Archief
- De topics van lang geleden
Classificatie van informatie
Om informatie binnen een organisatie te beveiligen, is classificatie van
informatie een belangrijk aspect. Door de informatie bijvoorbeeld onder te
verdelen in publiek, intern of vertrouwelijk, wordt het duidelijk voor welke
groep van mensen deze informatie al dan niet beschikbaar dient te zijn.
Indien men de informatie binnen een organisatie zou indelen volgens
bovenstaande indeling, zou men maatregelen kunnen formuleren waaraan
bijvoorbeeld vertrouwelijke documenten moeten voldoen. Concreet zou
men kunnen eisen dat het moet beveiligd worden met een paswoord,
geëncrypteerd dient te worden en moet voorzien zin van een label
"vertrouwelijk". Men zou zelfs kunnen bepalen dat een vertrouwelijk
document niet mag worden doorgemaild, niet mag worden opgeslagen op
een groepsdrive, ...
Hoewel dit in theorie logisch klinkt, zie ik in de praktijk weinig concrete
realisaties. Bovendien lijkt mij de hele procedure zeer omslachtig. Welke
gewone gebruiker zal al deze regels in acht nemen?
Ik ben op zoek naar een antwoord op volgende vragen:
- Heeft iemand ervaring met zo'n systeem in praktijk?
- Bestaat er software om dit te kunnen automatiseren? Vb bij de aanmaak
van een nieuw document, waarbij de gebruiker wordt gedwongen na te
dneken over de classificatie ervan?
Bedankt voor alle reacties.
informatie een belangrijk aspect. Door de informatie bijvoorbeeld onder te
verdelen in publiek, intern of vertrouwelijk, wordt het duidelijk voor welke
groep van mensen deze informatie al dan niet beschikbaar dient te zijn.
Indien men de informatie binnen een organisatie zou indelen volgens
bovenstaande indeling, zou men maatregelen kunnen formuleren waaraan
bijvoorbeeld vertrouwelijke documenten moeten voldoen. Concreet zou
men kunnen eisen dat het moet beveiligd worden met een paswoord,
geëncrypteerd dient te worden en moet voorzien zin van een label
"vertrouwelijk". Men zou zelfs kunnen bepalen dat een vertrouwelijk
document niet mag worden doorgemaild, niet mag worden opgeslagen op
een groepsdrive, ...
Hoewel dit in theorie logisch klinkt, zie ik in de praktijk weinig concrete
realisaties. Bovendien lijkt mij de hele procedure zeer omslachtig. Welke
gewone gebruiker zal al deze regels in acht nemen?
Ik ben op zoek naar een antwoord op volgende vragen:
- Heeft iemand ervaring met zo'n systeem in praktijk?
- Bestaat er software om dit te kunnen automatiseren? Vb bij de aanmaak
van een nieuw document, waarbij de gebruiker wordt gedwongen na te
dneken over de classificatie ervan?
Bedankt voor alle reacties.
Reacties (15)
Door palmkes
Om informatie binnen een organisatie te beveiligen, is classificatie van
informatie een belangrijk aspect. Door de informatie bijvoorbeeld onder te
verdelen in publiek, intern of vertrouwelijk, wordt het duidelijk voor welke
groep van mensen deze informatie al dan niet beschikbaar dient te zijn.
Indien men de informatie binnen een organisatie zou indelen volgens
bovenstaande indeling, zou men maatregelen kunnen formuleren waaraan
bijvoorbeeld vertrouwelijke documenten moeten voldoen. Concreet zou
men kunnen eisen dat het moet beveiligd worden met een paswoord,
geëncrypteerd dient te worden en moet voorzien zin van een label
"vertrouwelijk". Men zou zelfs kunnen bepalen dat een
vertrouwelijk
document niet mag worden doorgemaild, niet mag worden opgeslagen op
een groepsdrive, ...
Hoewel dit in theorie logisch klinkt, zie ik in de praktijk weinig concrete
realisaties. Bovendien lijkt mij de hele procedure zeer omslachtig. Welke
gewone gebruiker zal al deze regels in acht nemen?
Ik ben op zoek naar een antwoord op volgende vragen:
- Heeft iemand ervaring met zo'n systeem in praktijk?
- Bestaat er software om dit te kunnen automatiseren? Vb bij de aanmaak
van een nieuw document, waarbij de gebruiker wordt gedwongen na te
dneken over de classificatie ervan?
