het informatie(systeem) Het begrip integriteit is een kwaliteitskenmerk van gegevens in het kader van de informatiebeveiliging. Het is een synoniem voor betrouwbaarheid. Een betrouwbaar gegeven is: - juist, volledig, tijdig en geautoriseerd (gemuteerd door een persoon die gerechtigd is de mutatie aan te brengen)
Vertrouwelijkheid NEN7510: Vertrouwelijkheid heeft betrekking op de mate van gewenste openbaarmaking of verspreiding van de inhoud van het bedrijfsproces, van het informatie(systeem). De mate waarin de bevoegdheid en de mogelijkheid tot lezen, kopiëren of kennisnemen wordt beperkt tot een gedefinieerde groep van gerechtigden.
Beveiligingsklassen(bron: NEN7510) De juiste klasse van beschikbaarheid, integriteit en vertrouwelijkheid voor het object van analyse wordt bepaald door het uitvoeren van een risicoanalyse. Deze activiteit wordt verricht door of namens de verantwoordelijke van het bedrijfsproces, informatiesysteem of de informatie. Voor beschikbaarheid\ integritieit en vertrouwelijkheid van bedrijfsprocessen, informatiesystemen en informatie wordt de volgende indeling in klassen gehanteerd.
Beschikbaarheid Klasse
Definitie
Voorbeeld
Standaard
Uitval van het bedrijfsproces, informatie(systeem) levert geen schade op voor AVANS
Voorlichtingsactiviteiten
Gevoelig
Uitval van het bedrijfsproces, informatie(systeem) levert beperkte schade op voor AVANS
Financiële administratie
Kritisch
Uitval van het bedrijfsproces, informatie(systeem) levert grote schade op voor AVANS
Elektronische leeromgeving\ roostergegevens. Verstoring prim proces
Klasse
Definitie
Voorbeeld
Standaard
Onjuistheid of onvolledigheid van de uitvoering van het bedrijfsproces, van het informatie(systeem) levert geen schade op voor AVANS
Menu restaurant
Gevoelig
Onjuistheid of onvolledigheid van de uitvoering van het bedrijfsproces, van het informatie(systeem) levert beperkte schade op voor AVANS
Verslag werkoverleg
Kritisch
Onjuistheid of onvolledigheid van de uitvoering van het bedrijfsproces, van het informatie(systeem) levert grote schade op voor AVANS
Financiële administratie
Integriteit
Vertrouwelijkheid Klasse
Definitie
Voorbeeld
Standaard (openbaar)
Ongewenste openbaarmaking of verspreiding van de inhoud van het bedrijfsproces, van het informatie(systeem) levert geen schade op voor AVANS
Roostergegevens
Gevoelig (voor intern gebruik)
Ongewenste openbaarmaking of verspreiding van de inhoud van het bedrijfsproces, van het informatie(systeem) levert beperkte schade op voor AVANS
Kritisch (vertrouwelijk)
Ongewenste openbaarmaking of verspreiding van de inhoud van het bedrijfsproces, van het informatie(systeem) levert grote schade op voor AVANS
Stud.\medew. Adminstratie
Classificatie voorbeeld (bron NEN7510)
Aspect
Standaard (laag) Uitval acceptabel
Classificatie van het object van analyse Gevoelig (midden) Korte uitval acceptabel
Kritisch (hoog) Onmisbaar
Beschikbaarheid bijv. Integriteit bijv. Vertrouwelijkheid bijv.
Deel oeducatieve applicaties Fouten acceptabel Standaard educatieve applic “Openbaar” Opleidingen overzicht - internet
Fin. admin. Enkele fouten acceptabel
Osiris fouten onacceptabel Financ administratie “Vertrouwelijk”
“Voor intern gebruik” (bv privacy aspect) Telefoongids – Intranet
Fin. /pers. Administartie
Voorbeeld concretisering beschikbaarheid Concretisering beschikbaarheid
- Standaard (best effort)
- soms uitval
nauwelijks uitval
- onmisbaar
Maximum aanvaardbare Server (service) downtime, per gebeurtenis Op welke dagen? Gedurende welke uren?
