In veel organisaties is data het meest waardevolle bezit. Een veelgebruikte uitspraak is dan ook: data is het nieuwe goud. Dit illustreert de waarde die data vertegenwoordigt. Het is daarom belangrijk om deze data goed te beveiligen en te beschermen. Dit doen we door middel van informatiebeveiliging. Een degelijk informatiebeveiligingsbeleid wordt geschreven aan de hand van BIV-classificatie. In de BIV-classificatie worden drie classificatieniveaus onderscheiden voor databeveiliging. In dit artikel gaan we dieper in op de BIV-classificatie en de gevolgen ervan voor jouw organisatie.
Wat is de BIV-classificatie?
Binnen informatiebeveiliging wordt gebruik gemaakt van de BIV-classificatie of BIV-indeling om data te classificeren. Onze consultants informatiebeveiliging en privacy krijgen regelmatig de vraag waar de afkorting BIV voor staat. De afkorting BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. De BIV-indeling wordt ook wel eens de BIV-driehoek genoemd. In het Engels maken we gebruik van de afkorting CIA triad: confidentiality, integrity en availability.
We werken steeds vaker digitaal. Als organisatie verwerk je dagelijks veel data, wat vanzelfsprekend risico’s met zich meebrengt. Het is daarom belangrijk om deze risico’s in kaart te brengen.
“Om de risico’s in te schatten moet er een belangenafweging worden gemaakt. Dat kan met de BIV-classificatie.”
Informatieveiligheid is een proces van risicoafwegingen om te komen tot maatregelen om je gegevens te beschermen. Om de risico’s in te schatten maak je een belangenafweging. Dat kan met de BIV-classificatie. Hierin ga je bepalen in welke mate de gegevens beschikbaar moeten zijn, de informatie integer en betrouwbaar is.
Bij een risicoafweging maak je een inschatting van mogelijke schade als informatiesystemen (tijdelijk) niet beschikbaar zijn, de informatie niet integer is en/of deze informatie in verkeerde handen valt. Ook maak je een inschatting van de dreigingen waartegen de overheid beschermd moet worden.
De drie factoren van de BIV-classificatie
Zoals eerder beschreven bestaat de BIV uit drie factoren: beschikbaarheid, integriteit en vertrouwelijkheid.
Beschikbaarheid (continuïteit)
De eerste factor van de BIV is beschikbaarheid of continuïteit. In dit onderdeel van de BIV-driehoek kijk je naar de mate waarin data toegankelijk en bruikbaar is.
Beschikbaarheid in de BIV-driehoek kent drie kenmerken:
- Continuïteit: kan ook in de toekomst ook data worden geleverd?
- Tijdigheid: kan de data tijdig worden geleverd?
- Robuustheid: is de data bestand tegen verstoringen?
Integriteit (betrouwbaarheid)
De tweede factor van de BIV is integriteit of betrouwbaarheid. In dit onderdeel van de BIV-driehoek kijk je naar de mate waarin informatie in de organisatie overeenkomt met de werkelijkheid en dat er geen informatie of data ten onrechte achtergehouden wordt of verdwijnt.
Integriteit in de BIV driehoek heeft de volgende kenmerken:
- Correctheid: wordt de data correct weergegeven en klopt deze?
- Nauwkeurigheid: de mate van detail en afronding van de data?
- Onweerlegbaarheid: heeft de verzender de data werkelijk verzonden?
- Volledigheid: is de data volledig?
- Geldigheid: Is de data geldig?
- Authenticiteit: Komt de data uit een correcte bron?
- Controleerbaarheid: in hoeverre kan de data worden gecontroleerd?
Vertrouwelijkheid (exclusiviteit)
De derde factor van de BIV is vertrouwelijkheid of exclusiviteit. In dit onderdeel van de BIV driehoek kijk je naar de mate waarin bevoegdheden en rechten met betrekking tot toevoegen, vernietigen en wijzigen van data op de juiste wijze zijn toegekend.
Vertrouwelijkheid in de BIV-driehoek heeft de volgende kenmerken:
- Exclusiviteit: wordt de data voor onbevoegden afgeschermd?
- Privacy: wordt er met persoonlijke data correct omgegaan?
30 dagen gratis trial
Ervaar zelf de voordelen van LIAS ISMS
Ontdek de kracht en het gemak van LIAS ISMS met onze gratis 30-daagse trial. Neem de controle over jouw informatiebeveiliging en privacy en start vandaag nog met onze gratis trial – geen verplichtingen, alleen resultaten.
Wat is de relatie tussen de BIV classificatie en de BIO?
In de BIO staat het volgende vermeld: De ISO 27002 ‘Code voor Informatiebeveiliging’ geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. Deze standaard is een best practice om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening.
De BIO gaat uit van een BasisBeveiligingsNiveau (BNN). Het BBN-niveau bepaal je aan de hand van een BBN-toets. De vertrouwelijkheid van de gegevens is hierin het meest bepalend. Ofwel de V van de BIV. Op basis van dit niveau bepaal je de maatregelen. De maatregelen moeten ervoor zorgen dat het gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid wordt behaald.
Wil je meer weten over informatiebeveiliging en privacy?
Wil je meer weten over informatieveiligheid en privacy voor jouw bedrijf, organisatie of gemeente? Of wil je meer toelichting op onderwerpen zoals de BIV-classificatie, BIO, ENSIA of andere zaken gerelateerd aan informatiebeveiliging en privacy? Neem dan gerust vrijblijvend contact met ons op. We vertellen je er graag alles over.
