Klasyfikacja informacji

Transkrypt

1 Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / styczeń 2006 Klasyfikacja informacji

2 Spis treści Wstęp 3 Czym jest klasyfikacja informacji? 4 Cel klasyfikacji informacji 5 Sposoby klasyfikacji informacji 5 Klasyfikacja jako podstawa do projektowania systemu 6 Obieg informacji 7 Klasyfikacja informacji a normy prawne 9 Wytyczne w zakresie klasyfikacji 10 Bibliografia 11 Kontakt 12 2

3 Wstęp Szanowni Państwo, oddajemy w Wasze ręce drugie wydanie biuletynu tematycznego poświęconego ochronie informacji. Idea biuletynu jak i samego portalu jest wynikiem działań naszej firmy, mających na celu popularyzację tematyki bezpieczeństwa informacji w sektorze prywatnym i publicznym na rynku polskim. Nasze doświadczenie w zakresie budowania systemów zarządzania bezpieczeństwem informacji pozwala nam doradzać Państwu w tym obszarze nie tylko poprzez usługi naszej firmy, ale również poprzez dostarczanie wiedzy z wykorzystaniem Internetu. Tematem kolejnego wydania biuletynu jest klasyfikacja informacji. Z doświadczenia DGA proces identyfikacji wartości poszczególnych informacji dla organizacji sprawia bardzo dużo kłopotów. Począwszy od sposoby zbierania danych po efekt końcowy. Dlatego zdecydowaliśmy się przekazać podstawowe informacji o sposobach tworzenia i wdrażania systemu klasyfikacji informacji Ufamy, iż przedstawione informacje przyczynią się do doskonalenia Państwa Systemów Zarządzania Bezpieczeństwem Informacją i jednocześnie sprawią, że nasza firma będzie postrzegana jako profesjonalny Doradca Bezpieczeństwa. Michał Borucki Wicedyrektor Departamentu Zarządzania, Doradztwo Gospodarcze DGA S.A. 3

4 Czym jest klasyfikacja informacji? Podstawowym celem systemów zarządzania bezpieczeństwem informacji jest minimalizacja ryzyka utraty atrybutów bezpieczeństwa informacji. Jednym z pierwszych kroków jakie powinna podjąć organizacja dbająca o bezpieczeństwo jest przeprowadzenie inwentaryzacji przetwarzanych informacji i określenie znaczenia poszczególnych informacji. Klasyfikacja informacji jest zatem spojrzeniem na organizację przez pryzmat przetwarzanych danych. Pozwala określić obszary organizacji, które powinny zostać objęte systemem zarządzania bezpieczeństwem informacji. Jest również informacją dla pracowników, które dane należy chronić bardzo mocno, a które można udostępniać każdemu klientowi. Klasyfikacja informacji jest czynnością grupowania wzajemnie powiązanych informacji, określenia znaczenia tych grup dla organizacji oraz przypisywania ujednoliconych etykiet ułatwiających gromadzenie, odszukiwanie i analizę informacji. Cel klasyfikacji informacji Głównym celem klasyfikacji jest określenie, które informacje są ważne i należy je chronić, a które nie posiadają wartości biznesowej ani prawnej i nie muszą podlegać ochronie. Każdy system klasyfikacji powinien mieć właściciela, który jest w stanie modyfikować zakres możliwych wartości tak, aby dopasować go do potrzeb organizacji. Bardzo często w organizacji z różnych powodów istnieje kilka klasyfikacji informacji. Bardzo ważne jest zapewnienie kompatybilności poszczególnych rozwiązań. Powielone, zachodzące na siebie, niekompletne lub niekompatybilne ze sobą schematy klasyfikacji, są najczęstszym źródłem problemów w zarządzaniu informacją. Kolejnym błędem, które organizacje bardzo często popełniają jest zdefiniowanie zbyt ogólnej klasyfikacji. Każdy pracownik posługując się klasyfikacją powinien umieć zidentyfikować, do jakiej grupy informacji należy dany dokument. Tylko wówczas będzie umiał właściwie postępować z daną informacją. Jeśli firma zidentyfikuje tylko kilka grup informacji, nie uszczegóławiając, jakiego rodzaju dokumenty składają się na daną grupę, pracownicy będą zmuszeni sami interpretować stworzone zasady, co z pewnością negatywnie odbije się na poziomie bezpieczeństwa. 4

