Hoe het Britse ministerie van Defensie omgaat met Persoonsgegevens

In een vorige artikel werd toegelicht hoe de G-Cloud in de UK omgaat met gevoelige gegevens. Dit artikel bekijkt hoe het Britse ministerie van defensie (MOD) omgaat met persoonsgegevens, of correcter, hoe haar industriële partners er moeten mee omgaan. Het publiek beschikbare Industry Security Notice 2010/01 geeft enig inzicht. Een industriële partner moet hier op elk moment aan voldoen en moet ogenblikkelijk de bevoegde instanties inlichten wanneer dit niet zo is.

De Categorieën voor Gevoelige gegevens

Als basis is er het classificatiesysteem dat ook in de G-Cloud gebruikt wordt. Het bestaat uit 7 categorieën of Business Impact Levels, afgekort BIL of IL, lopend van IL0 (No impact) tot IL6 (Top secret).

cats

Een volledige BIL bestaat uit drie getallen (vb. BIL 3.3.4); het eerste cijfer geeft de confidentialiteit aan, het tweede de integriteit en het derde de beschikbaarheid (CIA). Vaak wordt slechts één cijfer gegeven. Wanneer er bijvoorbeeld verwezen wordt naar IL3-accreditatie heeft men het doorgaans over BIL3.3.x, wat staat voor IL3-accreditatie voor zowel confidentialiteit als integriteit.

Draagbare media en data in transit

Persoonsgegevens die een gevoelig karakter hebben of die, indien gecompromitteerd, zouden kunnen leiden tot identity theft, tot schade of problemen, krijgen een gevoeligheid van minimum IL2 (PROTECT). Gegevens van sommige groepen mensen krijgen een verhoogde gevoeligheid. Als voorbeeld worden Special Forces genoemd. Deze krijgen IL3 als minimumcategorie. Indien nodig geacht kunnen veiligheidsniveaus toegepast worden die hoger zijn dan deze twee minima.

Een collectie van persoonsgegevens is gevoeliger dan elk van de individuele records. Deze gevoeligheid stijg naarmate er meer records betrokken zijn. Een collectie met meer dan 1000 persoonsrecords zal sowieso minimum IL2 krijgen, ook al zijn de individuele records niet gevoelig of zelfs publiek, gezien een compromitteren kan leiden tot andere vormen van schade zoals verlies aan reputatie.

Ten slotte kan het gebruik van encryptie de gevoeligheid van persoonsgegevens doen dalen.

De onderstaande tabel geeft de richtlijnen met betrekking tot gegevens op verwijderbare media, op papier, en op gegevens in transit op servers. Voor gegevens in rust op servers is er een andere regelgeving die in de volgende sectie besproken wordt. RESTRICTED-PERSONAL DATA slaat op records van personen met verhoogde gevoeligheid, terwijl de gewone records mimimum tot PROTECT-PERSONAL DATA behoren. De gegeven impact levels zijn minimumwaarden. Voor een concrete collectie van persoonlijke gegevens kan de reële gevoeligheid dus hoger ingeschaald worden.

tabel-persdata

Er wordt een onderscheid gemaakt tussen encryptie gebruik makend van een aanvaardbaar (“acceptable”) product en encryptie gebruik makend van een door de CESG goedgekeurd (“approved”) product, wat een andere impact heeft op de verandering van het business impact level.

De gevoeligheid van vercijferde gegevens hangt niet alleen af van het gebruikte encryptieproduct, maar ook van het gebruikte medium (USB-stick, externe harde schijf, ...). Er zijn zeven tabellen beschikbaar die aangeven welke encryptieproducten er op welke media gebruikt kunnen worden tot welk veiligheidsniveau en hoe het veiligheidsniveau van de geëncrypteerde informatie daalt in vergelijking met de ongeëncrypteerde info. Vier tabellen hebben betrekking tot goedgekeurde producten, de overige drie op aanvaardbare producten. De tabel voor goedgekeurde encryptieproducten op externe harde schijven wordt hieronder weergegeven. NPM staat voor non protectively marked, wat IL0 is.

tabel-prods

Hieronder worden nog een aantal andere voorbeelden gegeven.

