rubriceren: vaststellen en aangeven dat een gegeven bijzondere informatie is en het bepalen en aangeven van de mate van beveiliging die aan deze informatie moet worden gegeven [Bron: VIR-BI]  

Niet alles is geheim ... het meeste zelfs niet!

Classificeren van gegevens of informatie, ook wel rubriceren genoemd behoort tot de oudste maatregelen van informatiebeveiliging. Op het moment dat men bepaald had dat iets geheim moest blijven, werden de eerste maatregelen bedacht om daarvoor te zorgen: opbergen op een veilige plek, toepassen van de eerste vormen van encryptie, transport door de lucht, e.d.. Classificatie of rubricering heeft zich in eerste instantie verder ontwikkeld binnen het overheids-/militaire domein en later navolging gekregen in het bedrijfsleven. Het richt zich uitsluitend op het criterium Vertrouwelijkheid (of Exclusiviteit). Bekende voorbeelden zijn dan Staatsgeheim (zeer) geheim of (Top) Secret. Daarnaast bestaat een lichtere variant die wordt aangeduid met ‘merking’. Privacy wordt veelal onder de merkingen gerangschikt, bijvoorbeeld in de vorm van personeels (zeer) vertrouwelijk of medisch (zeer) geheim. Classificatie/rubricering heeft overigens niet alleen betrekking op informatie. Het kan ook betrekking hebben op alle andere assets die bij de verwerking van die informatie een rol spelen. Om deze reden gaat classificatie/rubricering ook veelal samen met ‘labelling’: het aan dit informatie of asset verbinden van een label waarop het niveau van de classificatie vermeld staat zodat de gebruiker (verzender, ontvanger) kan weten hoe met de informatie of asset om te gaan c.q. tot welk niveau van classificatie een bepaald asset mag worden ingezet. Zo zijn er encryptiemiddelen die alleen mogen worden ingezet tot en met de rubricering Staatsgeheim confidentieel. Moet je gegevens beschermen op niveau Staatgeheim geheim, dan is een ander, zwaarder encryptiemiddel mogelijk.. Daarmee zijn we bij het tweede kenmerk van classificatie/rubricering: conform de hiernaast aangegeven definitie is het doel ook om aan te geven welke maatregelen van informatiebeveiliging moeten worden toegepast op die informatie c.q. de bijbehorende assets. Deze maatrgelen worden zwaarder en daarmee duurder naarmate de classificatie/rubricering hoger is. Zo moet bijvoorbeeld op het hoogste niveau iedere kopie afzonderlijk vastgelegd worden in een register, moet duidelijk zijn wie welke kopie heeft en kan het zijn dat deze kopieën na gebruik direct vernietigd moeten worden, waarbij is aangegeven welke vorm(en) van vernietiging moet(en) worden toegepast om zeker te zijn dat volledige vernietiging heeft plaatsgevonden. De bij een klasse behorende set aan beveiligingsmaatregelen kun je beschouwen als een baseline. Op deze wijze zijn er al snel 4 of 5 baselines op het gebied van vertrouwlijkheid die gecombineerd moeten worden met baseline op de gebieden beschikbaarheid en integriteit. Zie hier voor een nadere beschouwing van baselines. Classificatie heeft weer aan belangstelling gewonnen door de opkomst van cloud computing en cyber crime. Beschikt een organisatie over een systematiek voor classificatie dan kan op eenvoudige wijze vastgesteld worden of cloud computing is toegestaan en, zo ja, welke maatregelen daarbij toegepast moeten worden. Ook bij cyber security vergemakkelijkt classificatie het invoeren en toepassen van de jjuiste maatregelen. Je weet dan welke assets het beste beveiligd moeten worden. Bijvoorbeeld Data Loss Prevention (DLP) richt zich op de naleving van maatregelen die verbonden zijn aan de classificatie van de data in met name het gebruik en de uitwisseling van gegevens. Veelal is classificatie ook verbonden met zonering en compartimentering c.q. isolatie. In relatie tot cyber security is het extra van belang na te gaan of gegevens met de hoogste classificaties niet in (een) volledig gescheiden compartiment(en) beheerd, verwerkt en gebruikt zouden moeten worden zonder enige koppeling aan het onveilige internet (zoals in beginsel geldt voor STG Zeer Geheim). Maatregelen zoals classificatie van informatie en labelling zijn ook terug te vinden in bronnen met maatregelen zoals de Code voor Informatiebeveiliging, SOGP van het ISF en NIST SP800-53. Dit gebeurt dan wel met een mindere mate van detaillering. Daarom is onder maatregekenselectie aangegeven dat in voorkomend geval aanvulling nodig is met maatregelen vanuit wet- en regelgeving.