5 Sposoby klasyfikacji informacji Sposobów przeprowadzania klasyfikacji jest wiele. Praktycznie każda organizacja może stworzyć swoją własną metodę, pod warunkiem, że będzie ona zawierała następujące elementy: inwentaryzację wszystkich informacji, które będą objęte systemem zarządzania bezpieczeństwem informacji, opisanie wartości informacji dla organizacji, opisanie sposobu postępowania z informacjami. 1 Poszczególne sposoby inwentaryzacji różnią się w zasadzie szczegółowością końcowego efektu i sposobem zbierania danych. Można spotkać klasyfikacje bardzo szczegółowe gdzie wymieniony jest każdy dokument przetwarzany w organizacji (np. umowa, zamówienie, wniosek itp.) oraz bardzo ogólne grupy informacji (np. dokumentacja związana z realizacją umowy). Wartości informacji są najczęściej definiowane na 2 sposoby: Opisowe wyrażenie słowami wagi informacji np. bardzo ważna, krytyczna, nieistotna; Cyfrowe określenie w postaci cyfr (np. skala od 1-5) lub kwoty pieniężnej strat jakie organizacja może ponieść w wyniku utraty danych informacji. Możliwości opisania sposobu postępowania z poszczególnymi informacjami/grupami informacji jest również wiele. Do najbardziej popularnych należą:; szczegółowe instrukcję dla poszczególnych informacji/grup informacji; Zebrane w jednym dokumencie wymagania w zakresie przetwarzania wszystkich zidentyfikowanych informacji/grup informacji; osobne szczegółowe instrukcje dla najważniejszych informacji/grup informacji. 1 British Standard BS :2002 Information Security management systems specification with guidance for use/ 5

6 Klasyfikacja jako podstawa do projektowania systemu Klasyfikacja informacji pod kątem bezpieczeństwa określa sposób, w jaki należy chronić informację oraz jakie stosować do tego narzędzia. System klasyfikacji ogranicza dostęp to tych informacji poprzez serię proceduralnych i fizycznych zabezpieczeń. Proces klasyfikacji informacji jest bardzo istotny dla kolejnych etapów wdrażania systemu zarządzania bezpieczeństwa informacji: 1. Określa znaczenie informacji dla organizacji ze względu na poufność, integralność i dostępność danych. Każda organizacja powinna pogrupować informacje, które przetwarza ze względu na ich wagę. Należy zastanowić się, jakie dokumenty i systemy zawierają informacje: ważne ze względu na poufność które organizacja chce w szczególności chronić przed ujawnieniem np. konkurencji. Przykładem takich informacji są plany sprzedażowe, nowe receptury, projekty nowych produktów praktycznie wszystkie dane związane z badaniami i rozwojem organizacji; ważne ze względu na integralność których niepowołana zmiana mogłaby spowodować duże straty dla naszej organizacji. Przykładem takich informacji są receptury produkowanych wyrobów, czy też informacje służące do planowania strategicznego (analizy, zestawienia). ważne ze względu na dostępność które powinny być osiągalne dla uprawnionych osób zawsze, gdy będą ich potrzebowały. Przykładem takich informacji są aktualne cenniki, informacje finansowe, dane odnośnie zlecenia. 2. Jest podstawą do przeprowadzenia szacowania ryzyka utraty atrybutów bezpieczeństwa informacji zgodnie z normą BS jedną z danych wejściowych. 2 2 British Standard BS :2002 Information Security management systems specification with guidance for use 6

7 Obieg informacji Kompletna klasyfikacja powinna być połączeniem dostępności, integralności i poufność oraz określić, w jaki sposób dana informacja jest przetwarzana, przechowywana i przekazywana w danym przedsiębiorstwie oraz stronom trzecim. Dokładne zdefiniowanie aktywów w firmie, pod względem ich wrażliwości i ważności oraz przypisanie wyznaczonej osobie odpowiedzialności za ich bezpieczeństwo, umożliwia zredukowanie ryzyka związanego z udostępnieniem informacji osobom nieupoważnionym oraz chroni organizację przed utratą integralności tak ważnych dla niej danych. Odpowiednie pogrupowanie, pozwala jednocześnie usprawnić obieg tych informacji. Organizacja powinna dokładnie określić zakres i sposób, w jaki użytkownik uzyskuje dostęp do informacji o danej klauzuli, metodę jej przepływu w systemie, przepływu między pracownikami i współpracownikami. Dostęp powinien być zawsze kontrolowany oraz zależeć od wymagań bezpieczeństwa dla danej informacji. Podsumowując, odpowiednie sklasyfikowanie aktywów usprawni obieg informacji między komórkami przedsiębiorstwa w taki sposób, aby nic, co nie powinno, nie dostało się w ręce osoby niepowołanej, a tym samym było cały czas dostępne dla upoważnionych pracowników firmy. 7

