ik zou hier eens mee beginnen:
https://www.cisa.gov/tlp

Allereerst wat is de definitie van ongestructureerde data?
Twee: waar komt de data dan vandaan? Ik vermoed een proces en daarbij is de proceseigenaar de persoon die iets over de data kan vertellen. Voer daarom een risicoanalyse uit en dan kan de BIV prima bij gebruikt worden.

Ik begrijp niet helemaal waarom alleen de 'V' voor ongestructureerde data geschikt is.
Het ligt aan de processen die ervan gebruik maken om aan te geven wat belangrijk is.

Ik begrijp niets van die stelling, welke het uitgangspunt lijkt van jouw vraag.

Dat zou kunnen komen doordat ik mij iets anders voorstel bij "ongestructureerde data" (namelijk alles waar geen strikt "template" of "sjabloon" voor bestaat: vaak de bulk van de informatie binnen een organisatie en/of uitgewisseld met derden).

Daarnaast verschillen de meningen over de definitie van integriteit (vanuit oogpunt van informatiebeveiliging vind ik, in elk geval bij ongestructureerde informatie, een heel stel kwalitatieve criteria out of scope, terwijl ik authenticiteit hier wel onder reken).

Het kan verstandig zijn om beschikbaarheid op te splitsen in criteria zoals bereikbaarheid (moet je er nu bij kunnen), reproduceerbaarheid (mag het ook morgen, bijv. uit offline storage) en vindbaarheid (vaak een "dingetje" bij ongestructureerde opslag).

Ten slotte kunnen BIV veranderen tijdens de lifecycle van informatie; de eisen t.a.v. de B en de I van het weerbericht van morgen zijn, voor de meeste mensen, hoger dan dat van gisteren.

Dank voor de tip, maar ik zie dat TLP gebaseerd is op intuïtie wat niet formeel of betrouw genoeg is voor deze situatie. Ook moeten er consequenties bepaald worden de verschillende classificatie niveaus, waar TLP ook niet geschikt voor is.

TLP is niet gebaseerd op intiutie, het is gebaseerd op de uitkomst van een risico analyse.

Ik heb geen ervaring hiermee, maar als ik deze opdracht zou krijgen zou mijn eerste vraag zijn: met welk doel? Wat wil de opdrachtgever bereiken met die classificatie? Als verschillend geclassificeerde documenten (of wat het zijn) niet verschillend behandeld gaan worden dan lijkt de hele exercitie geen enkele zin te hebben.

Misschien is het bijvoorbeeld van belang of ergens persoonsgegevens in voorkomen, omdat dan de AVG eist dat deze data zorgvuldig behandeld worden en goed worden beschermd. Zijn er andere wettelijke eisen waaraan voldaan moet worden? Gaat het om bedrijfsgeheimen die niet mogen uitlekken? Is er iets heel anders aan de hand?

Je doet het met een doel, maar je noemt helemaal geen doelen. Richt je op helderheid krijgen in wat die doelen zijn. Als die duidelijk zijn dan blijkt daaruit op basis van welke kenmerken van de data onderscheid gemaakt moet worden en hoe dat bepaalt hoe data behandeld moet worden. Elke combinatie van kenmerken die bepalen hoe er met data moet worden omgegaan is een klasse, en daar heb je je classificatie.

Om achter de doelen te komen, als je die nog niet kent, moet je onderzoek doen, vragen stellen, om te beginnen aan degene die je de opdracht heeft gegeven, en vergeet niet overal bij te vragen wie in je organisatie verstand heeft van elk aspect dat ertoe doet, en ga ook met die mensen praten. Zorg dat je zelf voldoende kennis van de materie verzamelt, en gebruik dat om de classificatie op te stellen en om hem te verantwoorden.

Of zoiets als BIV dan nog toegevoegde waarde heeft blijkt uit de doelen die de classificatie dient. Wie weet betekent het niets meer, wie weet is als je zover bent volkomen duidelijk hoe beschikbaarheid en integriteit opgevat moeten worden. Als je de doelen overslaat dan is de kans heel groot dat je iets produceert dat er op papier mooi uitziet maar wat praktisch van geen enkele betekenis is. En door je in de materie te verdiepen leer je vermoedelijk ook nog eens een hoop.

Het lijkt mij zaak om de raw data minimaal de vertrouwelijkheid te geven van de meest vertrouwelijke data in je dataset.

Dus als je raw data een stukje confidentieel en een stukje geheim bevat, dan is de vertrouwelijkheid van alles bij elkaar minimaal geheim.

Daarmee loop je wel weer het risico dat je meer kosten moet gaan maken om deze data te beheren. Zou het andersom niet beter werken? Alles is openbaar tenzij de data zaken bevat die een hogere classificatie vereist. Alleen die data classificeer je waarmee je dan eigenlijk alle andere data ook direct geclassificeerd hebt.

In principe moet je de ongestructureerde data inderdaad behandelen conform het hoogste niveau. Het is daarom vaak verstandig om die ongestructureerde data alsnog te structureren en schiften zodat je alleen die data die als hoogste geclassificeerd is, ook als zodanig moet beschermen, en de overige data op een lager niveau kan beschermen.

Zeg nu zelf: zou je het OK vinden als de administratie van een bedrijf op papier staat, met zowel hoogover productinformatie als naam en adreslijsten van klanten of medewerkers, en al dat papier in één bak. En om dan die totale bak papier te klassificeren als openbaar, omdat er openbare productinformatie in zit?

Ik begrijp je niet helemaal. Ik kom in een data classificatiebeleid altijd classificaties tegen zoals 'public' 'internal' 'confidential' en 'secret', terwijl jij meteen met de CIA triad begint (informatiebeveiligingsprincipe). Gebaseerd op je verhaal lijkt het erop dat je al een classificatiebeleid hebt en dat je nu een manier zoekt hoe dit toe te passen op ongestructureerde data.
Bedoel je hiermee bijvoorbeeld procedures (en training, awareness) waarmee medewerkers de documenten waarmee ze werken correct kunnen classificieren? Of gaat dit over automatisch classificeren van documenten en data(velden)?

Ook ik begrijp perizoma (https://security.nl/profile?alias=perizoma) niet: maakt account aan, stelt 1 onduidelijke vraag, beantwoordt 1 open deur en verdwijnt.

Vanuit IB-perspectief is dat juist. Zo gelden er vaak niet alleen vertrouwelijkheidseisen bij "officiële" communicatie - inclusief "ongestructureerde" (volgens mijn definitie).

Bijvoorbeeld voor de SMS'jes van en naar Mark Rutte en de WhatsApp-berichten uitgewisseld tussen Hugo de Jonge en Sywert van Lienden gelden ook beschikbaarheids- en integriteitseisen (m.b.t. dat laatste: als iemand achteraf berichten kan wijzigen, vooral als dat kan zonder sporen na te laten, is dat vaak erger dan onbeschikbaarheid omdat dit mensen onterecht kan vrijpleiten - alhoewel ogenschijnlijk nooit verzonden of nooit ontvangen berichten dat soms ook kunnen).

Als een middel niet aan één of meer van de gestelde eisen voldoet, moet je het gebruik ervan verbieden - voor andere dan privé- en/of potentieel (t.z.t. terugkijkend) werk-gerelateerde communicatie (bijv. e-mail is voor sommige toepassingen simpelweg te onbetrouwbaar). Bovendien moet je gepaste sancties zo snel als mogelijk bekendmaken, monitoren op overtredingen (wellicht ook privé-communicatie, evt. steekproefsgewijs) en effectief handhaven.

Wat perizoma bedoelt weet ik niet, maar wat je bijvoorbeeld als bedrijf niet wilt is dat een boekhouder, die geld achteroverdrukt, zelf belastende informatie als "onbelangrijk" kan classificeren, waardoor bewijsmateriaal verdwijnt (onder de radar of definitief).

Ook voor logbestanden (soms nauwelijks gestructureerd of slecht gedocumenteerd) is het een goed idee om daar beschikbaarheids- en integriteitseisen aan te koppelen (na een risicoanalyse). Niet alleen vanuit risicoanalyses, maar ook door classificaties kunnen nieuwe inzichten ontstaan zoals "ah, met dat risico voor dit type info heb ik geen rekening gehouden, de omgangswijze ermee verdient verbetering".

Voor sommige informatie, zoals sollicitatiebrieven, geldt juist dat deze na een zekere tijd niet meer beschikbaar mogen zijn.

Op z'n minst zou elke organisatie de afweging moeten maken of er sprake is (of binnen afzienbare tijd kan zijn) van informatie die je ook op BI (uit BIV) zult moeten classificeren (en conform daarmee omgaan) om de risico's op een acceptabel niveau te houden. De uitkomst kan best "nee" zijn, en dat is prima als jouw organisatie niets essentieels over het hoofd heeft gezien. Maar met ransomware op de loer zal dat niet vaak het geval zijn.

Dat is toch normaal en correct?
Als je "nucleair afval" verwerkt wat in werklijkheid besmet materiaal is (bijvoorbeeld uit een ziekenhuis) ben je ook bezig
om grote hoeveelheden plastic en textiel te verwerken alsof het plutonium is.

Volgens mij zijn internal, confidential en secret allemaal classificatieopties in het delen van informatie, vertrouwelijkheid dus. Ik wil graag met de BIV werken omdat de BIV kan leiden naar een breder scala van nodige maatregelen voor informatiebeveiliging. Informatiebeveiliging, is denk ik meer dan alleen vertrouwelijkheid. Ik heb nog geen beleid liggen.

Ik ben ook tot de conclusie gekomen dat alleen vertrouwelijk niet voldoende is voor ongestructureerde data. Voor nu is het plan om alle dimensies van BIV toe te passen.

Ik ben het met je eens over de definitie van ongestructureerde data, de term is inderdaad erg breed. Ik heb nu een scope hierin gemaakt van alleen de kantoorautomatisering. Onder kantoorautomatisering versta ik documenten en e-mails die voortkomen uit office applicaties zoals outlook, excel, word, powerpoint, etc.

Of de classificatie van documenten voortkomend uit kantoorautomatisering ook dynamisch moet zijn betwijfel ik. Natuurlijk is dat belangrijk bij significante veranderingen in het document. Mogelijk wil ik het automatisch laten gebeuren door eventuele tools zoals purview, waar automatische periodieke scanning mogelijk is, dan is het mooi meegenomen maar dit is nog niet zeker.

Jou definities van de BIV dimensies zijn interessante input, ik zal er eens over denken wat ik daarmee kan.

Ik ben nu druk bezig inderdaad met dit doel te achterhalen. In grote lijnen heeft de organisatie wel een urgentiegevoel dat het tijd wordt om dit te doen, maar ik doe op dit moment onderzoek doormiddel van interviews etc. wat nou precies de achterliggende gedachte is, en wat de verwachtingen zijn voor dit beleid. Dan heb ik inderdaad iets concreters om naar toe te werken. Classificeren is geen doel op zich wat mij betreft.

Ik begrijp in deze de term ongestructureerde data niet helemaal. Ik zou dan ook niet in de deze termen gaan denken.
Volgens mij kan je het beste eens kijken of er al een classificatiebeleid is.
Daarin staan de verschillende classificatieniveaus en wat de criteria zijn.
Samen met de eigenaar van de data ga je dan kijken waar het binnen valt.
Let er wel op dat men eea objectief beoordeelt.
Een eigenaar zegt al snel dat ze nooit zonder kunnen en daarnaast wordt het gevaar van data integriteit vrijwel altijd onderschat. Wees er dus bewust van dat eea wel zo objectief mogelijk wordt ingeschat. Om het zo objectief mogelijk te maken moet je ook inzicht hebben in de mitigerende maatregelen. Wanner je het zo aanpakt is het praktisch, direcvt afgestemd met de eigenaar en feitelijk onderbouwd.