  • SDMS AES LOCK Encrypted USB Stick kan gebruikt worden voor de tranfer en opslag van reguliere persoonsgegevens tot en met niveau IL5 (SECRET)
  • BeCrypt Media Client Baseline kan gebruikt worden voor de encryptie van gegevens op CD en DVD tot niveau IL5 (SECRET). Daarnaast kan het gebruikt worden voor encryptie van gegevens op een USB-stick of harde schijf tot en met niveau IL3 (RESTRICTED).
  • Stonewood Eclypt Freedom kan gebruik worden voor bulk data transfer en tijdelijke opslag tot en met niveau IL6 (TOP SECRET).
  • Winzip versie 10 (of later) kan gebruik worden voor de encryptie van gegevens op diskette tot niveau IL3 (RESTRICTED)

De toegelaten encryptie hangt dus af van het medium en de gevoeligheid van de ongeëncrypteerde gegevens.

Servers met data in rust

Voor servers met data in rust (vb.in gegevensbanken) moet er, net zoals voor diensten in de G-Cloud, een IS1 Risk Assessment gebeuren. Hierbij wordt gekeken naar de business impact in plaats van naar de gevoeligheid van individuele items. Om het veiligheidsniveau van gegevens te bepalen aan de kant van de overheidsinstelling, zijn er zes tabellen beschikbaar.

  • Defence, International Relations, Security and Intelligence
  • Public Order, Public Safety and Law Enforcement
  • Trade, Economics and Public Finance
  • Public Services
  • Critical National Infrastructure (CNI)
  • Personal / Citizen

Hieronder ziet u een uittreksel uit de tabel ‘Defence’ voor impact level IL2 tot IL6

tabel-defense

Deze tabellen worden rij per rij doorlopen door de persoon die de de riscoinschatting maakt, waarbij de essentiële vraag is wat de impact is indien de gegevens gecompromitteerd raken. Elke rij wordt van rechts naar links (hoge naar lage gevoeligheid) doorlopen voor zowel confidentialiteit, integriteit als beschikbaarbheid. De drie bekomen maxima bepalen het Business Impact Level van de gegevens.
Dit proces is een inschatting en geen exacte wetenschap. De inschatting moet minimum één maal per jaar uitgevoerd worden, en minstens eens per kwartaal als het gaat om gevoelige of persoonsgebonden gegevens.

Er zijn uiteraard ook procedurele, technische, personeels- en fysieke maatregelen nodig om de beveiliging te garanderen. Zo mag niet om het even wie toegang hebben tot gevoelige gegevens; Het Verenigd Koninkrijk kent 5 soorten security checks voor personeel. Personeel met speciale priviliges valt in deze context sowieso in de hoogste categorie.

Conclusie

Het Britse ministerie van defensie heeft sterk uitgewerkte procedures voor haar industriële partners die met gevoelige persoonsgebonden gegevens omgaan. Daarbij wordt er een onderscheid gemaakt tussen gegevens in transit en gegevens op draagbare media enerzijds en gegevens in een operationele serveromgeving anderzijds.

This entry was posted in Cloud, E-gov, Security by Kristof Verslype. Bookmark the permalink.
avatar

About Kristof Verslype

Kristof behaalde begin 2011 een doctoraat in de ingenieurswetenschappen aan de KU Leuven. Hij onderzocht hoe privacy m.b.v. cryptografie verbeterd kon worden. Na een klein jaar als postdoctoraal onderzoeker werd hij eind 2011 onderzoeker bij Smals. Zijn huidige domeinen zijn distributed trust, privacy & analytics, blockchain & smart contracts en toegepaste cryptografie. Hij wordt regelmatig gevraagd als spreker. Meer info op www.cryptov.net

Leave a Reply

Your email address will not be published.