3 werkdagen
1 dag
1 uur
1 uur
Maan-vrijdag Kantoortijden
maan-vrijdag Kantoortijden
maan-vrijdag openingstijden
7 dagen 24u
Verwacht beschikbaarheidspercentage => Verwachte max. downtime
80%
95%
99.5%
99.9%
= 1 dag/week
= 2 uur/week
= 20 min./week
= 12 min./maand
Breda, 's-Hertogenbosch, Tilburg
Bedreigingen • Beschikbaarheid • menselijke fouten dan wel opzet • calamiteiten en bijna-calamiteiten – wateroverlast, brand • opzettelijk (intern danwel extern) – bv DOS aanval, mailbom ed • Integriteit • identiteitsdiefstal • database corruptie • fraude • Vertrouwelijkheid • hacken • fouten vanuit toegangsbeheer • toegang door ‘god-mode’ beheerder
Maatregelen Er zijn vier typen maatregelen: • Organisatorisch - zodat de manier van werken en verdeling van bevoegdheden het risico verkleinen. Denkt u hierbij aan functiescheiding (de een accordeert, de ander verifieert). • Fysiek - zodat het praktisch moeilijker wordt om schade aan te richten. Denkt u hierbij aan toegangsbeveiliging of het achter slot en grendel zetten van belangrijke opslagmedia. • Procedureel - zodat de uitvoering van een taak ook controlerend werkt. Denkt u hierbij aan het voorschrift hoe om te gaan met oude documenten. • Technisch - zodat ongeoorloofd handelen onmogelijk wordt en informatiestromen niet gevolgd kunnen worden. Denkt u hierbij aan het versleutelen van het netwerkverkeer zodat afluisteren niets oplevert. Voor onderstaande matrix geldt dat de maatregelen genoemd bij midden uiteraard ook van toepassing zijn voor klasse hoog indien niet specifiek benoemd.
Beschikbaarheid
Laag\standaard - geen verder eisen - spofs acceptabel
Midden\gevoelig - firewall - enkele spofs - monitoring - virusscanners
Hoog\kritisch - spofs elimineren - redundantie inbouwen - clustering - alarmering - contracten met derden - plankvoorraad
Integriteit
- geen verder eisen
- backup\ restore - externe opslag backup - logging
- certificaten - functiescheiding - invoercontroles
Vertrouwelijkheid
- geen verder eisen
- toegangsbeperking (account\ww –
- Encryptie gegevens - toegangsbeperkingen
datum 1 maart 2007 pagina 10 van 22
zwakke authenticatie) - segmentering netwerk - clear desk - clear screen - externe toegang onder condities
(sterke authenticatie) - geen externe toegang - vernietiging bij afvoer gegevens - fysieke toegangsbeperkingen
Classificatie maatregelen • Preventie - om een risico te voorkomen. bijv. een firewall, virusscansoftware, toegangsbeveiliging met wachtwoorden, beperking toegang ruimtes, functiescheiding • Reductie - om een risico te beperken. Bijv. deel netwerk afsluiten om ongewenste activiteit te blokkeren. • Detectie - om een probleem te ontdekken. Bijv. monitoring en logging. • Repressie - om schade te beperken, gevolgen onderdrukken. Bijv. blokkeren van useraccount. • Correctie - om aangerichte schade te herstellen. Bijv. een backup-restore en papieren administraties ten behoeve van herstel. • Overdracht - het overdragen van de beheersing van bepaalde risico’s naar gespecialiseerde derden. Zoals in het geval naar verzekeringsbedrijven, beveiligingsbedrijven of softwareleveranciers (SLA’s). • Acceptatie - het bewust accepteren van risico’s, waarvan de kans of gevolgen zodanig klein is of de kosten zodanig hoog zijn dat het instellen van maatregelen geen nut heeft of niet mogelijk is
datum 1 maart 2007 pagina 11 van 22
Bijlage x. - Overzicht mogelijke beveiligingsmaatregelen (bron: NEN7510) – als voorbeeld bedoelt. Let op: in de kolommen zijn alleen de extra maatregelen opgenomen die voor een hoger niveau gelden. Alle eisen uit lagere niveaus zijn dus ook van toepassing. Voor de drie klassen in relatie met het aspect beschikbaarheid gelden op hoofdlijnen de volgende maatregelen. Blauw = vallen onder directe verantwoordelijkheid DIF Beveiligingsmaatregelen voor het aspect ‘Beschikbaarheid’ Laag
Midden
Hoog
Back-up en off-site storage
