Classificatie, ofwel rubricering, is een term die vaak wordt aangehaald. Juist op het vlak van informatiebeveiliging. Door de verschillende objecten van classificatie leidt dit nogal eens tot verwarring. Want wát classificeer je nu eigenlijk? Wat is het belang van classificatie? En, nog veel belangrijker: wat ga je er vervolgens mee doen? Vandaag een blog die ingaat op deze vragen. Laat ik beginnen met het doel van classificatie, want als je dat niet helder hebt, heeft de hele exercitie weinig zin. Classificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen.

Het doel

Laat ik beginnen met het doel van classificatie, want als je dat niet helder hebt, heeft de hele exercitie weinig zin. Classificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen. Als gemeente beschik je over veel (persoons)gegevens. Om te bepalen welke gegevens in meer of mindere mate beschermd moet worden, kun je de gegevens classificeren. Om een simpel voorbeeld te geven: als je een restaurant hebt bescherm je als ondernemer een uniek recept beter dan de reeds bekende openingstijden. Dus: een hogere classificatie betekent meer technische en/of organisatorische maatregelen.

Het object

Laat duidelijk zijn: het draait bij dataclassificatie altijd om informatie. Dit kan informatie zijn in de ruwe vorm, zoals data/gegevens (dataclassificatie), maar ook informatie in een informatiesysteem (systeemclassificatie) of informatie als onderdeel van een proces (procesclassificatie), wat vooral het geval is in de context van Business Continuity Management. Dat betekent ook dat de classificatie van een informatiesysteem of een proces dus te allen tijde afgeleid is van de classificatie van de ‘onderliggende informatie’. De informatie zelf is leidend. Ofwel in de context van een proces, ofwel in de context van een systeem. Immers, hoe zou je een proces of een systeem op zichzelf kunnen classificeren indien je niet weet welke informatie er in/door gaat?

De aanpak

Maar wat en hoe classificeer je nu eigenlijk? Voor de classificatie zelf wordt gebruik gemaakt van drie normen/niveaus, ook wel de BIV-waarden genoemd:

• Beschikbaarheid – hoeveel en wanneer data toegankelijk is en gebruikt kan worden.
• Integriteit – het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid).
• Vertrouwelijkheid – de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim.

Voor het toekennen van een BIV-waarde aan informatie, wordt er bij elke BIV-waarde onderscheid gemaakt in vier gradaties/niveaus. De relevantie van het toekennen van de juiste gradatie is in dit geval hoog, aangezien het (vereiste) beschermingsniveau hierop wordt gebaseerd door de eigenaar van de gegevens (veelal ook de proceseigenaar). Op basis hiervan wordt bepaald welke beveiligingseisen en -maatregelen genomen moeten worden. De classificatie op BIV bepaalt dus de mate van (informatie)beveiliging.

Dataclassificatie en risicoanalyse

Uiteraard heeft niet elke dreiging/risico een even grote kans om op te treden. Bovendien heeft elke dreiging ook niet dezelfde impact. Om in kaart te brengen wat de impact is van een dreiging, kan een risicoanalyse worden uitgevoerd op elk type data dat op de verschillende informatieststemen of processen die je bezit staat opgeslagen. Het management kan vervolgens bepalen welke dreigingen/risico’s door middel van maatregelen moeten worden aangepakt. In de handreiking dataclassificatie van de Informatiebeveiligingsdienst van gemeenten (IBD) wordt de risicoanalyse bestempeld als een ‘tijdrovend en abstract traject’. En dit is precies waar het belang van dataclassificatie om de hoek komt kijken. Dit traject kan namelijk aanzienlijk worden verlicht door de dataclassificatie-methodiek toe te passen. De classificatiemethodiek kan dienen als basis voor een risicoanalyse doordat het een snelle indicatie geeft van het belang van informatie. Dataclassificatie kan daarmee dus gezien worden als een vereenvoudigde vorm van een risicoanalyse. Tevens brengt de classificatiemethode in kaart of een proces of systeem binnen of buiten de Baseline Informatiebeveiliging voor Gemeenten (BIG) valt. Dit kan helpen bij het bepalen van additionele maatregelen.

Het pad naar het gewenste resultaat

Om je op weg te helpen wordt in de handreiking dataclassificatie een aantal stappen gegeven waarlangs je de classificatieniveaus kunt bepalen:

1. Wettelijke eisen – Welke wetten of regels zijn er van toepassing op het gebruik, de distributie en de opslag van de data? De tactische BIG geeft een overzicht van de relevante wetgeving.
2. Verantwoordelijkheden t.a.v. data – De eigenaar van de gegevens is verantwoordelijk voor de classificatie. Kennis over gebruik, distributie en opslag én kennis van de beveiligingscontext ligt veelal bij anderen.
3. Analyse kritische bedrijfsprocessen – Classificatieniveaus zijn afgeleid van de waarde van informatie en het belang van het bedrijfsproces waarin deze data een rol speelt. Stel daarom vast wat het belang is van de bedrijfsvoeringsprocessen voor de organisatie en hoe deze processen worden ondersteund door de ICT-voorzieningen.
4. Afweging; criteria bij het bepalen van het classificatieniveau – Voor het nemen van technische en organisatorische maatregelen worden drie criteria benoemt: 1) de stand der techniek, 2) de kosten van de tenuitvoerlegging en 3) de risico’s die de verwerking met zich meebrengt.
5. Het resultaat – Het resultaat van de analyse wordt gepresenteerd in een classificatierapport, met daarin een uitwerking van de drie BIV-waarden.

De implementatie

Tot slot, de stap die dan eigenlijk nog ontbreekt, is het daadwekelijk doen, ofwel de implementatie. Wanneer je de beveiligingseisen per classificatie niet helder hebt en/of niet opvolgt (het feitelijk handelen conform de classificatie), dan heeft classificatie weinig zin. Dat is inderdaad een open deur, maar velen gaan er door. Mijn advies is dan ook: start dus pas met het feitelijk classificeren van data/informatie zodra je de:

• classificatieniveaus scherp verwoord hebt voor de BIV-waarden;
• de beveiligingseisen per classificatieniveau hebt gedefinieerd;
• de eerste twee punten overzichtelijk bij elkaar komen in een ‘model’ dat over te dragen is aan de data- en/of proceseigenaren;
• taken en verantwoordelijkheden op het gebied van classificatie goed belegd zijn (incl. toezicht).

Uiteraard zijn er meerdere wegen naar Rome: je kan starten met dataclassificatie, systeemclassificatie of procesclassificatie. Belangrijkste is echter dat je ze wel goed van elkaar weet te onderscheiden.