Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie gedurende de volledige levenscyclus.

In dit beleid verwijzen we veelvuldig naar de term ‘informatieasset’. We definiëren een informatieasset als volgt: “Een informatieasset is een set informatie die waarde heeft voor de organisatie of het individu welke gedeeld of vastgelegd kan worden in elke vorm, zoals fysiek of digitaal.”

Toelichting

Een informatieasset is een term die wordt gebruikt om een specifieke verzameling informatie of gegevens binnen een organisatie te beschrijven. Het kan verwijzen naar zowel digitale als niet-digitale informatiebronnen, zoals documenten, databases, afbeeldingen, video's, audio-opnamen en andere soorten informatie.

Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases.

Het beheer en de bescherming van informatieassets is van groot belang voor organisaties, vooral vanwege de toenemende afhankelijkheid van informatie en de waarde ervan. Het omvat het vaststellen van beleid, procedures en technische maatregelen om ervoor te zorgen dat informatieassets veilig, nauwkeurig, beschikbaar en vertrouwelijk blijven.

Kortom, een informatieasset is een term die wordt gebruikt om te verwijzen naar de waardevolle verzameling informatie of gegevens binnen een organisatie die strategisch worden beheerd en beschermd.

Ter verduidelijking van het onderwerp informatieassets, is er vanuit Informatieclassificatieraamwerk (ICR) hieromtrent een handreiking ontwikkeld: Handreiking informatieassets

Implementatiemaatregel

De eigenaar van de informatie MOET het informatieclassificatieraamwerk van de Vlaamse Overheid toepassen.

De informatieklasse van informatieassets MOET worden bijgehouden in een centraal register.

Bij ontvangst van geclassificeerde informatie van buiten de organisatie MOET de ontvanger deze informatie classificeren volgens het voorgeschreven informatieclassificatieraamwerk wordt deze persoon aangemerkt als de eigenaar van deze informatieasset.

De eigenaar MOET de informatieclassificatie van zijn informatieassets elk jaar herzien, en beoordelen of het gevoeligheidsniveau moet worden gewijzigd.

Implementatiemaatregel

Informatie MOET volgens de informatieklasse gelabeld worden.

Binnen organisatiedocumenten, evenals in de beschrijving van datasets en code, MOET de informatieklasse vermeld worden. (Bijvoorbeeld: Documentatie over de opzet van software-infrastructuur kan waardevolle inzichten bieden aan kwaadwillende individuen. Zulke documenten dienen dus eveneens geclassificeerd, gelabeld en beschermd te worden.)

Procedures voor het labelen van informatie MOETEN worden opgesteld. Deze procedures specificeren:

• de locaties en methodes voor het aanbrengen van labels;

• situaties waarin labelen niet wordt toegepast;

• de wijze van labelen bij het verzenden of opslaan van informatie op elektronische of fysieke dragers, of andere formaten;

• de aanpak bij situaties waar labelen technisch niet haalbaar is.

Registraties (of ‘records’) verwijzen naar alle gegevens (data) die de organisatie opslaat en/of hanteert ter ondersteuning van haar reguliere bedrijfsvoering. Elke verzameling van gegevens, onafhankelijk van haar structuur of formaat, kan als een registratie worden beschouwd.

Implementatiemaatregel

Om registraties te beschermen tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave MOETEN onderstaande richtlijnen in overweging worden genomen en gedocumenteerd:

• Stel procedures op voor de beveiliging van gegevens, afgestemd op de informatieclassificatie van de informatie.

• Stel procedures op voor de retentie, opslag, behandeling en vernietiging van gegevens, afgestemd op de informatieclassificatie van de informatie.

• Creëer een bewaarschema waarin de registraties en hun bewaartermijnen worden gedefinieerd.

• Zorg ervoor dat het gegevensopslagsysteem de identificatie van registraties en hun bewaartermijnen garandeert, rekening houdend met relevante wet- en regelgeving en maatschappelijke verwachtingen. Vernietig registraties na deze termijn indien niet langer nodig.

• Baseer de beschermingsbeslissingen van specifieke registraties op hun informatieclassificatie.

• Categoriseer registraties naar type (bijvoorbeeld financieel, transactie, personeel, juridisch) en specificeer voor elk type de bewaartermijn en toegestane opslagmedia.

• Kies gegevensopslagsystemen die het tijdig en in het juiste formaat ophalen van benodigde registraties mogelijk maken.

• Bij gebruik van elektronische opslagmedia, implementeer procedures die de toegankelijkheid van registraties tijdens de bewaartermijn waarborgen en bescherm tegen technologische veroudering.

