Klasyfikacja informacji



Podobne dokumenty
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

ISO bezpieczeństwo informacji w organizacji

Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Grzegorz Pieniążek Hubert Szczepaniuk

Krzysztof Świtała WPiA UKSW

Maciej Byczkowski ENSI 2017 ENSI 2017

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Historia standardów zarządzania bezpieczeństwem informacji

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

I. O P I S S Z K O L E N I A

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Kwestionariusz samooceny kontroli zarządczej

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Reforma ochrony danych osobowych RODO/GDPR

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

PRELEGENT Przemek Frańczak Członek SIODO

Standard określania klasy systemu informatycznego resortu finansów

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

PARTNER.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Zarządzanie projektami IT

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ECDL RODO Sylabus - wersja 1.0

Analiza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32

Szczegółowy opis przedmiotu zamówienia:

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Uchwała wchodzi w życie z dniem uchwalenia.

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Bezpieczeństwo informacji. jak i co chronimy

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Prelegent : Krzysztof Struk Stanowisko: Analityk

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Data Governance jako część ładu korporacyjnego

Nowe przepisy i zasady ochrony danych osobowych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

POLITYKA ZAKUPU SPRZĘTÓW I USŁUG ZRÓWNOWAŻONY ŁAŃCUCH DOSTAW

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŻORACH

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

w i e l k i c h jutra

...Gospodarka Materiałowa

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

darmowy fragment Ochrona Danych Osobowych. Poradnik dla przedsiębiorców Wydanie II, Rybnik 2011 Wszelkie prawa zastrzeżone!

Polityka bezpieczeństwa

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Zdrowe podejście do informacji

System Zarządzania Energią według wymagań normy ISO 50001

Bezpieczeństwo danych w sieciach elektroenergetycznych

ZARZĄDZENIE Nr 20/2011

Warsztaty ochrony informacji niejawnych

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Ochrona danych osobowych w biurach rachunkowych

Pakiet antykorupcyjny dla firm - wymóg ustawy o jawności życia publicznego

Instrukcja do opracowania Koncepcji technicznej projektu

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Informacje niejawne i ich podział (oprac. Tomasz A. Winiarczyk)

FORUM ROZWOJU INWESTYCJI SAMORZĄDOWYCH

UMOWA ZLECENIA nr zawarta w dniu. pomiędzy: -a- 1 Postanowienia ogólne

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Adonis w Banku Spółdzielczym w Trzebnicy

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Compliance & Business Conduct (

MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

4Tel Partner Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA

Sprawozdanie niezależnego biegłego rewidenta z badania. Sprawozdanie z badania rocznego sprawozdania finansowego

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Transkrypt:

Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / styczeń 2006 Klasyfikacja informacji www.security.dga.pl

Spis treści Wstęp 3 Czym jest klasyfikacja informacji? 4 Cel klasyfikacji informacji 5 Sposoby klasyfikacji informacji 5 Klasyfikacja jako podstawa do projektowania systemu 6 Obieg informacji 7 Klasyfikacja informacji a normy prawne 9 Wytyczne w zakresie klasyfikacji 10 Bibliografia 11 Kontakt 12 2

Wstęp Szanowni Państwo, oddajemy w Wasze ręce drugie wydanie biuletynu tematycznego poświęconego ochronie informacji. Idea biuletynu jak i samego portalu www.security.dga.pl jest wynikiem działań naszej firmy, mających na celu popularyzację tematyki bezpieczeństwa informacji w sektorze prywatnym i publicznym na rynku polskim. Nasze doświadczenie w zakresie budowania systemów zarządzania bezpieczeństwem informacji pozwala nam doradzać Państwu w tym obszarze nie tylko poprzez usługi naszej firmy, ale również poprzez dostarczanie wiedzy z wykorzystaniem Internetu. Tematem kolejnego wydania biuletynu jest klasyfikacja informacji. Z doświadczenia DGA proces identyfikacji wartości poszczególnych informacji dla organizacji sprawia bardzo dużo kłopotów. Począwszy od sposoby zbierania danych po efekt końcowy. Dlatego zdecydowaliśmy się przekazać podstawowe informacji o sposobach tworzenia i wdrażania systemu klasyfikacji informacji Ufamy, iż przedstawione informacje przyczynią się do doskonalenia Państwa Systemów Zarządzania Bezpieczeństwem Informacją i jednocześnie sprawią, że nasza firma będzie postrzegana jako profesjonalny Doradca Bezpieczeństwa. Michał Borucki Wicedyrektor Departamentu Zarządzania, Doradztwo Gospodarcze DGA S.A. 3

