Security Professionals - ipfw add deny all from eindgebruikers to any

Classificatie ongestructureerde data

20-09-2022, 11:40 door perizoma, 12 reacties
Dag allen,

Mij is de taak toegewezen om een classificatiebeleid te schrijven over ongestructureerde data. Iemand hier die hier ervaring mee heeft of hier gedachtes over wil delen?

Dataclassificatie van gestructureerde data gebeurt vaak doormiddel van BIV classificaties (Beschikbaarheid, Integriteit, Vertrouwelijkheid). Ongestructureerde data kan ook deels gebruik maken van BIV, maar dan alleen van de V (vertrouwelijkheid). Is het daarom überhaupt zinvol om een apart beleid voor ongestructureerde data te ontwikkelen of is het beter om het beleid van gestructureerde data uit te breiden met een toevoeging? Of zijn er mensen hier die het het ook op een heel andere manier hebben gedaan?

Alle overdenkingen en tips zijn welkom!
Reacties (12)
20-09-2022, 13:17 door Anoniem
ik zou hier eens mee beginnen:
https://www.cisa.gov/tlp
20-09-2022, 13:52 door Anoniem
Allereerst wat is de definitie van ongestructureerde data?
Twee: waar komt de data dan vandaan? Ik vermoed een proces en daarbij is de proceseigenaar de persoon die iets over de data kan vertellen. Voer daarom een risicoanalyse uit en dan kan de BIV prima bij gebruikt worden.

Ik begrijp niet helemaal waarom alleen de 'V' voor ongestructureerde data geschikt is.
Het ligt aan de processen die ervan gebruik maken om aan te geven wat belangrijk is.
20-09-2022, 13:57 door Erik van Straten
Door perizoma: Ongestructureerde data kan ook deels gebruik maken van BIV, maar dan alleen van de V (vertrouwelijkheid).
Ik begrijp niets van die stelling, welke het uitgangspunt lijkt van jouw vraag.

Dat zou kunnen komen doordat ik mij iets anders voorstel bij "ongestructureerde data" (namelijk alles waar geen strikt "template" of "sjabloon" voor bestaat: vaak de bulk van de informatie binnen een organisatie en/of uitgewisseld met derden).

Daarnaast verschillen de meningen over de definitie van integriteit (vanuit oogpunt van informatiebeveiliging vind ik, in elk geval bij ongestructureerde informatie, een heel stel kwalitatieve criteria out of scope, terwijl ik authenticiteit hier wel onder reken).

Het kan verstandig zijn om beschikbaarheid op te splitsen in criteria zoals bereikbaarheid (moet je er nu bij kunnen), reproduceerbaarheid (mag het ook morgen, bijv. uit offline storage) en vindbaarheid (vaak een "dingetje" bij ongestructureerde opslag).

Ten slotte kunnen BIV veranderen tijdens de lifecycle van informatie; de eisen t.a.v. de B en de I van het weerbericht van morgen zijn, voor de meeste mensen, hoger dan dat van gisteren.
20-09-2022, 14:24 door perizoma
Door Anoniem: ik zou hier eens mee beginnen:
https://www.cisa.gov/tlp

Dank voor de tip, maar ik zie dat TLP gebaseerd is op intuïtie wat niet formeel of betrouw genoeg is voor deze situatie. Ook moeten er consequenties bepaald worden de verschillende classificatie niveaus, waar TLP ook niet geschikt voor is.
20-09-2022, 16:29 door Anoniem
TLP is niet gebaseerd op intiutie, het is gebaseerd op de uitkomst van een risico analyse.
20-09-2022, 18:12 door Anoniem
Ik heb geen ervaring hiermee, maar als ik deze opdracht zou krijgen zou mijn eerste vraag zijn: met welk doel? Wat wil de opdrachtgever bereiken met die classificatie? Als verschillend geclassificeerde documenten (of wat het zijn) niet verschillend behandeld gaan worden dan lijkt de hele exercitie geen enkele zin te hebben.

Misschien is het bijvoorbeeld van belang of ergens persoonsgegevens in voorkomen, omdat dan de AVG eist dat deze data zorgvuldig behandeld worden en goed worden beschermd. Zijn er andere wettelijke eisen waaraan voldaan moet worden? Gaat het om bedrijfsgeheimen die niet mogen uitlekken? Is er iets heel anders aan de hand?

