In het opzetten van een sterk informatiebeveiligingsbeleid (IB-beleid) vormt de informatieclassificatie een van de belangrijkste bouwstenen. Alle informatie – in de breedste zin van het woord – waar een organisatie over beschikt moet een passende classificatie krijgen, van de gezondheidsgegevens van cliënten tot aan informatiebrochures in de wachtkamer. In deze blog wordt nader ingegaan op het belang van informatieclassificatie en labeling.
Om ervoor te zorgen dat kritieke bedrijfsprocessen een adequaat beschermingsniveau verkrijgen, is een inventarisatie en classificatie van informatie cruciaal. Het classificeren van informatie zorgt ervoor dat per gegeven (gegevensgroep of gegevenssoort) helder wordt wat het belang ervan is voor de bedrijfsprocessen.
Het doel van de informatieclassificatie is om ervoor te zorgen dat gegevens een gewenst beschermingsniveau verkrijgen, dit wordt bepaald naar rato het belang van de informatie voor de organisatie. Voorafgaand aan de classificering zal een organisatie dus moeten nadenken over het belang van een gegeven voor de bedrijfsprocessen. De gegevens worden geclassificeerd op basis van de beschikbaarheid (continuïteit), integriteit (betrouwbaarheid) en vertrouwelijkheid (exclusiviteit).
In de praktijk ziet dit op de vraag in hoeverre het toelaatbaar is dat de toegang tot bepaalde informatie wordt vertraagd. De mate van beschikbaarheid wordt bepaald aan de hand van drie kenmerken. Allereerst de ‘tijdigheid’ van de informatie: kan de informatie worden geleverd op het moment dat deze nodig is? Vervolgens is er het ‘continuïteitsaspect’ dat ziet op de mogelijkheid om de informatie in de toekomst te leveren. En tot slot is er nog de ‘robuustheid’ van de informatie: is de informatie bestand tegen verstoringen?
De integriteit van informatie houdt in dat informatie correct en volledig dient te zijn, en dat niets ten onrechte wordt achtergehouden of verdwijnt. Vragen die gesteld kunnen worden om de mate van integriteit te bepalen zijn: Is de informatie nog up to date? Is de bron van de ontvangen informatie juist? Is de informatie controleerbaar? Is de informatie nauwkeurig? Het komt erop neer dat met het bepalen van de mate van integriteit duidelijk wordt in hoeverre onjuistheid of onvolledigheid van de informatie schade oplevert voor de organisatie.
Tot slot is er nog de vertrouwelijkheid. Dit zegt iets over wie bevoegd is kennis te nemen van de informatie, en of bepaalde informatie gekopieerd, aangepast of vernietigd mag worden. Vertrouwelijkheid bestaat uit de twee kenmerken ‘exclusiviteit’ en ‘privacy’. De mate van exclusiviteit van informatie wordt bepaald aan de hand van de mogelijkheid om informatie af te schermen voor onbevoegden. Het niveau van privacy dat hoort bij een bepaald gegeven bepaalt de manier waarop omgegaan dient te worden met desbetreffende gegevenssoort.
Verder dient voor de volledigheid nog opgemerkt te worden dat het in de meeste situaties nuttig is om een Business Impact Analyse (BIA) uit te laten voeren voorafgaand aan het classificeren van de informatie. Met een BIA wordt in kaart gebracht wat de kritische bedrijfsprocessen zijn in jouw organisatie. Hierdoor wordt het makkelijker de informatie te classificeren en ben je in staat om weloverwogen te kiezen voor passende beheersmaatregelen. In onze blogs ‘Waarom is een Business Impact Analyse essentieel voor je informatiebeveiliging?’, ‘Hoe voer je een Business Impact Analyse uit?’ en ‘Hoe stel je een business continuïteitsplan op?’ gaan wij uitgebreid in op het belang van een BIA.
Uit voorgaande is gebleken dat de beschikbaarheid, integriteit en vertrouwelijkheid meewegen in het classificeren van de informatie. Bij het labelen van informatie is dit niet het geval, daarbij wordt enkel het aspect ‘vertrouwelijkheid’ meegewogen. Informatie wordt gelabeld, zodat de juiste mate van bescherming kan worden gehanteerd.
Afhankelijk van het toegewezen label wordt bepaald wie toegang heeft tot bepaalde informatie. Veelgebruikte labels zijn: openbaar, intern, vertrouwelijk en geheim.
Openbaar |
Informatie die door ingezien mag worden, denk bijvoorbeeld aan de openbare website van een organisatie. |
Intern |
Informatie die enkel toegankelijk is voor de medewerkers (denk bijvoorbeeld aan informatie op intranet). |
Vertrouwelijk |
Informatie die enkel beschikbaar is voor een selecte groep, deze classificatie is vaak relevant voor persoonsgegevens of financiële gegevens. |
Geheim |
Informatie die alleen toegankelijk is voor direct geadresseerden. Hierbij kan worden gedacht aan bijvoorbeeld strafrechtelijke informatie. |
Het toegewezen label zegt iets over wat met de informatie gedaan mag worden. Hoe vertrouwelijker de informatie, hoe strenger het beschermd moet worden. Zo kan je afspreken om interne informatie niet te mailen naar mailadressen buiten de organisatie. Voor vertrouwelijke informatie geldt meestal het uitgangspunt dat deze (zonder toestemming) niet gedeeld mag worden – ook niet binnen de organisatie – op wat voor manier dan ook en het wordt vaak ook beschermd met een vorm van encryptie. Voor geheime informatie moeten nog zwaardere veiligheidsmaatregelen genomen worden. Gedacht kan worden aan een (digitale) kluis.
In het kader van het inrichten van informatiebeveiliging die voldoet aan de ISO 27001 spelen de classificatie en labeling van informatie dus een onmisbare rol. Een passende classificatie en labeling kunnen in de praktijk helpen bij het kiezen van passende beheersmaatregelen en is een eerste stap in het verzekeren van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.
Deze blog is geschreven in samenwerking met Darinka Zaric.
Wij helpen je graag bij de beveiliging van informatie. Lees meer over onze dienst security.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.