Back-up en off-site storage
Alleen basismaatregelen* Back-up en off-site storage
Dagelijks back-up van Mirroring van Dagelijks back-up van programmatuur en programmatuur en programmatuur en gegevens* gegevens* gegevens Opslag van back-up op Fysiek gescheiden Continuïteitsmaatregelen afstand van origineel* locaties voor mirrorsets Single points of failure Continuïteitsmaatregelen van programmatuur en (spof’s) acceptabel Beperkt aantal single gegevens* Geen spec. points of failure (spof’s) beschikbaarheidseisen Conform Continuïteitsmaatregelen beschikbaarheidseisen* Geen single points of Up-to-date failure (spof’s) continuïteitsplan Maatregelen regelmatig Regelmatig controleren laten controleren door en oefenen van plannen een onafhankelijke en voorzieningen derde -
Bepaal in aanvulling op de bovenstaande punten de specifieke maatregelen voor het object van analyse teneinde te kunnen voldoen aan het gewenste beveiligingsniveau. Voor de drie klassen in relatie met het aspect integriteit gelden op hoofdlijnen de volgende maatregelen. Beveiligingsmaatregelen voor het aspect ‘Integriteit’ Laag
Midden
Invoer
Invoer
-
Geen voorzieningen
Opslag
-
-
Geen integriteitcontroles Verwerking Geen controle voorzieningen Uitvoer Geen handmatige\ geautomatiseerde
Hoog Invoer Verplichte invoercontrole door uitvoerende Geautomatiseerde invoercontroles
Opslag
-
-
-
Integriteitcontroles in databases Verwerking Handmatige en geautomatiseerde controles van de verwerking
Verplichte invoercontrole door onafhankelijke tweede persoon Maximale geautomatiseerde invoercontroles
Opslag
-
Maximale integriteitcontroles in databases
datum 1 maart 2007 pagina 12 van 22
controles van de uitvoer
Uitvoer
-
Handmatige en geautomatiseerde controles van de uitvoer
Verwerking Maximale handmatige en geautomatiseerde controles van de verwerking Uitvoer Maximale handmatige en geautomatiseerde controles van de uitvoer
Bepaal in aanvulling op de bovenstaande punten de specifieke maatregelen voor het object van analyse teneinde te kunnen voldoen aan het gewenste beveiligingsniveau. Voor de drie klassen in relatie met het aspect vertrouwelijkheid gelden op hoofdlijnen de volgende maatregelen.
Beveiligingsmaatregelen voor het aspect ‘Vertrouwelijkheid’ Laag “Openbaar”
Midden “Voor intern gebruik”
Hoog “Vertrouwelijk”
Toegang Geen voorzieningen (vgl internet) Omgang, opslag en verwerking Geen voorzieningen Mobiele apparatuur Geen voorzieningen
Toegang Op basis van ‘need-to-know’ Account met wachtwoordbeveiliging
Toegang Alleen na toestemming eigenaar Plaatsing beeldschermen met voorkoming meelezen Omgang, opslag en verwerking Fysieke toegangscontrole ruimten opslag vertrouwelijke informatie Opslag met encryptie Mobiele apparatuur Encryptie Kopiëren Beperkt toegestaan Verspreiden op papier Met vermelding van ‘vertrouwelijk’ op envelop Verspreiden via interne mail Met ontvangstbevestiging Verspreiden via externe mail
Omgang, opslag en verwerking Inzage ongeautoriseerde personen voorkomen Clear desk en clear screen policy
Mobiele apparatuur Wachtwoordbeveiliging bij opstarten Kopiëren Naleven auteursrechtelijke beperkingen Verspreiden op papier Naleven auteursrechtelijke beperkingen Op basis van ‘need-to-know’ Verspreiden via interne mail Geen beperkingen Verspreiden via externe mail Met ontvangstbevestiging Publiceren op het intranet Geen beperkingen
datum 1 maart 2007 pagina 13 van 22
Beveiligingsmaatregelen voor het aspect ‘Vertrouwelijkheid’ Laag “Openbaar”
Midden “Voor intern gebruik”
Hoog “Vertrouwelijk”
Publiceren op het internet Met encryptie Fax Geen beperkingen Reizen Geen beperkingen Thuiswerken Geen beperkingen Vernietigen Geen beperkingen
Met encryptie Publiceren op het intranet Met toegangscontrole Publiceren op het internet Met toegangscontrole Met encryptie Fax Verzending vooraf aankondigen Ontvangst telefonisch controleren Reizen Meekijken tijdens vervoer voorkomen Bagage tijdens vervoer onder toezicht Thuiswerken Alleen na toestemming eigenaar Beveiligde opslag van documenten Vernietigen Volgens procedures door geautoriseerde personen of organisatie