Je doet het met een doel, maar je noemt helemaal geen doelen. Richt je op helderheid krijgen in wat die doelen zijn. Als die duidelijk zijn dan blijkt daaruit op basis van welke kenmerken van de data onderscheid gemaakt moet worden en hoe dat bepaalt hoe data behandeld moet worden. Elke combinatie van kenmerken die bepalen hoe er met data moet worden omgegaan is een klasse, en daar heb je je classificatie.

Om achter de doelen te komen, als je die nog niet kent, moet je onderzoek doen, vragen stellen, om te beginnen aan degene die je de opdracht heeft gegeven, en vergeet niet overal bij te vragen wie in je organisatie verstand heeft van elk aspect dat ertoe doet, en ga ook met die mensen praten. Zorg dat je zelf voldoende kennis van de materie verzamelt, en gebruik dat om de classificatie op te stellen en om hem te verantwoorden.

Of zoiets als BIV dan nog toegevoegde waarde heeft blijkt uit de doelen die de classificatie dient. Wie weet betekent het niets meer, wie weet is als je zover bent volkomen duidelijk hoe beschikbaarheid en integriteit opgevat moeten worden. Als je de doelen overslaat dan is de kans heel groot dat je iets produceert dat er op papier mooi uitziet maar wat praktisch van geen enkele betekenis is. En door je in de materie te verdiepen leer je vermoedelijk ook nog eens een hoop.
20-09-2022, 18:25 door Anoniem
Het lijkt mij zaak om de raw data minimaal de vertrouwelijkheid te geven van de meest vertrouwelijke data in je dataset.

Dus als je raw data een stukje confidentieel en een stukje geheim bevat, dan is de vertrouwelijkheid van alles bij elkaar minimaal geheim.
20-09-2022, 22:54 door Anoniem
Door Anoniem: Het lijkt mij zaak om de raw data minimaal de vertrouwelijkheid te geven van de meest vertrouwelijke data in je dataset.

Dus als je raw data een stukje confidentieel en een stukje geheim bevat, dan is de vertrouwelijkheid van alles bij elkaar minimaal geheim.
Daarmee loop je wel weer het risico dat je meer kosten moet gaan maken om deze data te beheren. Zou het andersom niet beter werken? Alles is openbaar tenzij de data zaken bevat die een hogere classificatie vereist. Alleen die data classificeer je waarmee je dan eigenlijk alle andere data ook direct geclassificeerd hebt.
21-09-2022, 17:10 door Anoniem
Door Anoniem:
Door Anoniem: Het lijkt mij zaak om de raw data minimaal de vertrouwelijkheid te geven van de meest vertrouwelijke data in je dataset.

Dus als je raw data een stukje confidentieel en een stukje geheim bevat, dan is de vertrouwelijkheid van alles bij elkaar minimaal geheim.
Daarmee loop je wel weer het risico dat je meer kosten moet gaan maken om deze data te beheren. Zou het andersom niet beter werken? Alles is openbaar tenzij de data zaken bevat die een hogere classificatie vereist. Alleen die data classificeer je waarmee je dan eigenlijk alle andere data ook direct geclassificeerd hebt.
In principe moet je de ongestructureerde data inderdaad behandelen conform het hoogste niveau. Het is daarom vaak verstandig om die ongestructureerde data alsnog te structureren en schiften zodat je alleen die data die als hoogste geclassificeerd is, ook als zodanig moet beschermen, en de overige data op een lager niveau kan beschermen.

Zeg nu zelf: zou je het OK vinden als de administratie van een bedrijf op papier staat, met zowel hoogover productinformatie als naam en adreslijsten van klanten of medewerkers, en al dat papier in één bak. En om dan die totale bak papier te klassificeren als openbaar, omdat er openbare productinformatie in zit?
22-09-2022, 11:21 door Anoniem
Ik begrijp je niet helemaal. Ik kom in een data classificatiebeleid altijd classificaties tegen zoals 'public' 'internal' 'confidential' en 'secret', terwijl jij meteen met de CIA triad begint (informatiebeveiligingsprincipe). Gebaseerd op je verhaal lijkt het erop dat je al een classificatiebeleid hebt en dat je nu een manier zoekt hoe dit toe te passen op ongestructureerde data.
Bedoel je hiermee bijvoorbeeld procedures (en training, awareness) waarmee medewerkers de documenten waarmee ze werken correct kunnen classificieren? Of gaat dit over automatisch classificeren van documenten en data(velden)?
22-09-2022, 16:05 door Erik van Straten
Door Anoniem: Ik begrijp je niet helemaal.
Ook ik begrijp perizoma (https://security.nl/profile?alias=perizoma) niet: maakt account aan, stelt 1 onduidelijke vraag, beantwoordt 1 open deur en verdwijnt.