Bedankt voor alle reacties.
Om informatie binnen een organisatie te beveiligen, is classificatie van
informatie een belangrijk aspect. Door de informatie bijvoorbeeld onder te
verdelen in publiek, intern of vertrouwelijk, wordt het duidelijk voor welke
groep van mensen deze informatie al dan niet beschikbaar dient te zijn.
Indien men de informatie binnen een organisatie zou indelen volgens
bovenstaande indeling, zou men maatregelen kunnen formuleren waaraan
bijvoorbeeld vertrouwelijke documenten moeten voldoen. Concreet zou
men kunnen eisen dat het moet beveiligd worden met een paswoord,
geëncrypteerd dient te worden en moet voorzien zin van een label
"vertrouwelijk". Men zou zelfs kunnen bepalen dat een
vertrouwelijk
document niet mag worden doorgemaild, niet mag worden opgeslagen op
een groepsdrive, ...
Hoewel dit in theorie logisch klinkt, zie ik in de praktijk weinig concrete
realisaties. Bovendien lijkt mij de hele procedure zeer omslachtig. Welke
gewone gebruiker zal al deze regels in acht nemen?
Ik ben op zoek naar een antwoord op volgende vragen:
- Heeft iemand ervaring met zo'n systeem in praktijk?
- Bestaat er software om dit te kunnen automatiseren? Vb bij de aanmaak
van een nieuw document, waarbij de gebruiker wordt gedwongen na te
dneken over de classificatie ervan?
Bedankt voor alle reacties.
Praat eens met iemand die werkzaam is bij de overheid...
28-02-2007, 10:34 door
SirDice
Ja, ik heb daar wel ervaring mee maar meer in het geval van
webservers. Publieke sites (laag), sites waar persoonlijke
gegevens ingevoerd werden (midden) en sites voor overboeken
(hoog). Alle drie een eigen segment en alle drie
verschillende maatregelen.
Voor zover ik weet is er geen software die dit automatisch kan.
webservers. Publieke sites (laag), sites waar persoonlijke
gegevens ingevoerd werden (midden) en sites voor overboeken
(hoog). Alle drie een eigen segment en alle drie
verschillende maatregelen.
Voor zover ik weet is er geen software die dit automatisch kan.
11-05-2007, 12:28 door
SecOf
We zijn nu zover dat er een classificatiemodel is gemaakt. o is laag, 1 is
midden 2 is voorlopig de hoogste.
Op niveau 0 mag informatie die niet belangrijk is op niveau 1 en 2 mag ook
bepaalde informatie worden geclassificeerd.
Heeft iemand een matrix met daarin concreet de informatie voor
degebruiker op welk niveau bivoorbeeld de bedrijfsinformatie moet worden
beschouwd en welk niveau hij er zelf aan kan geven. Bij
personeelsgegevens is het niet zo moeilijk want daar heeft het CBP
risicogroepen gedefinieerd met voorbeelden van soorten informatie.
midden 2 is voorlopig de hoogste.
Op niveau 0 mag informatie die niet belangrijk is op niveau 1 en 2 mag ook
bepaalde informatie worden geclassificeerd.
Heeft iemand een matrix met daarin concreet de informatie voor
degebruiker op welk niveau bivoorbeeld de bedrijfsinformatie moet worden
beschouwd en welk niveau hij er zelf aan kan geven. Bij
personeelsgegevens is het niet zo moeilijk want daar heeft het CBP
risicogroepen gedefinieerd met voorbeelden van soorten informatie.
11-05-2007, 13:55 door
SirDice
Lees de "code voor informatie beveiliging", daar staat in
welke gegevens wel en welke niet beveiligd moeten zijn.
welke gegevens wel en welke niet beveiligd moeten zijn.
Wat je vrij eenvoudig kunt doen is: per systeem een CIA-classificatie
bepalen. Ofwel: hoe scoort de data en/of het proces qua vertrouwelijkheid
(confidentiality), integriteit (integrity) en availability (beschikbaarheid)? Zo'n
CIA-classificatie kun je doen via een korte risico-analyse, er zijn daartoe
vele vragenlijsten beschikbaar of je maakt er zelf een.
Op grond van de uitkomsten van de CIA-classificatie neem je dan je
maatregelen, zoals encryptie, hash-checking, uitwijk etcetera. Als de CIA-
classificatie op onderdelen erg hoog uitvalt is het kennelijk een kritische
component en doe je een meer uitgebreide risico-analyse.