• Bewaar gerelateerde cryptografische sleutels en bijbehorende software voor versleutelde archieven of digitale handtekeningen, om decodering gedurende de bewaarperiode mogelijk te maken. (Zie Cryptografie)

• Volg de aanbevelingen van fabrikanten bij het opslaan en behandelen van media.

• Houd rekening met potentiële kwaliteitsdegradatie van media gebruikt voor het bewaren van registraties.

Implementatiemaatregel

Om informatieassets te beschermen tijdens een audit MOETEN onderstaande richtlijnen in overweging worden genomen en gedocumenteerd

• Stem verzoeken voor toegang tot systemen en data voor auditdoeleinden altijd af met de betreffende product owner en/of systeembeheerder.

• Voer auditactiviteiten die de systeembeschikbaarheid kunnen beïnvloeden uit rekening houdende met de beschikbaarheidsklasse van de te auditen systemen/informatie.

• Definieer en controleer het toepassingsgebied van technische audits.

• Vanaf informatieklasse 1 (integriteit) beperk toegang tot audit records tot ‘read-only’.

• Sta alleen ‘read-write’ toegang toe op geïsoleerde kopieën van systeembestanden. Verwijder deze bestanden veilig na afronding van de audit of bescherm ze adequaat indien bewaring vereist is.

• Stel en verifieer beveiligingseisen voor de apparaten waarmee toegang tot systemen wordt verkregen, zoals laptops, alvorens toegang te verlenen.

• Evalueer verzoeken voor aanvullende of aangepaste verwerkingen, zoals het gebruik van audittools.

• Monitor en log alle toegangen voor audit- en testdoeleinden.

• Zorg ervoor dat auditactiviteiten enkel worden uitgevoerd door gekwalificeerde, ervaren professionals met technische expertise en kennis van informatiebeveiliging, die daarnaast onafhankelijk zijn van de te auditen omgeving. Wees bewust dat er verschillende soorten audits zijn die worden uitgevoerd door verschillende partijen. Audit Vlaanderen is de interne auditdienst van de Vlaamse overheid en kent geen restricties. Zij hebben het mandaat om alles te bekijken en te bevragen.

• Voor informatieassets met informatieklasse 5:

  • Pas het 4-ogenprincipe toe

  • Voorzie waarschuwingen (alarmen) wanneer de opslagcapaciteit voor audits is bereikt.

  • Voorzie real-time waarschuwingen (alarmen) bij problemen in de auditfunctie.

Bij het maskeren van gegevens worden de werkelijke gegevens onherkenbaar gemaakt (zoals willekeurige tekens of waarden), waarbij de bruikbaarheid voor bepaalde doeleinden, zoals testen of analyseren, behouden blijft. Dit betekent dat de gemaskeerde gegevens in veel opzichten lijkt op de originele gegevens, maar geen werkelijke waarde of betekenis heeft vanuit een privacy- of beveiligingsperspectief.

Dit is ondermeer belangrijk in ontwikkel- en testomgevingen, waar echte gegevens nodig zijn om systemen en toepassingen te testen, maar waar gevoelige informatie beschermd moet worden.

Enkele gangbare technieken voor het maskeren van gegevens:

• Substitutie: Hierbij worden echte waarden vervangen door andere waarden uit een vervangende dataset. Bijvoorbeeld, echte namen kunnen worden vervangen door namen uit een fictieve lijst.

• Versleuteling: Gegevens worden omgezet in een gecodeerde vorm met behulp van een algoritme en een sleutel. Alleen degenen met de juiste sleutel kunnen de oorspronkelijke gegevens herstellen.

• Shuffling of Permutatie: Hierbij worden waarden binnen een kolom gemengd zodat de oorspronkelijke correlaties tussen datarecords verloren gaan.

• Redactie: Specifieke delen van de gegevens, zoals de laatste vier cijfers van een rijksregisternummer, worden verwijderd of vervangen door andere tekens zoals asterisken.

• Maskeren op basis van regels: Hierbij worden waarden gemaskeerd volgens vooraf gedefinieerde regels. Bijvoorbeeld, e-mailadressen kunnen worden gemaskeerd door de domeinnamen te vervangen.

• Pseudonimisatie: Gevoelige gegevens worden vervangen door fictieve, maar realistisch ogende gegevens, waarbij het mogelijk is om de originele gegevens te herstellen met behulp van een specifieke methode of sleutel.

• Generatie van willekeurige gegevens: Originele waarden worden vervangen door willekeurig gegenereerde waarden.

• Hashing: Gegevens worden omgezet in een vaste reeks tekens met behulp van een hash-functie. Het is moeilijk (zo niet onmogelijk) om de originele gegevens uit de hash-waarde te herleiden.

Implementatiemaatregel

In ontwikkel- en testomgevingen MOET het maskeren van persoonsgegevens of gegevens vanaf informatieklasse 3 (vertrouwelijkheid) worden toegepast.

