Alles over de BIV-classificatie bij informatiebeveiligingsbeleid
ī€£

mei 22, 2024

ī‚
security island

Informatiebeveiligingsbeleid is een cruciaal onderdeel van elke organisatie. Het beschermt de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Maar hoe bepaal je welke maatregelen nodig zijn voor verschillende soorten informatie?

Hier komt de BIV-classificatie om de hoek kijken. In dit artikel gaan we dieper in op wat de BIV-classificatie inhoudt en hoe het samenhangt met normen als de BIO en ISO 27001.

De 3 aspecten van informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid volgens de BIV-classificatie draait om het waarborgen van drie kernprincipes:

1. Beschikbaarheid

Beschikbaarheid heeft betrekking op het garanderen dat informatie en IT-systemen toegankelijk en bruikbaar zijn als dit nodig is. Zonder beschikbaarheid is het lastig voor medewerkers om hun taken uit te voeren en stagneren bedrijfsprocessen. Voorbeelden van beschikbaarheidsproblemen zijn:

  • Uitvallen van servers of netwerken waardoor medewerkers geen toegang hebben tot essentiĆ«le applicaties en data.
  • Overbelasting van systemen waardoor de reactietijd vertraagt en gebruikers hun werk niet kunnen uitvoeren.
  • Onvoldoende opslagcapaciteit waardoor het niet mogelijk is bestanden op te slaan of te openen.

Integriteit

Integriteit gaat over het waarborgen dat informatie en IT-systemen juist, volledig en betrouwbaar blijven, zonder ongeautoriseerde wijzigingen. Een schending van integriteit leidt mogelijk tot onjuiste besluitvorming, financiƫle schade en reputatieschade. Enkele voorbeelden van integriteitsproblemen zijn:

  • Hackers die gegevens manipuleren of verwijderen.
  • Menselijke fouten bij het invoeren of verwerken van data.
  • Hardwarestoringen of softwarefouten die leiden tot corruptie van bestanden.

3. Vertrouwelijkheid

Vertrouwelijkheid gaat over het beschermen van informatie tegen ongeautoriseerde toegang of openbaarmaking. Een schending van vertrouwelijkheid leidt mogelijk tot concurrentieverlies, reputatieschade en juridische gevolgen. Enkele voorbeelden van vertrouwelijkheidsproblemen zijn:

  • Verlies of diefstal van laptops, smartphones of andere mobiele apparatuur met gevoelige informatie.
  • Onzorgvuldig omgaan met papieren documenten met vertrouwelijke gegevens.
  • Hackers die inbreken in IT-systemen en toegang krijgen tot gevoelige informatie.

Een evenwichtige aanpak, waarbij je alle drie de elementen gelijkwaardig behandelt, is essentieel voor een effectieve informatiebeveiliging.

BIV-classificaties bepalen en toepassen

Om te bepalen welke beveiligingsmaatregelen nodig zijn, maken veel organisaties gebruik van de BIV-classificatie. Hierbij deel je informatie in verschillende categorieƫn op basis van het vereiste niveau van beschikbaarheid, integriteit en vertrouwelijkheid.

  • Bepaal eerst hoe cruciaal de beschikbaarheid van informatie is. Moet deze altijd toegankelijk zijn?
  • Vervolgens beoordeel je de integriteit: hoe erg is het als de informatie onbedoeld wijzigt?
  • Tot slot kijk je naar vertrouwelijkheid: mag deze informatie publiekelijk bekend worden?

Op basis van de BIV-scores ken je vervolgens beveiligingsniveaus toe, variƫrend van basaal tot zeer streng.

  • Niveau 0 (laag): Openbare informatie zonder noemenswaardige impact bij compromittering. Basale beveiligingsmaatregelen volstaan.
  • Niveau 1 (midden): Interne bedrijfsinformatie die bij compromittering beperkte schade oplevert. Standaard beveiligingsmaatregelen zijn noodzakelijk.
  • Niveau 2 (hoog): Gevoelige gegevens waarvan compromittering significante schade veroorzaakt, zoals financiĆ«le of reputatieschade. Strikte beveiligingsmaatregelen zijn vereist.
  • Niveau 3 (zeer hoog): Zeer vertrouwelijke informatie met potentieel catastrofale gevolgen bij compromittering. Maximale beveiligingsmaatregelen moeten worden getroffen.

Door informatie te classificeren kunnen organisaties prioriteiten stellen en passende beveiligingscontroles implementeren. Zo voorkom je zowel over- als onderbeveiliging.

BIV en ISO 27001

ISO 27001 is de internationale standaard voor informatiebeveiliging. Het biedt een framework voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

Hoewel de ISO 27001 norm zelf geen specifieke BIV-classificatie voorschrijft, is het rubriceren van informatie wel een belangrijk onderdeel van risicomanagement binnen een ISMS. Door de BIV-methode te gebruiken, krijg je beter inzicht in de benodigde beveiligingsmaatregelen.

Veel van de controls uit ISO 27001 Annex A zijn gerelateerd aan de BIV-principes. Denk aan toegangsbeveiliging voor vertrouwelijkheid, change management voor integriteit en continuĆÆteitsplanning voor beschikbaarheid. De BIV-classificatie helpt bij het selecteren en prioriteren van de meest relevante controls.

Zie ook onze ISO 27001 checklist

BIV en de Baseline Informatiebeveiliging Overheid (BIO)

De BIO is de basisnorm voor informatiebeveiliging binnen de Nederlandse overheid. Het biedt een generiek normenkader gebaseerd op de internationaal erkende ISO 27002 standaard.

De BIO hanteert een risico-gebaseerde aanpak waarbij de BIV-classificatie een belangrijke rol speelt. Op basis van de BIV-rubricering van informatie worden passende beveiligingsmaatregelen geselecteerd uit de BIO. Hoe hoger de BIV-classificatie, hoe strenger de benodigde controls.

Conclusie

De BIV-classificatie is een waardevol instrument voor informatiebeveiliging. Door informatie te rubriceren op basis van beschikbaarheid, integriteit en vertrouwelijkheid krijgen organisaties grip op de benodigde beveiligingsmaatregelen.

De BIV-methode sluit naadloos aan op normen als de BIO voor de overheid en de internationaal erkende ISO 27001 standaard. Het vormt een integraal onderdeel van risicomanagement en helpt security officers om weloverwogen keuzes te maken in het beveiligingsbeleid.

Is jouw organisatie al aan de slag met de BIV-classificatie? Een zorgvuldige rubricering is de eerste stap naar effectieve en proportionele informatiebeveiliging.

Meer tips over ISO certificering?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten