Dataclassificatie

Door in de FORA gebruik te maken van de thematische view 'Applicatiefuncties en referentiecomponenten – Verwerking persoonsgegevens’ kan inzichtelijk gemaakt worden welke gegevenscategorieën per applicatiefunctie en referentiecomponent gebruikt worden. Door de gegevenscategorieën te classificeren, kan de eerste stap genomen worden in beheersing van beveiligingsrisico’s. Op basis van classificatie kunnen passende maatregelen bepaald worden waaraan de systemen en applicaties dienen te voldoen.

Doel

Inzichtelijk maken welke dataclassificaties er gelden voor de verschillende systemen en applicaties die gebruikt worden en aan welke beveiligingsmaatregelen deze dienen te voldoen.

Betrokkenen/rollen

Gebruik door: ict-coördinatoren, informatiemanagers, security officers, privacy officers, functionarissen gegevensbescherming.

Toelichting

De FORA biedt inzicht in de bedrijfsfuncties van een schoolorganisatie. Het Hoofdbedrijfsfunctiemodel beschrijft op hoofdlijnen wat een onderwijsorganisatie doet. Verdieping daarvan vindt plaats in het Referentiecomponenten en applicatiefuncties model dat in meer detail weergeeft welke gegevens worden verwerkt in specifieke referentiecomponenten en applicatiefuncties. Referentiecomponenten zijn typen systemen (zoals een LAS, een Toetssysteem, of een ELO) en applicatiesfuncties zijn bijbehorende functionaliteiten.

Aanleiding en achtergrond informatie

Vanuit informatiebeveiliging is het van belang om een dataclassificatie uit te voeren. Op basis hiervan kunnen passende maatregelen geformuleerd worden om beveiligingsrisico’s te beperken. Dataclassificatie is een inschatting van de mate waarin de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens geborgd moeten worden. In deze use case is vooral gekeken naar het kwaliteitsaspect vertrouwelijkheid, oftewel de mate waarin persoonsgegevens afgeschermd moeten worden.

Een classificatie met de indicatie ‘hoog’ betekent dat de gegevens geheim moeten blijven, vaak gaat het om gevoelige of bijzondere persoonsgegevens. Een indicatie ‘midden’ betekent dat gegevens vertrouwelijk moeten blijven en de indicatie ‘laag’ geeft aan dat gegevens intern moeten blijven, maar publicatie geen grote schade toebrengt.

Binnen de FORA Onderwijsgroep zijn de classificaties op het kwaliteitsaspect vertrouwelijk, als volgt vertaald naar beheersmaatregelen ten aanzien van toegangsbeveiliging:
• Laag: authenticatie op basis van gebruikersnaam en wachtwoord
• Midden: authenticatie op basis van gebruikersnaam en een complex wachtwoord. En het toepassen van autorisaties per functie (autorisatiematrix)
• Hoog: authenticatie op basis van gebruikersnaam en een complex wachtwoord in combinatie met MFA. En het toepassen van autorisaties per functie (autorisatiematrix)

Scenariostappen in het proces

Stap 1
Gebruik de view ‘Applicatiefuncties en referentiecomponenten Verwerking persoonsgegevens om inzicht in de applicaties te krijgen die bepaalde data bevatten.
Dataclassificatie 1.png


Stap 2
Bepaal met de proceseigenaar of -eigenaren binnen een specifieke bedrijfsfunctie wat de classificatie moet zijn van de gegevens.
Dataclassificatie 2.png


Stap 3
Als de classificatie is gedaan, eventueel ook voor de andere kwaliteitsaspecten, kan nagegaan worden in hoeverre de systemen en applicaties binnen de school voldoen aan de vereiste beheersmaatregelen.
Stap 4
In overleg met de proceseigenaren kan een plan gemaakt worden om de beheersmaatregelen alsnog te implementeren of om op zoek te naar alternatieve oplossingen door bijvoorbeeld bepaalde data in sommige applicaties en systemen niet meer te verwerken.

Uitkomst

Het terugdringen van informatiebeveiligingsrisico’s met betrekking tot de toegang van gebruikers tot (persoons)gegevens.

Zie ook

Overgenomen van "https://fora.wikixl.nl/index.php?title=Dataclassificatie&oldid=120057"