Als het verbergen van gegevens niet mogelijk is, MOETEN ontwikkel- en testomgevingen dezelfde beveiligingsmaatregelen toepassen als de productieomgeving.

Implementatiemaatregel

De volgende richtlijnen MOETEN worden toegepast om operationele gegevens te beschermen die voor testdoeleinden worden gebruikt:

• Gevoelige gegevens waaronder persoonsgegevens dienen te worden verwijderd of te worden gemaskeerd bij gebruik voor testen.

  • Informatieklasse 3: testgegevens uit productie anonimiseren of vertrouwelijkheid beveiligen

  • Informatieklasse 4: testgegevens uit productie anonimiseren of cryptografische maatregelen voor vertrouwelijkheid

  • Informatieklasse 5: testgegevens uit productie altijd anonimiseren

• De toegangsbeveiligingsprocedures die worden toegepast op operationele omgevingen dienen ook te worden toegepast op testomgevingen.

• Voor elke keer dat operationele gegevens naar een testomgeving worden gekopieerd, behoort een afzonderlijke autorisatie te worden verkregen.

• Operationele gegevens behoren onmiddellijk na voltooiing van het testen uit de testomgeving te worden verwijderd.

• Logbestanden van het kopiëren en gebruiken van operationele gegevens dienen te worden bijhouden om in een audittraject te voorzien.

• Testgegevens moeten veilig worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden worden gebruikt.

Dataminimalisatie is een concept uit de AVG/GDPR wetgeving en houdt in dat je als organisatie niet meer gegevens mag verzamelen dan strikt noodzakelijk voor het beoogde doel. Hoewel dus wettelijk verplicht voor persoonsgegevens, is dit principe ook van toepassing op andere types informatie met een hoge graad van vertrouwelijkheid. Dataminimalisatie is waardevol om een eenvoudige reden: wat je niet bezit, kun je ook niet verliezen of verkeerd verwerken. Dankzij dataminimalisatie verkleint de kans op een verkeerde verwerking. Denk aan inzage door een onbevoegd persoon, of diefstal door hackers. Data die een organisatie niet bezit, kan niet op straat belanden of onder verkeerde ogen komen.

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om enkel die informatie te bewaren die nodig is voor het doel van de verwerking.

Systemen MOETEN een federated data model gebruiken wanneer zij verwerking baseren op informatie met een informatieklasse vertrouwelijkheid van 3 of hoger. Een federated data model is een technologie die data van verschillende bronnen virtueel samenvoegt en toegankelijk maakt onder een uniform data model. De onderliggende data stores in een federated data store blijven autonoom functioneren. Data gebruikers kunnen federated queries uitvoeren alsof de data gecombineerd waren

Voorbeeld:

• een afdeling XYZ binnen een lokaal bestuur ABC verkoopt tickets voor events, en geeft korting wanneer een persoon een laag inkomen heeft

• inkomens worden bewaard op de FOD Financiën

• XYZ zal geen bestand bijhouden van inwoners en hun inkomen maar op de moment van de verkoop van een ticket een query sturen naar FOD Financiën om het inkomen te raadplegen

Nota: binnen Digitaal Vlaanderen maakt het product Magda AA een federated data model mogelijk.

Informatieoverdracht is het proces van het delen van informatie van een bron naar een ontvanger. Dit kan op verschillende manieren gebeuren, via elektronische media, fysieke media of mondelinge communicatie.

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om informatie te beschermen tijdens transport.

Voordat informatie en/of software met een externe partij wordt gedeeld, MOET er een overeenkomst worden ondertekend door beide partijen. De overeenkomst kan op papier of digitaal zijn (bijvoorbeeld akkoord gaan met algemene voorwaarden).

Procedures, maatregelen en overeenkomsten MOETEN de classificatie van de desbetreffende informatie weerspiegelen.

Elektronische overdracht verwijst naar het doorsturen van informatie met behulp van elektronische apparatuur, waaronder computers, netwerken en mobiele toestellen. Dit omvat onder meer het zenden van een e-mail, het plaatsen van een bestand in een cloudservice, het opladen van informatie via een website of FTP-dienst, of het zenden van een bericht via instant messaging (MS Teams, Whatsapp, SMS, …).

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om informatie te beschermen bij elektronisch overdracht.

Fysieke opslagmedia zijn alle objecten die informatie kunnen bewaren, zoals papier, USB-sticks, harde schijven, enz.

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om informatie te beschermen bij fysieke overdracht.

Implementatiemaatregel

Om de mondelinge overdracht van informatie te beschermen, MOETEN medewerkers en andere belanghebbenden bewust worden gemaakt van de risico's en voorzorgsmaatregelen.