Succes

Dan nog is niet diepgaand genoeg aangezien het alleen vertrouwelijkheid dekt. De andere dimensies van BIV zijn denk ik toch ook interessant voor ongestructureerde data, dus de classificatie moet breder dan alleen TLP. Mogelijk verwerk ik een principe van TLP wel in het beleid, want de simpelheid van TLP is wel erg voordelig voor de succesvolle implementatie onder een groot aantal medewerkers.

Obfuscate je browser wel als je op gov sites klikt. Gebruik liever Tor browser in dat geval en zonder javascript.

Staat uitvoerig beschreven in CISSP

Ik zou de "klassieke" classificatie zoals gebruikelijk in een data classificatiebeleid is beschreven, gebruiken als indicatie over de waarde van de informatie of document. Als data gelabeld is als 'Secret' of 'TLP:RED' dan betekent dit dat het veel waarde heeft voor de organisatie. Vervolgens zou ik kijken wat de risico's zijn voor deze data op elk vlak van BIV. Dan weet je welke maatregelen je kunt implementeren om de risico's te verkleinen. Indien nodig, want de organisatie kan er ook voor kiezen de risico's te accepteren. Ik zou dit niet allemaal in een data classificatiebeleid proppen, 50% of meer van effectief dataclassificatiebeleid is communicatie met de werknemers. BIH en risicomanagement zou ik niet met elke werknemer proberen te doen maar samen met de 'eigenaren' van de informatie. Dit staat dan weer in het Security-beleid en Risk Management beleid.

Dit gaat uit van het idee dat hoe belangrijker een document voor de organisatie is, hoe meer geheim het wordt, of andersom: als het geheim is moet het wel belangrijk zijn. Dat is wel een beperkte benadering want het gaat voorbij aan infiormatie die minder vertrouwelijk is maar wel bescherming nodig heeft..
Voorbeeld: neem de productspecificatie of de handleiding van een product: op zich openbare informatie want je wilt dat igebruikers het product niet verkeerd inzetten (buiten de specs) of verkeerd gebruiken (anders dan in de handleiding). Al is het alleen al uit oogpunt van product aansprakelijkheid. Het is dan super belangrijk dat deze documenten niet aangepast kunnen worden, dus I (Integriteit) is Hoog, maar V (vertrouwelijklheid) is laag/openbaar.
Een ander voorbeeld is een persverklaring: die is superbelangrijk, want kan de beurswaarde van je bedrijf beinvloeden, maar is openbaar. En ook hier is integriteit enorm belangrijk, want als je onjuiste berichten naar buiten brengt heb je zo een proces aan je broek.

In je voorbeeld zou een handleiding of een persbericht helemaal niet belangrijk zijn, want openbaar.

De juiste manier is uit gaan van de waarde van informatie, en op basis van het doel hier een classificatie aan geven. Daarna kan je op basis van de classificatie maatregelen selecteren. En dus niet eerst op basis van gevoel of onderbuik een vertrouwelijkheidsclassificatie (V) geven, daaruit afleiden hoe belangrijk het is, en dan maatregelen nemen op B, I en V.

En natuurlijk doe je dit niet per document, maar per soort informatie.Zo zijn bv. HR dossiers vertrouwelijk, en daarbinnen medische informatie nog vertrouwelijker (want niet toegankelijk voor de HR medewerkers). Maar bovenal moet het Integer en Beschikbaar zijn, want het bevat juridisch bindende afspraken tussen bedrijf en medewerker.
Op dezelfde manier kan klant informatie voor het hele bedrijf toegangkelijk zijn, behalve de offertes op de laatste RfP, want die is concurrentiegevoelig, en een "disgruntled employee" kon die info wrel eens aan een concurrent verkopen...

Q

Je hebt gelijk, ik had een minder helder moment. Ik bedoel inderdaad dus wel dat je uit moet gaan van de waarde van het document. Puur de "klassieke" classificatie is niet genoeg om de waarde te bepalen.