Afspraken Gemeenschappelijke Classificatie van Stelselinformatie
Stelselgegevens hebben betekenis op het niveau van het Stelsel. De bescherming van die gegevens door individuele deelnemers en beheerorganisaties moet daarom een gelijk niveau hebben. De Gemeenschappelijke Classificatie van Stelselgegevens (tabel 1) geeft richting aan het nemen van beveiligingsmaatregelen.
In tabel 1 is de classificatie van informatie binnen het Stelsel beschreven. De tabel legt met voorbeelden uit hoe de classificatie moet worden begrepen. Tabel 2 geeft een lijst van voorbeelden van geclassificeerde stelselgegevens en dient als referentie voor de classificatie van overige bestaande en nieuwe Stelselinformatie.
Tabel 1: Classificatie van informatie binnen het Stelsel
Classificatie | Openbaar | Intern | Vertrouwelijk |
---|---|---|---|
Uitleg | Alle informatie over het Stelsel bedoeld voor (potentiële) klanten of breder publiek. |
|
|
Voorbeeld |
|
|
|
Referentie |
|
|
|
Tabel 2: Referentietabel met voorbeelden van geclassificeerde gegevens
Referentietabel met gegevens binnen het Stelsel | Classificatie | |
---|---|---|
1 | Logbestanden van berichten-/transactieverkeer | Vertrouwelijk - AV23 Risicoklasse 2 |
2 | Contractgegevens | Vertrouwelijk |
3 | Registraties AD en MD | Vertrouwelijk - AV23 Risicoklasse 2 |
4 | Metadata | Intern1 |
5 | Dienstencatalogus | Intern1 |
6 | Testgegevens | Vertrouwelijk |
7 | Auditrapporten | Vertrouwelijk |
8 | Informatie betreffende de toetreding van deelnemers exclusief het advies aan het Tactisch Beraad | Vertrouwelijk |
9 | Berichten(verkeer) | Vertrouwelijk |
10 | SNO rapportages van individuele deelnemers | Vertrouwelijk |
11 | Generieke managementrapportages | Intern |
12 | Vergaderverslagen Operationeel Beraad, Tactisch Beraad etc. | Intern |
13 | Beveiligingsincidenten-registratie | Vertrouwelijk |
14 | Generieke beveiligingsrapportage (trends) | Intern |
15 | Documentatie van het Afsprakenstelsel | Openbaar |
16 | Informatie op de website van het Stelsel | Openbaar |
17 | RFC's | Intern/Vertrouwelijk2 |
18 | Rapporten van security-audits of penetratietesten | Vertrouwelijk |
Voetnoten
Betreft slechts het aspect vertrouwelijkheid. Er zal wel sprake zijn van extra maatregelen i.v.m. eisen aan de integriteit van de gegevens.
Per RFC dient de mate van vertrouwelijkheid te worden vastgesteld en de consequenties voor de behandeling van de RFC in de wijzigingsprocedure. Tenzij anders gespecificeerd, geldt dat de samenvatting Openbaar is, reviewcommentaar Intern, en de RFC tekst Intern zolang deze niet van positief advies is voorzien door het OB.