Tenslotte: maak een dataclassificatie policy waarin staat welke niveau's je
onderkent en welke maatregelen daarbij horen. Zorg dat die policy wordt
nageleefd. Je kunt bijvoorbeeld van de IT-afdeling eisen dat ze geen
nieuwe systemen ondersteunen als er eerst geen CIA-classificatie is
vastgesteld: de IT-ers weten dan immers niet welke beveiligings-
maatregelen voor dat systeem vereist zijn.
Softwarematige ondersteuning van de CIA-classificatie is inderdaad een
lastige ... en bovendien platform-afhankelijk. Eigenlijk ken ik alleen op IBM-
mainframes met z/OS zoiets: de zogenaamde security-labels in RACF.
Hierbij kunnen resources of data een security label hebben, dat overeen
moet komen met het security label van de user die de resource/ data wil
benaderen. Bovendien biedt RACF de mogelijkheid om bij een al dan niet
succesvolle benadering van een resource / data een notificatie aan de
eigenaar te sturen, zodat die weet wat er met z'n systeem gebeurt.
Peter.
bepalen. Ofwel: hoe scoort de data en/of het proces qua vertrouwelijkheid
(confidentiality), integriteit (integrity) en availability (beschikbaarheid)? Zo'n
CIA-classificatie kun je doen via een korte risico-analyse, er zijn daartoe
vele vragenlijsten beschikbaar of je maakt er zelf een.
Op grond van de uitkomsten van de CIA-classificatie neem je dan je
maatregelen, zoals encryptie, hash-checking, uitwijk etcetera. Als de CIA-
classificatie op onderdelen erg hoog uitvalt is het kennelijk een kritische
component en doe je een meer uitgebreide risico-analyse.
Tenslotte: maak een dataclassificatie policy waarin staat welke niveau's je
onderkent en welke maatregelen daarbij horen. Zorg dat die policy wordt
nageleefd. Je kunt bijvoorbeeld van de IT-afdeling eisen dat ze geen
nieuwe systemen ondersteunen als er eerst geen CIA-classificatie is
vastgesteld: de IT-ers weten dan immers niet welke beveiligings-
maatregelen voor dat systeem vereist zijn.
Softwarematige ondersteuning van de CIA-classificatie is inderdaad een
lastige ... en bovendien platform-afhankelijk. Eigenlijk ken ik alleen op IBM-
mainframes met z/OS zoiets: de zogenaamde security-labels in RACF.
Hierbij kunnen resources of data een security label hebben, dat overeen
moet komen met het security label van de user die de resource/ data wil
benaderen. Bovendien biedt RACF de mogelijkheid om bij een al dan niet
succesvolle benadering van een resource / data een notificatie aan de
eigenaar te sturen, zodat die weet wat er met z'n systeem gebeurt.
Peter.
Door palmkes- Bestaat er software om dit te
kunnen automatiseren? Vb bij de aanmaak van een nieuw
document, waarbij de gebruiker wordt gedwongen na te dneken
over de classificatie ervan?
kunnen automatiseren? Vb bij de aanmaak van een nieuw
document, waarbij de gebruiker wordt gedwongen na te dneken
over de classificatie ervan?
http://bestpractical.com/rt !?
Lotus Notes kan dit al jaaaaaren... Niemand gebruikt het.. maar het kan het
wel...
wel...
Classificeren kun je het beste handmatig doen omdat je de informatie
moet kunnen interpreteren. Meest gebruikt is de z.g. CIA of BIV classificatie
(Beschikbaarheid, Integriteit , Vertrouwelijkheid). Hierbij neem je 3
gradaties 1=laag, 2=middel 3=hoog. eventueel een 0 voor onbelangrijke
informatie.
Bij elke classificatie zet je vervolgens een minimale set van maatregelen
tegenover.
Hoe je tot een classificatie komt? Risico-analyse volgens SPRINT is een
goede methode en niet te tijdrovend. Eventueel eenuitgebreide risico-
analyse met SARA. Ik doe het zelf door alle sprint vragen in een
spreadheet te beantwoorden en met een rekensommetje een classificatie
te bereknen. Dit is wel een qulitatieve analise, geen quatitatieve analyse
maar het werkt prima en is pragmatisch.
Er is software die classificatie kan ondersteunen maar dit is over het
algemeen een drama. Een softwarepakket die je zou kunnen gebruiken is
CRAMM maar ik kan het je niet aanraden omdat je gaat verzuipen in het
pakket. Dit wordt gebruikt bij overheidsinstellingen en andere grote
organisaties die niet weten wat ze met hun tijd moeten doen...
http://www.cramm.info/
moet kunnen interpreteren. Meest gebruikt is de z.g. CIA of BIV classificatie
(Beschikbaarheid, Integriteit , Vertrouwelijkheid). Hierbij neem je 3
gradaties 1=laag, 2=middel 3=hoog. eventueel een 0 voor onbelangrijke
informatie.
Bij elke classificatie zet je vervolgens een minimale set van maatregelen
tegenover.
Hoe je tot een classificatie komt? Risico-analyse volgens SPRINT is een
goede methode en niet te tijdrovend. Eventueel eenuitgebreide risico-
analyse met SARA. Ik doe het zelf door alle sprint vragen in een
spreadheet te beantwoorden en met een rekensommetje een classificatie
te bereknen. Dit is wel een qulitatieve analise, geen quatitatieve analyse
maar het werkt prima en is pragmatisch.
Er is software die classificatie kan ondersteunen maar dit is over het
algemeen een drama. Een softwarepakket die je zou kunnen gebruiken is
CRAMM maar ik kan het je niet aanraden omdat je gaat verzuipen in het
pakket. Dit wordt gebruikt bij overheidsinstellingen en andere grote
organisaties die niet weten wat ze met hun tijd moeten doen...
http://www.cramm.info/
22-05-2008, 13:17 door
websl
Door Anoniem
Hoe je tot een classificatie komt? Risico-analyse volgens SPRINT is een
goede methode en niet te tijdrovend. Eventueel eenuitgebreide risico-
analyse met SARA. Ik doe het zelf door alle sprint vragen in een
spreadheet te beantwoorden en met een rekensommetje een classificatie
te bereknen. Dit is wel een qulitatieve analise, geen quatitatieve analyse
maar het werkt prima en is pragmatisch.
Hoe je tot een classificatie komt? Risico-analyse volgens SPRINT is een
goede methode en niet te tijdrovend. Eventueel eenuitgebreide risico-
analyse met SARA. Ik doe het zelf door alle sprint vragen in een
spreadheet te beantwoorden en met een rekensommetje een classificatie
te bereknen. Dit is wel een qulitatieve analise, geen quatitatieve analyse
maar het werkt prima en is pragmatisch.
Graag zou ik een voorbeeld van je excel sheet zien. Ben namelijk opzoek
naar iets dergelijks. Zou je mij willen helpen? Wat is een handige manier om
contact met elkaar te leggen.
26-05-2008, 16:08 door
lievenme
Door websl
Graag zou ik een voorbeeld van je excel sheet zien. Ben
namelijk opzoek
naar iets dergelijks. Zou je mij willen helpen? Wat is een
handige manier om
contact met elkaar te leggen.
contact leggen met iemand die anoniem wenst te blijven? LeukGraag zou ik een voorbeeld van je excel sheet zien. Ben
namelijk opzoek
naar iets dergelijks. Zou je mij willen helpen? Wat is een
handige manier om
contact met elkaar te leggen.
probleem, zeker als het over beveiliging van gegevens gaat!!
veel succes!
misschien kan websl zijn tel nr kenbaar maken? en dan maar
wachten op de reactie van anonymus ;)
09-06-2008, 12:10 door
websl
Inderdaad is het lastig om een anonymus te pakken te krijgen, maar je weet
nooit.
Mijn tel is 0515 482418
nooit.
Mijn tel is 0515 482418
Er zijn gelukkig tools die dit voor je kunnen automatiseren.
Utimaco LeakProof is een dergelijke tool.
Deze doet een bepaling aan de hand van zelf in te stellen eisen of een
document een bepaalde classificatie heeft.
Na deze berekening kan het product eisen dat het document verplicht
versleuteld wordt verstuurd, of dat het _niet_ verstuurd mag worden met de
mail.
Utimaco LeakProof is een dergelijke tool.
Deze doet een bepaling aan de hand van zelf in te stellen eisen of een
document een bepaalde classificatie heeft.
Na deze berekening kan het product eisen dat het document verplicht
versleuteld wordt verstuurd, of dat het _niet_ verstuurd mag worden met de
mail.
