Informatieclassificatiebeleid
- Leon Roseleur (Unlicensed)
- Casper van Ginneken
Het informatieclassificatiebeleid beschrijft de wijze waarop informatie door Zorgeloos Vastgoed en haar deelnemers wordt geclassificeerd, opdat de omgang met deze informatie op een manier kan worden ingericht die passend is bij het gevraagde zekerheid behorende bij de betreffende classificatie. Hierbij valt onder andere te denken aan maatregelen voor beveiligde toegang tot informatie, maar ook aan niveaus van zekerheid in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Het aantal classificatieniveaus is beperkt gehouden tot een drietal niveaus, die worden gekoppeld aan vier categorieën van informatie. Dit ter voorkoming dat ieder individueel informatie-element van een classificatie moet worden voorzien met het oog op de praktische toepasbaarheid van dit beleid.
Classificaties
In onderstaande tabel zijn de gehanteerde classificaties opgesomd.
Classificatie van zekerheidsaspecten | ||||
|---|---|---|---|---|
Zorgeloos Vastgoed-classificatie | Type informatie | Beschikbaarheid | Integriteit | Vertrouwelijkheid |
Consument- of Objectinformatie | Gegevens waaruit direct of indirect informatie over de consument of het onderhanden object van een consument kan worden afgeleid. | Midden | Hoog | Zeer hoog |
Operationele kern | Gegevens die operationeel noodzakelijk zijn voor de gegevensuitwisseling via het stelsel. | Midden | Hoog | Laag |
Kwetsbaarheid | Niet algemeen bekende gegevens over een (mogelijke) kwetsbaarheid bij een of meerdere Aangeslotenen, Participanten of de beheerorganisatie, al dan niet voortkomend uit de afsprakenset, waarmee een kwaadwillende partij inbreuk op de informatiebeveiliging van het stelsel zou kunnen maken. | Laag | Midden | Hoog |
Samenwerking en ontwikkeling | Gegevens die betrekking hebben op de communicatie van partijen over de huidige of toekomstige inhoud van het Zorgeloos Vastgoed afsprakenstelsel en de afsprakenset. | Laag | Midden | Laag |
Labeling
In onderstaande tabel is aangegeven welke typen informatie of informatieproducten volgens welke classificatie behandeld moeten worden. De informatie zelf wordt niet afzonderlijk voorzien van een 'label'; op grond van dit beleid moet deze informatie worden behandeld conform de bijbehorende classificatie.
Voor informatieproducten die niet in deze tabel voorkomen moet na analyse ofwel:
Een passende classificatie worden gekozen en is labeling noodzakelijk om duidelijk te maken wat de classificatie van de informatie is; of
Wanneer geen passende classificatie voorhanden is, een afzonderlijke behandeling plaatsvinden. De drie zekerheidsaspecten moeten worden geclassificeerd, de noodzakelijke informatiebeveiligingsmaatregelen moeten worden bepaald en het moet voor degenen die toegang hebben tot de informatie duidelijk zijn hoe die informatie behandeld moet worden. Dat kan door de informatie te voorzien van een label of andere aanduiding, dan wel door langs andere weg duidelijkheid te verschaffen over de regels rond de omgang met de betreffende informatie.
Type informatie | Zorgeloos Vastgoed-classificatie |
|---|---|
Functionele logging op grond van de afspraken | Consument- of Objectinformatie |
Alle gegevens verkregen of verstrekt in het kader van een van de interacties in het kader van de use cases uit de Architectuur | Consument- of Objectinformatie |
Gegevens in het kader van recherches en achtergrondonderzoek, indien deze wel persoonsgegevens bevatten | Consument- of Objectinformatie |
Whitelist | Operationele kern |
OAuthclientlist | Operationele kern |
Gegevensdienstnamenlijst | Operationele kern |
Gegevens in het kader van recherches en achtergrondonderzoek, indien deze geen persoonsgegevens bevatten | Kwetsbaarheid |
Verklaringen van auditors over de toepassing van ISO27001 en het Normenkader Informatiebeveiliging, voor zover daarin opmerkingen zijn opgenomen aangaande niet-volledige compliance | Kwetsbaarheid |
Rapporten van penetratietesten | Kwetsbaarheid |
Kwetsbaarheden | Kwetsbaarheid |
Risicoanalyse op stelselniveau | Kwetsbaarheid |
Verklaringen van auditors over de toepassing van ISO27001 en het Normenkader Informatiebeveiliging, voor zover daarin opmerkingen zijn opgenomen aangaande niet-volledige compliance | Kwetsbaarheid |
Rapporten van penetratietesten | Kwetsbaarheid |
Inhoud van het Zorgeloos Vastgoed afsprakenstelsel | Samenwerking en ontwikkeling |
Informatie ten behoeve van of aangaande doorontwikkeling | Samenwerking en ontwikkeling |
Maatregelen
In onderstaande tabel is indicatief en niet-limitatief aangegeven waar de maatregelen te vinden zijn die van toepassing zijn op informatie die is gelabeld met een bepaalde Zorgeloos Vastgoed-classificatie. Deze maatregelen betreffen veelal de omgang in het kader van de uitwisseling tussen partijen. Aangeslotenen en de beheerorganisatie zijn daarnaast op grond van het Normenkader Informatiebeveiliging (norm A.8.2.1 Classificatie van informatie) verplicht om de interne classificatie tenminste gelijkwaardig te laten zijn aan de door Zorgeloos Vastgoed gehanteerde classificatie. Dat betekent dat zij de informatie van een interne classificatie moeten voorzien die op geen van de drie zekerheidsaspecten (betrouwbaarheid, integriteit, vertrouwelijkheid) lager is dan die van de Zorgeloos Vastgoed-classificatie die verbonden is aan de informatie.
Zorgeloos Vastgoed-classificatie | Maatregelen |
|---|---|
Consument- of Objectinformatie | Architectuur en technische specificaties: beschrijft de maatregelen om de uitwisseling van Consument- en Objectgegevens veilig en betrouwbaar te laten plaatsvinden. Normenkader informatiebeveiliging: beschrijft de aanvullende maatregelen die deelnemers minimaal moeten treffen om ook in het eigen domein op veilige en betrouwbare manier met Consument- en Objectgegevens om te gaan. Deelnemersovereenkomsten: beschrijft de juridische bepalingen tussen Stichting Zorgeloos Vastgoed en de deelnemers gericht op de privacy en (informatie)beveiliging van Consument- en Objectgegevens (artikel 6). |
Operationele kern | Architectuur en technische specificaties: beschrijft de maatregelen om op veilige en betrouwbare wijze om te gaan met de operationele uitwisselgegevens. Normenkader informatiebeveiliging: beschrijft de aanvullende maatregelen die deelnemers minimaal moeten treffen om ook in het eigen domein op veilige en betrouwbare manier met de operationele uitwisselgegevens om te gaan. |
Samenwerking en ontwikkeling | Change- en releasebeleid: beschrijft hoe met ontwikkelinformatie moet worden omgegaan bij de doorontwikkeling van het Zorgeloos Vastgoed Afsprakenstelsel. Samenwerkings- en escalatiebeleid: beschrijft de onderlinge samenwerking en communicatie van partijen rondom het afsprakenstelsel. |
Kwetsbaarheid | Privacy- en informatiebeveiligingsbeleid: beschrijft welke maatregelen zijn ingericht om de privacy- en informatiebeveiliging van het stelsel te borgen. De Beveiligingsbeheerprocessen geven een o.a. weer hoe wordt omgegaan met kwetsbaarheden. |