Bepaal in aanvulling op de bovenstaande punten de specifieke maatregelen voor het object van analyse teneinde te kunnen voldoen aan het gewenste beveiligingsniveau. * voor basismaatregelen zie bijlage 4
Breda, 's-Hertogenbosch, Tilburg
Bijlage x – actuele basismaatregelen (standaard)
Gebied Externe netwerk (WAN)
Voorziening Dubbel uitvoeren (redundantie) [kritische] apparatuur Contracten met derden Redundant uitvoeren koppeling netwerken AVANS locaties
Lokale netwerk (LAN)
Opdeling AVANS netwerk (segmentering) o.b.v. beveilgingscriteria Dubbel uitvoeren (redundantie) [kritische] apparatuur Redundant uitvoeren koppelingen locatie netwerken Onderhoudscontracten apparatuur met derden Clustering van systemen (servers kunne taken overnemen) Toegangsbeperking tot AVANS netwerk\systemen\programma's\bestanden Alleen geregistreerde, gekende gebruikers hebben toegang tot de systemen waarvoor men geautorisserd is IDS (wifi deel)
Draadloos netwerk
IDS Automatisch netwerktoegang blokkeren voor besmette\bedreigde systemen - quarantaine net (toekomst)
Internet
Firewalls IDS
Serversystemen
Backup\restore voorzieningen (dagelijkse backup, backuptapes extern opgeslagen) Redundantie servers (dubbel uitvoeren) – clustering Redundant uitvoeren systeemonderdelen (voedingen ed) Onderhoudscontracten apparatuur met derden Apparatuur voor opvangen netspanningsschommelingen en kortstondige uitval (UPS) Anti-virus (centraal beheerd)
datum 1 maart 2007 pagina 15 van 22
Anti-spam (e-mail servers) Apparatuur afgeschermde, geconditioneerde ruimtes Klimaat controle systeem Toegangsbeperking serverruimtes\systemen Logging Monitoring AVANS Computers
Automatisch uitrol nieuwe programma updates Anti-virus en – spyware voorzieningen (centraal beheerd) Anti-diefstal kabels
Audiovisuele voorz.
Anti-diefstal kabels Kasten
Fysiek
Sleutelplan Facility card Camera bewaking Inbraakalarm Brandalarm
Beleid
Gedragsregels (en sancties) - Wachtwoorden (Sterk wachtwoord\ persoonsgebonden) - Melding beveiligingsincident - Pc gebruik (copyright\ P2P\ verbod installatie prg's\ …) - E-mail gebruik (persoonsgebonden, nettiquette) - Internet gebruik (nettiquette )
datum 1 maart 2007 pagina 16 van 22
Bijlage x – Verantwoordelijkheden
Rolverdeling\ Verantwoordelijkheden
Door
Wat
Eigenaar
Classificatie o.b.v: Risico analyse Opstellen eisen\maatregelen Controle op naleving maatregelen
ICT
Beheer Opstellen ICT maatregelen Invoeren ICT maatregelen Rapportage incidenten (beschikbaarheid, integriteit, vertrouwelijkheid)
Lijnmanagement
Toezien op de naleving van de richtlijn voor classificatie en de hieruit voortvloeiende gebruiksregels
Coördinator Informatiebeveiliging
Bijdrage leveren aan het bepalen van de classificatie
[Security Officer]
Bbepalen van de methode van classificatie en risicoanalyse
[Interne Controle]
Onafhankelijke controle naleving richtlijn classificatie
Verantwoordelijkheden (bron: NEN7510) Verantwoordelijkheden - Verantwoordelijke bedrijfsproces
bepalen van de classificatie o.b.v. risicoanalyse Informatie(systeem)
- Lijnmanagement
toezien op de naleving van de richtlijn voor classificatie en de hieruit voortvloeiende gebruiksregels
datum 1 maart 2007 pagina 17 van 22
- Coördinator Informatiebeveiliging
bijdrage leveren aan het bepalen van de classificatie
- [Security Officer]
bepalen van de methode van classificatie en risicoanalyse
- [Interne Controle]
Onafhankelijke controle naleving richtlijn classificatie
datum 1 maart 2007 pagina 18 van 22
Bijlage x - Risico classificatie (mbt persoonsgegevens) – AvD: hier bedoelt als toegift aangezien dit onderdeel (CLASSIFICATIE) naar mijn bescheiden oordeel een AVANS\DPAO verantwoordelijkheid behelst.
