Praat eens met iemand die werkzaam is bij de overheid...

Ja, ik heb daar wel ervaring mee maar meer in het geval van
webservers. Publieke sites (laag), sites waar persoonlijke
gegevens ingevoerd werden (midden) en sites voor overboeken
(hoog). Alle drie een eigen segment en alle drie
verschillende maatregelen.

Voor zover ik weet is er geen software die dit automatisch kan.

We zijn nu zover dat er een classificatiemodel is gemaakt. o is laag, 1 is
midden 2 is voorlopig de hoogste.
Op niveau 0 mag informatie die niet belangrijk is op niveau 1 en 2 mag ook
bepaalde informatie worden geclassificeerd.
Heeft iemand een matrix met daarin concreet de informatie voor
degebruiker op welk niveau bivoorbeeld de bedrijfsinformatie moet worden
beschouwd en welk niveau hij er zelf aan kan geven. Bij
personeelsgegevens is het niet zo moeilijk want daar heeft het CBP
risicogroepen gedefinieerd met voorbeelden van soorten informatie.

Lees de "code voor informatie beveiliging", daar staat in
welke gegevens wel en welke niet beveiligd moeten zijn.

Wat je vrij eenvoudig kunt doen is: per systeem een CIA-classificatie
bepalen. Ofwel: hoe scoort de data en/of het proces qua vertrouwelijkheid
(confidentiality), integriteit (integrity) en availability (beschikbaarheid)? Zo'n
CIA-classificatie kun je doen via een korte risico-analyse, er zijn daartoe
vele vragenlijsten beschikbaar of je maakt er zelf een.

Op grond van de uitkomsten van de CIA-classificatie neem je dan je
maatregelen, zoals encryptie, hash-checking, uitwijk etcetera. Als de CIA-
classificatie op onderdelen erg hoog uitvalt is het kennelijk een kritische
component en doe je een meer uitgebreide risico-analyse.

Tenslotte: maak een dataclassificatie policy waarin staat welke niveau's je
onderkent en welke maatregelen daarbij horen. Zorg dat die policy wordt
nageleefd. Je kunt bijvoorbeeld van de IT-afdeling eisen dat ze geen
nieuwe systemen ondersteunen als er eerst geen CIA-classificatie is
vastgesteld: de IT-ers weten dan immers niet welke beveiligings-
maatregelen voor dat systeem vereist zijn.

Softwarematige ondersteuning van de CIA-classificatie is inderdaad een
lastige ... en bovendien platform-afhankelijk. Eigenlijk ken ik alleen op IBM-
mainframes met z/OS zoiets: de zogenaamde security-labels in RACF.
Hierbij kunnen resources of data een security label hebben, dat overeen
moet komen met het security label van de user die de resource/ data wil
benaderen. Bovendien biedt RACF de mogelijkheid om bij een al dan niet
succesvolle benadering van een resource / data een notificatie aan de
eigenaar te sturen, zodat die weet wat er met z'n systeem gebeurt.

Peter.

http://bestpractical.com/rt !?

En ... voldoet RT aan je wensen ?

Lotus Notes kan dit al jaaaaaren... Niemand gebruikt het.. maar het kan het
wel...

Classificeren kun je het beste handmatig doen omdat je de informatie
moet kunnen interpreteren. Meest gebruikt is de z.g. CIA of BIV classificatie
(Beschikbaarheid, Integriteit , Vertrouwelijkheid). Hierbij neem je 3
gradaties 1=laag, 2=middel 3=hoog. eventueel een 0 voor onbelangrijke
informatie.
Bij elke classificatie zet je vervolgens een minimale set van maatregelen
tegenover.

Hoe je tot een classificatie komt? Risico-analyse volgens SPRINT is een
goede methode en niet te tijdrovend. Eventueel eenuitgebreide risico-
analyse met SARA. Ik doe het zelf door alle sprint vragen in een
spreadheet te beantwoorden en met een rekensommetje een classificatie
te bereknen. Dit is wel een qulitatieve analise, geen quatitatieve analyse
maar het werkt prima en is pragmatisch.
Er is software die classificatie kan ondersteunen maar dit is over het
algemeen een drama. Een softwarepakket die je zou kunnen gebruiken is
CRAMM maar ik kan het je niet aanraden omdat je gaat verzuipen in het
pakket. Dit wordt gebruikt bij overheidsinstellingen en andere grote
organisaties die niet weten wat ze met hun tijd moeten doen...
http://www.cramm.info/

Graag zou ik een voorbeeld van je excel sheet zien. Ben namelijk opzoek
naar iets dergelijks. Zou je mij willen helpen? Wat is een handige manier om
contact met elkaar te leggen.

contact leggen met iemand die anoniem wenst te blijven? Leuk
probleem, zeker als het over beveiliging van gegevens gaat!!
veel succes!
misschien kan websl zijn tel nr kenbaar maken? en dan maar
wachten op de reactie van anonymus ;)

Inderdaad is het lastig om een anonymus te pakken te krijgen, maar je weet
nooit.
Mijn tel is 0515 482418

Er zijn gelukkig tools die dit voor je kunnen automatiseren.

Utimaco LeakProof is een dergelijke tool.

Deze doet een bepaling aan de hand van zelf in te stellen eisen of een
document een bepaalde classificatie heeft.
Na deze berekening kan het product eisen dat het document verplicht
versleuteld wordt verstuurd, of dat het _niet_ verstuurd mag worden met de
mail.

Hoi,
Om te classificeren zou je trajecten als Sprint/Iram kunnen doen. Op het
moment dat je A&K of cramm los laat op je informatie ga je wel een heel
zwaar traject in. (kosten technisch alleen interessant voor kritische of zeer
geheime omgevingen).
Kijk ook eens bij kennisnet. Die hebben een uitgeklede versie van sprint.

Je andere vraag hoe je dat kan behoeden op lekken. Is wat moeilijker. Voor
gestructureerde data (databases) heb je controle via LDAP/SSO of ander
autorisatie mechanisme. Ongestructureerde data (files, webcontent etc) is
moeilijker te beheersen. Kijk eens naar de mogelijkheden van document en
content management systemen. (ECM, STellent, Documentum, etc). Bij het
aanmaken van content (documenten, websites, etc) kan je aangeven wie mag
zien, veranderen,etc) Verder is het mogelijk content te laten voldoen aan
bewijs en bewaarplicht en het openbaar maken (declassificeren na een
aantal condities). Maar vooral het monitoren wie wat heeft gezien / heeft
gedaan maakt deze omgevingen voor security doeleinden interessant.

SOFAR RFV

Interessante vraag is hoe je bitjes - zoals data in transit - gaat labellen? En
vergelijkbaar, als je wordbestanden in de header gaat markeren, wat dat dan
betekend..... Zonder strak informatiebeheer (waar staat informatie, wie mag
labellen, eigenaren van 'gevoelige' informatie ook de rekening van de
beveiligingskosten en dat soort dingen) á la mandatory acces control, is
labelling een leuke excercitie als je niks beters te doen hebt en je een paar
jaar onder de pannen wilt zijn.

Dan moet je niet verbaasd zijn als mensen security op één hoop gooien als
onzinnige geneuzel.

Bovendien, als jij je data goed labelt, weet ik tenminste wat ik moet pakken als
ik op je netwerk ben ingebroken. Behalve als ieder document gelabelled is als
hoogst vertrouwelijk. Kijk naar de overheid, volgens defensieonderzoekers
was 90% van alle gerubriceerde documenten overgerubriceerd. Het vlees is
zwak immers: als wat je doet 'gevoelig' is, wordt je vanzelf belangrijk.