8 Klasyfikacja informacji a normy prawne Klasyfikacja musi uwzględniać wymagania prawne, które obowiązują w danym kraju. W przypadku Polski są to w szczególności: ustawa o ochronie informacji niejawnych, ustawa o ochronie danych osobowych, ustawa o dostępie do informacji publicznych, ustawa o obrocie papierami wartościowymi. Wymienione ustawy narzucają klasyfikację określonych rodzajów informacji, a także charakteryzują wymagania odnośnie oznaczania, przetwarzania i przechowywania danych, zarówno w formie papierowej jak i elektronicznej. Podczas inwentaryzacji własnych informacji należy zwrócić szczególną uwagę, aby nie używać definicji zawartych w wyżej wymienionych ustawach. Na przykład ustawa o ochronie informacji niejawnych opisuje, jak należy postępować z danymi o dużym znaczeniu dla Polski. Przywołuje cztery grupy tajności: ściśle tajne; tajne; poufne; zastrzeżone. 3 Jeśli informacje, które są ważne jedynie dla organizacji nazwiemy tak samo jak w ustawie o ochronie informacji niejawnych, to powinniśmy stosować bardzo rygorystyczne metody ich nadzoru, takie jak: przechowywanie informacji w specjalnie zabezpieczonym pomieszczeniu tzw. kancelarii tajnej; oznaczanie dokumentów na pierwszych stronach; odzwierciedlenie obiegu dokumentów w specjalnych rejestrach. W praktyce może spowodować to znaczne utrudnienie w przetwarzania tak zabezpieczonych informacji. 3 Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych 8

9 Wytyczne w zakresie klasyfikacji Należy pamiętać, aby klasyfikacja informacji była zawsze dostosowana do charakteru organizacji. Ważne jest, aby system był możliwie prosty i intuicyjny dla pracowników, na tyle na ile pozwala na to specyfika prowadzonej działalności. Spowoduje to iż klasyfikacja będzie w szybki sposób przyswojona przez pracowników, a co najważniejsze skuteczna. Pracownik powinien w sposób jednoznaczny określić przynależność danej informacji do zdefiniowanej grupy, a co za tym idzie, do reguł jej przetwarzania. Podczas projektowania systemu, należy umożliwić modyfikację klas wrażliwości danych, ponieważ informacja często traci swoją wrażliwość i krytyczność np w wyniku podania informacji do wiadomości publicznej. Należy zagwarantować regularne przeglądy klasyfikacji i umożliwić dostosowanie do aktualnych potrzeb. Jak zostało wspomniane w poprzednim punkcie należy zwrócić szczególną uwagę na oznakowanie grup informacji, które są używane przez inne organizacje lub przez instytucje państwowe. Utworzenie wymogu oznaczania nadmiernej liczby dokumentów stosownymi klauzualmi może również spowodować, iż reguła ta nie będzie przestrzegana. Oznaczanie powinno dotyczyć tylko wąskiej grupy szczególnie istotnych dla organizacji informacji. Wprowadzana klasyfikacja nie powinna pokrywać się z uregulowaniami prawnymi w tym z istniejącymi w polskim prawie oznaczeniami. Podsumowując, dobry system klasyfikacji, powinien zapewniać, że informacje przetwarzane przez organizacje są identyfikowalne i w miarę potrzeb oznaczone w zależności od ich ważności i wrażliwości dla instytucji. Niezbędne jest zdefiniowanie okresu i sposobu regularnych przeglądów klasyfikacji informacji. 9

10 Bibliografia British Standard BS :2002 Code of practice for Information Security Management British Standard BS :2002 Information Security management systems specification with guidance for use Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych Ustawa z dnia 6 września 2001 o dostępie do informacji publicznej Ustawa z dnia 21 sierpnia Prawo o publicznym obrocie papierami wartościowymi Doradztwo Gospodarcze DGA S.A. NSW Department of Commerce, Australia. 10

11 Kontakt Doradca Bezpieczeństwa Doradztwo Gospodarcze DGA S.A. ul. Towarowa 35, Poznań tel , fax.: Wicedyrektor Departamentu Zarządzania, Michał Borucki Menedżer Zespołu odpowiedzialnego za usługi związane z bezpieczeństwem informacji: Tomasz Szała tomasz.szala@dga.pl 11

12 DGA 2006