Hoi,
Om te classificeren zou je trajecten als Sprint/Iram kunnen doen. Op het
moment dat je A&K of cramm los laat op je informatie ga je wel een heel
zwaar traject in. (kosten technisch alleen interessant voor kritische of zeer
geheime omgevingen).
Kijk ook eens bij kennisnet. Die hebben een uitgeklede versie van sprint.
Je andere vraag hoe je dat kan behoeden op lekken. Is wat moeilijker. Voor
gestructureerde data (databases) heb je controle via LDAP/SSO of ander
autorisatie mechanisme. Ongestructureerde data (files, webcontent etc) is
moeilijker te beheersen. Kijk eens naar de mogelijkheden van document en
content management systemen. (ECM, STellent, Documentum, etc). Bij het
aanmaken van content (documenten, websites, etc) kan je aangeven wie mag
zien, veranderen,etc) Verder is het mogelijk content te laten voldoen aan
bewijs en bewaarplicht en het openbaar maken (declassificeren na een
aantal condities). Maar vooral het monitoren wie wat heeft gezien / heeft
gedaan maakt deze omgevingen voor security doeleinden interessant.
SOFAR RFV
Om te classificeren zou je trajecten als Sprint/Iram kunnen doen. Op het
moment dat je A&K of cramm los laat op je informatie ga je wel een heel
zwaar traject in. (kosten technisch alleen interessant voor kritische of zeer
geheime omgevingen).
Kijk ook eens bij kennisnet. Die hebben een uitgeklede versie van sprint.
Je andere vraag hoe je dat kan behoeden op lekken. Is wat moeilijker. Voor
gestructureerde data (databases) heb je controle via LDAP/SSO of ander
autorisatie mechanisme. Ongestructureerde data (files, webcontent etc) is
moeilijker te beheersen. Kijk eens naar de mogelijkheden van document en
content management systemen. (ECM, STellent, Documentum, etc). Bij het
aanmaken van content (documenten, websites, etc) kan je aangeven wie mag
zien, veranderen,etc) Verder is het mogelijk content te laten voldoen aan
bewijs en bewaarplicht en het openbaar maken (declassificeren na een
aantal condities). Maar vooral het monitoren wie wat heeft gezien / heeft
gedaan maakt deze omgevingen voor security doeleinden interessant.
SOFAR RFV
Interessante vraag is hoe je bitjes - zoals data in transit - gaat labellen? En
vergelijkbaar, als je wordbestanden in de header gaat markeren, wat dat dan
betekend..... Zonder strak informatiebeheer (waar staat informatie, wie mag
labellen, eigenaren van 'gevoelige' informatie ook de rekening van de
beveiligingskosten en dat soort dingen) á la mandatory acces control, is
labelling een leuke excercitie als je niks beters te doen hebt en je een paar
jaar onder de pannen wilt zijn.
Dan moet je niet verbaasd zijn als mensen security op één hoop gooien als
onzinnige geneuzel.
Bovendien, als jij je data goed labelt, weet ik tenminste wat ik moet pakken als
ik op je netwerk ben ingebroken. Behalve als ieder document gelabelled is als
hoogst vertrouwelijk. Kijk naar de overheid, volgens defensieonderzoekers
was 90% van alle gerubriceerde documenten overgerubriceerd. Het vlees is
zwak immers: als wat je doet 'gevoelig' is, wordt je vanzelf belangrijk.
vergelijkbaar, als je wordbestanden in de header gaat markeren, wat dat dan
betekend..... Zonder strak informatiebeheer (waar staat informatie, wie mag
labellen, eigenaren van 'gevoelige' informatie ook de rekening van de
beveiligingskosten en dat soort dingen) á la mandatory acces control, is
labelling een leuke excercitie als je niks beters te doen hebt en je een paar
jaar onder de pannen wilt zijn.
Dan moet je niet verbaasd zijn als mensen security op één hoop gooien als
onzinnige geneuzel.
Bovendien, als jij je data goed labelt, weet ik tenminste wat ik moet pakken als
ik op je netwerk ben ingebroken. Behalve als ieder document gelabelled is als
hoogst vertrouwelijk. Kijk naar de overheid, volgens defensieonderzoekers
was 90% van alle gerubriceerde documenten overgerubriceerd. Het vlees is
zwak immers: als wat je doet 'gevoelig' is, wordt je vanzelf belangrijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