Privacy wetgeving
Weinig gegevens Veel gegevens
persoonsgegevens
Bijzondere persoonsgeg
Klasse 0 Klasse I
Klasse II of III Klasse II
Financ en/of econ gegev. Klasse II Klasse III
Bijv studievoortgang: veel finan en econ gegevens > hoge mate van beveiliging vereist
WBP (bron: http://www.nedsecure.nl/index.php?option=com_content&task=view&id=64&Itemid=44&lang=) De Wet Bescherming Persoonsgegevens (WBP) is in het leven geroepen om organisaties die persoonsgegevens verwerken (elke activiteit rondom persoonsgegevens), te verplichten tot het nemen van bepaalde voorzorgsmaatregelen zodat de opgeslagen gegevens niet ten nadele van de desbetreffende personen gebruikt kunnen worden. Risicoklassen Verschillende soorten persoonsgegevens kennen verschillende gradaties in gevoeligheid. De WBP heeft de soorten persoonsgegevens gecategoriseerd en voorziet in regelgevingen voor elke risicoklasse. De eigenschappen van de risicoklassen worden kort samengevat. Risicoklasse 0: Publiek niveau Openbare persoonsgegevens Lage complexiteit (weinig gekoppelde systemen) Geen risico’s voor de betrokkenen (bij het beoogde gebruik) Geen extra beveiligingseisen Voorbeelden: brochures, telefoonboek Risicoklasse I: Basis niveau Extra persoonsgegevens, zonder bijzondere gegevens
datum 1 maart 2007 pagina 19 van 22
-
Hoge complexiteit (veel gekoppelde systemen) Lichte mate van risico voor de betrokkenen Standaard beveiligingsmaatregelen vereist Voorbeelden: arbeidsrelaties, klantrelaties
Risicoklasse II: Verhoogd risico Bijzondere persoonsgegevens (WBP Artikel 16) Financiële of economische persoonsgegevens Basisgegevens met betrekking tot de gehele of grote delen van de bevolking Lage complexiteit (weinig gekoppelde systemen) Extra risico’s betrokkenen Hogere beveiligingsmaatregelen vereist Voorbeelden: (AvD: financ admin) Risicoklasse III: Hoog risico Verwerking bijzondere persoonsgegevens (opsporingsdiensten) Bijzondere persoonsgegevens waarop geheimhoudingsplicht van toepassing is Hoge complexiteit (veel gekoppelde systemen) Hoog risico voor betrokkenen Hoge complexiteit (veel gekoppelde systemen) Hoog risico voor betrokkenen Beveiliging moet voldoen aan de hoogste normen Voorbeelden: medische gegevens medewerkers
Technologieën Voor de verschillende risicoklassen zijn vele technologieën bruikbaar. Met betrekking tot de verschillende risicoklassen zijn dat de volgende: Risicoklasse I
Risicoklasse II
Risicoklasse III
datum 1 maart 2007 pagina 20 van 22
Access & Identity Management
X
Availability Management
X X
Web Access Compliance Encryptie & PKI Firewall
X
Intrusion Prevention
X
X
X
X
X
X
Unified Threat Management
X
Remote Access Security
X
Malwareprotectie Vulnerability Scanning
X
X
X X
datum 1 maart 2007 pagina 21 van 22
datum 1 maart 2007 pagina 22 van 22