Vertrouwelijkheids- of geheimhoudingsovereenkomsten zijn juridische contracten tussen twee of meer partijen waarin wordt vastgelegd dat bepaalde informatie, die wordt gedeeld voor specifieke doeleinden, vertrouwelijk moet blijven en niet buiten de overeenkomende partijen mag worden verspreid. Het doel van dergelijke overeenkomsten is het beschermen van gevoelige informatie, bedrijfsgeheimen, patenten in wording, klantgegevens, en andere waardevolle en vertrouwelijke gegevens.

De partij die de informatie verstrekt, wordt vaak de 'openbaarmakende partij' genoemd, terwijl de partij die de informatie ontvangt, de 'ontvangende partij' wordt genoemd. De overeenkomst bepaalt doorgaans wat als vertrouwelijke informatie wordt beschouwd, hoe deze informatie kan worden gebruikt, de duur van de vertrouwelijkheid, en de gevolgen bij schending van de overeenkomst.

Implementatiemaatregel

In vertrouwelijkheids- of geheimhoudingsovereenkomsten MOET op zijn minst het volgende juridisch bindend worden vastgesteld:

• Wat precies wordt verstaan onder de geclassificeerde informatie die beschermd moet worden.

• De specificatie van welke informatie bescherming behoeft en de manier waarop deze kan worden onderscheiden.

• De eigendomsrechten van zowel de informatie zelf als de intellectuele rechten die hierop betrekking hebben.

• De duur waarvoor de overeenkomst is aangegaan.

• De stappen die genomen dienen te worden bij het beëindigen van de overeenkomst.

• De procedure voor het melden en rapporteren van onbedoelde openbaarmaking of lekken van informatie.

• De consequenties en acties die volgen bij het niet nakomen van de afspraken uit de overeenkomst.

Data Leakage Prevention (DLP) is een methode om te voorkomen dat gevoelige informatie, zoals persoonsgegevens of vertrouwelijke bedrijfsinformatie, het beveiligde netwerk van een organisatie verlaat zonder de juiste autorisatie. Het hoofddoel van DLP is het beschermen van de informatie waarover een organisatie beschikt en het waarborgen dat deze niet in verkeerde handen valt, hetzij door kwaadwillige acties, hetzij door onopzettelijke fouten van medewerkers.

DLP-oplossingen kunnen zowel op inhoud als op context scannen en bepalen of een bepaald stuk informatie mag worden overgedragen. Hierbij kan het gaan om data-overdracht via e-mails, webapplicaties, USB-sticks, cd's, mobiele apparaten en andere communicatie- of opslagkanalen.

Implementatiemaatregel

Om gegevenslekken te voorkomen MOET de organisatie de volgende stappen nemen:

• Het identificeer en classificeer van gevoelige informatie. Dit omvat het vaststellen van welke informatie gevoelig is, zoals persoonsgegevens, vertrouwelijke bedrijfsinformatie of financiële gegevens.

• Het monitoren van kanalen waarlangs gegevens kunnen lekken. Dit omvat e-mail, bestandsoverdracht, mobiele apparaten en draagbare opslagapparatuur.

• Het implementeren van beveiligingsmaatregelen om gegevenslekken tegen te gaan. Dit kan bijvoorbeeld het gebruik van firewalls, antivirussoftware en specifieke DLP-oplossingen omvatten.

DLP-oplossingen kunnen worden gebruikt om:

• Gevoelige informatie te identificeren en monitoren, zoals in niet-gestructureerde gegevens op het systeem van een gebruiker.

• De openbaarmaking van gevoelige informatie te detecteren, zoals wanneer deze wordt geüpload naar niet-vertrouwde clouddiensten of wordt verzonden.

• Handelingen van gebruikers of netwerktransmissies te blokkeren die gevoelige informatie kunnen blootstellen, zoals het kopiëren of plakken van gevoelige informatie naar diensten, apparaten of opslagmedia buiten de organisatie.

Implementatiemaatregel

Bij het wissen van informatie MOET rekening worden gehouden met volgende aspecten:

• Een wismethode (bijv. elektronisch overschrijven of cryptografisch wissen) selecteren overeenkomstig de bedrijfseisen en met inachtneming van de relevante wet- en regelgeving.

• De resultaten van het wissen als bewijsmateriaal registreren.

• Wanneer gebruik wordt gemaakt van dienstverleners voor het wissen van informatie, bewijs van het wissen van informatie van hen verkrijgen.

• Indien derden de informatie van de organisatie namens de organisatie opslaan, moet de organisatie in de overeenkomsten met derden eisen inzake het wissen van informatie opnemen, die tijdens en bij beëindiging van dergelijke diensten worden afgedwongen.

Document status (Metadata)

Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

status opties: