Informatiebeveiligingsbeleid en BIV classificatie, wat is het?

Blog van: Berend Tel, Axxemble

07-02-2020

Informatiebeveiligingsbeleid en BIV classificatie, wat is het?

Het opstellen van een informatiebeveiligingsbeleid is van essentieel belang om datalekken en andere incidenten te voorkomen. Werknemers en andere belanghebbenden weten door middel van een beleid exact wat er van hen verwacht wordt in welke situaties. Een goed informatiebeveiligingsbeleid wordt geschreven aan de hand van BIV classificatie.

Als het gaat om informatiebeveiliging wordt er gebruik gemaakt van de zogenaamde BIV classificatie. BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijk.

In dit artikel ontdekt u hoe uw organisatie een informatiebeveiligingsbeleid opstelt aan de hand van de BIV classificatie:

  • Informatiebeveiligingsbeleid opstellen
  • Informatieclassificatie
  • Informatieclassificatie toepassen

Informatiebeveiligingsbeleid opstellen

Het opstellen van een goed informatiebeveiligingsbeleid doet u niet zo maar. Het dient dusdanig geschreven en opgesteld te zijn zodat u de risico’s en schade op gevolg van incidenten kunt beperken.

  1. Context van de organisatie bepalen.
    U dient vast te stellen wat binnen informatiebeveiliging valt en wat niet. Hierbij dient u de business unit, BV’s en afdelingen te benoemen en te beoordelen of deze onder informatiebeveiliging vallen.
  2. Belanghebbenden en hun belangen inventariseren.
    Wie heeft er belang bij de informatiebeveiliging en wat verwachten zij hiervan?
  3. Doelstellingen bepalen.
    Weeg de belangen van de verschillende partijen tegen elkaar af en bepaal de doelstellingen.
  4. Rollen en verantwoordelijkheden bepalen.
    Koppel de juiste personen aan de juiste taken en verantwoordelijkheden. Belangrijk is dat dat u ook een persoon aanwijst die verantwoordelijk is voor de informatiebeveiliging in geheel.

Informatieclassificatie

Informatieclassificatie betreft het duiden van het belang van de verschillende aspecten zoals beschikbaarheid, integriteit en vertrouwelijkheid aan de gebruikers van de informatie. Voor de verschillende classificaties gelden verschillende eisen en maatregelen waar het gebruik en bewaren (opslag) van de informatie aan dient te voldoen.

Beschikbaarheid

Beschikbaarheid beschrijft de mate waarin informatie op het juiste moment toegankelijk dient te zijn en kan worden gebruikt. Daarbij kent beschikbaarheid de volgende kenmerken:

  • Tijdigheid: kan de informatie worden geleverd op het moment dat deze nodig is?
  • Continuïteit: kan de informatie ook in de toekomst worden geleverd?
  • Robuustheid: is de informatie bestand tegen verstoringen?

Integriteit

Integriteit betreft het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen, alsook de consistentie van informatie onderling.

Integriteit kent de volgende kenmerken:

  • Correctheid: klopt de informatie en wordt deze correct weergegeven?
  • Volledigheid: is de informatie volledig?
  • Geldigheid: Is de informatie geldig?
  • Authenticiteit: Is de bron van de ontvangen informatie juist?
  • Onweerlegbaarheid: heeft de verzender de informatie inderdaad verzonden?
  • Nauwkeurigheid: de mate van detail en afronding van de informatie?
  • Controleerbaarheid: in hoeverre kan de informatie worden gecontroleerd?

Vertrouwelijkheid

Vertrouwelijkheid betreft de bevoegdheden en de mogelijkheden tot het kennisnemen van informatie, alsook muteren, kopiëren, toevoegen of vernietigen van deze informatie voor een gedefinieerde groep van gerechtigden.

Vertrouwelijkheid kent de volgende kenmerken:

  • Exclusiviteit: kan de informatie worden afgeschermd voor onbevoegden?
  • Privacy: wordt er op een correcte manier omgegaan met persoonlijke gegevens?

Informatieclassificatie toepassen

Om de classificatie eenvoudig toepasbaar te maken, wordt vaak gebruik gemaakt van zoiets als onderstaand overzicht:

 

Niveau

Beschikbaarheid

Integriteit

Vertrouwelijkheid

Geen

Niet nodig

gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn

Niet zeker

informatie mag worden veranderd

Openbaar

informatie mag door iedereen worden ingezien

Normaal

Belangrijk

informatie mag korte tijd niet beschikbaar zijn

Beschermd

het bedrijfsproces staat enkele (integriteits-) fouten toe

Intern

informatie is toegankelijk voor alle medewerkers van de organisatie

Hoog

Noodzakelijk

informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk

Hoog

het bedrijfsproces staat zeer weinig fouten toe

Vertrouwelijk

informatie is alleen toegankelijk voor een beperkte groep gebruikers

Kritiek

Essentieel

informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten

Absoluut

het bedrijfsproces staat geen fouten toe

Geheim

informatie is alleen toegankelijk voor direct geadresseerde(n)

 

Deze tabel is gedeeltelijk gebaseerd op documenten van Surf.nl en Binnenlandsbestuur.

Aan de verschillende niveaus kunnen eventueel standaardmaatregelen worden gekoppeld. Bijvoorbeeld dat bij een hoge vertrouwelijkheid/integriteit altijd Two Factor Authenticationgebruikt moet worden of dat bij een hoge beschikbaarheid er minimaal een dagelijkse backup moet zijn.

Lees het hele artikel op Axxemble.nl

Door: Berend Tel, Axxemble

 

 

 

 

Terug naar nieuws overzicht