Door Anoniem: Ik kom in een data classificatiebeleid altijd classificaties tegen zoals 'public' 'internal' 'confidential' en 'secret', terwijl jij meteen met de CIA triad begint
Vanuit IB-perspectief is dat juist. Zo gelden er vaak niet alleen vertrouwelijkheidseisen bij "officiële" communicatie - inclusief "ongestructureerde" (volgens mijn definitie).

Bijvoorbeeld voor de SMS'jes van en naar Mark Rutte en de WhatsApp-berichten uitgewisseld tussen Hugo de Jonge en Sywert van Lienden gelden ook beschikbaarheids- en integriteitseisen (m.b.t. dat laatste: als iemand achteraf berichten kan wijzigen, vooral als dat kan zonder sporen na te laten, is dat vaak erger dan onbeschikbaarheid omdat dit mensen onterecht kan vrijpleiten - alhoewel ogenschijnlijk nooit verzonden of nooit ontvangen berichten dat soms ook kunnen).

Als een middel niet aan één of meer van de gestelde eisen voldoet, moet je het gebruik ervan verbieden - voor andere dan privé- en/of potentieel (t.z.t. terugkijkend) werk-gerelateerde communicatie (bijv. e-mail is voor sommige toepassingen simpelweg te onbetrouwbaar). Bovendien moet je gepaste sancties zo snel als mogelijk bekendmaken, monitoren op overtredingen (wellicht ook privé-communicatie, evt. steekproefsgewijs) en effectief handhaven.

Door Anoniem: Bedoel je hiermee bijvoorbeeld procedures (en training, awareness) waarmee medewerkers de documenten waarmee ze werken correct kunnen classificieren?
Wat perizoma bedoelt weet ik niet, maar wat je bijvoorbeeld als bedrijf niet wilt is dat een boekhouder, die geld achteroverdrukt, zelf belastende informatie als "onbelangrijk" kan classificeren, waardoor bewijsmateriaal verdwijnt (onder de radar of definitief).

Ook voor logbestanden (soms nauwelijks gestructureerd of slecht gedocumenteerd) is het een goed idee om daar beschikbaarheids- en integriteitseisen aan te koppelen (na een risicoanalyse). Niet alleen vanuit risicoanalyses, maar ook door classificaties kunnen nieuwe inzichten ontstaan zoals "ah, met dat risico voor dit type info heb ik geen rekening gehouden, de omgangswijze ermee verdient verbetering".

Voor sommige informatie, zoals sollicitatiebrieven, geldt juist dat deze na een zekere tijd niet meer beschikbaar mogen zijn.

Op z'n minst zou elke organisatie de afweging moeten maken of er sprake is (of binnen afzienbare tijd kan zijn) van informatie die je ook op BI (uit BIV) zult moeten classificeren (en conform daarmee omgaan) om de risico's op een acceptabel niveau te houden. De uitkomst kan best "nee" zijn, en dat is prima als jouw organisatie niets essentieels over het hoofd heeft gezien. Maar met ransomware op de loer zal dat niet vaak het geval zijn.
22-09-2022, 19:53 door Anoniem
Door Anoniem:
Door Anoniem: Het lijkt mij zaak om de raw data minimaal de vertrouwelijkheid te geven van de meest vertrouwelijke data in je dataset.

Dus als je raw data een stukje confidentieel en een stukje geheim bevat, dan is de vertrouwelijkheid van alles bij elkaar minimaal geheim.
Daarmee loop je wel weer het risico dat je meer kosten moet gaan maken om deze data te beheren.
Dat is toch normaal en correct?
Als je "nucleair afval" verwerkt wat in werklijkheid besmet materiaal is (bijvoorbeeld uit een ziekenhuis) ben je ook bezig
om grote hoeveelheden plastic en textiel te verwerken alsof het plutonium is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.