Czym jest klasyfikacja informacji? Podstawowym celem systemów zarządzania bezpieczeństwem informacji jest minimalizacja ryzyka utraty atrybutów bezpieczeństwa informacji. Jednym z pierwszych kroków jakie powinna podjąć organizacja dbająca o bezpieczeństwo jest przeprowadzenie inwentaryzacji przetwarzanych informacji i określenie znaczenia poszczególnych informacji. Klasyfikacja informacji jest zatem spojrzeniem na organizację przez pryzmat przetwarzanych danych. Pozwala określić obszary organizacji, które powinny zostać objęte systemem zarządzania bezpieczeństwem informacji. Jest również informacją dla pracowników, które dane należy chronić bardzo mocno, a które można udostępniać każdemu klientowi. Klasyfikacja informacji jest czynnością grupowania wzajemnie powiązanych informacji, określenia znaczenia tych grup dla organizacji oraz przypisywania ujednoliconych etykiet ułatwiających gromadzenie, odszukiwanie i analizę informacji. Cel klasyfikacji informacji Głównym celem klasyfikacji jest określenie, które informacje są ważne i należy je chronić, a które nie posiadają wartości biznesowej ani prawnej i nie muszą podlegać ochronie. Każdy system klasyfikacji powinien mieć właściciela, który jest w stanie modyfikować zakres możliwych wartości tak, aby dopasować go do potrzeb organizacji. Bardzo często w organizacji z różnych powodów istnieje kilka klasyfikacji informacji. Bardzo ważne jest zapewnienie kompatybilności poszczególnych rozwiązań. Powielone, zachodzące na siebie, niekompletne lub niekompatybilne ze sobą schematy klasyfikacji, są najczęstszym źródłem problemów w zarządzaniu informacją. Kolejnym błędem, które organizacje bardzo często popełniają jest zdefiniowanie zbyt ogólnej klasyfikacji. Każdy pracownik posługując się klasyfikacją powinien umieć zidentyfikować, do jakiej grupy informacji należy dany dokument. Tylko wówczas będzie umiał właściwie postępować z daną informacją. Jeśli firma zidentyfikuje tylko kilka grup informacji, nie uszczegóławiając, jakiego rodzaju dokumenty składają się na daną grupę, pracownicy będą zmuszeni sami interpretować stworzone zasady, co z pewnością negatywnie odbije się na poziomie bezpieczeństwa. 4

Sposoby klasyfikacji informacji Sposobów przeprowadzania klasyfikacji jest wiele. Praktycznie każda organizacja może stworzyć swoją własną metodę, pod warunkiem, że będzie ona zawierała następujące elementy: inwentaryzację wszystkich informacji, które będą objęte systemem zarządzania bezpieczeństwem informacji, opisanie wartości informacji dla organizacji, opisanie sposobu postępowania z informacjami. 1 Poszczególne sposoby inwentaryzacji różnią się w zasadzie szczegółowością końcowego efektu i sposobem zbierania danych. Można spotkać klasyfikacje bardzo szczegółowe gdzie wymieniony jest każdy dokument przetwarzany w organizacji (np. umowa, zamówienie, wniosek itp.) oraz bardzo ogólne grupy informacji (np. dokumentacja związana z realizacją umowy). Wartości informacji są najczęściej definiowane na 2 sposoby: Opisowe wyrażenie słowami wagi informacji np. bardzo ważna, krytyczna, nieistotna; Cyfrowe określenie w postaci cyfr (np. skala od 1-5) lub kwoty pieniężnej strat jakie organizacja może ponieść w wyniku utraty danych informacji. Możliwości opisania sposobu postępowania z poszczególnymi informacjami/grupami informacji jest również wiele. Do najbardziej popularnych należą:; szczegółowe instrukcję dla poszczególnych informacji/grup informacji; Zebrane w jednym dokumencie wymagania w zakresie przetwarzania wszystkich zidentyfikowanych informacji/grup informacji; osobne szczegółowe instrukcje dla najważniejszych informacji/grup informacji. 1 British Standard BS 7799-2:2002 Information Security management systems specification with guidance for use/ 5

Klasyfikacja jako podstawa do projektowania systemu Klasyfikacja informacji pod kątem bezpieczeństwa określa sposób, w jaki należy chronić informację oraz jakie stosować do tego narzędzia. System klasyfikacji ogranicza dostęp to tych informacji poprzez serię proceduralnych i fizycznych zabezpieczeń. Proces klasyfikacji informacji jest bardzo istotny dla kolejnych etapów wdrażania systemu zarządzania bezpieczeństwa informacji: 1. Określa znaczenie informacji dla organizacji ze względu na poufność, integralność i dostępność danych. Każda organizacja powinna pogrupować informacje, które przetwarza ze względu na ich wagę. Należy zastanowić się, jakie dokumenty i systemy zawierają informacje: ważne ze względu na poufność które organizacja chce w szczególności chronić przed ujawnieniem np. konkurencji. Przykładem takich informacji są plany sprzedażowe, nowe receptury, projekty nowych produktów praktycznie wszystkie dane związane z badaniami i rozwojem organizacji; ważne ze względu na integralność których niepowołana zmiana mogłaby spowodować duże straty dla naszej organizacji. Przykładem takich informacji są receptury produkowanych wyrobów, czy też informacje służące do planowania strategicznego (analizy, zestawienia). ważne ze względu na dostępność które powinny być osiągalne dla uprawnionych osób zawsze, gdy będą ich potrzebowały. Przykładem takich informacji są aktualne cenniki, informacje finansowe, dane odnośnie zlecenia. 2. Jest podstawą do przeprowadzenia szacowania ryzyka utraty atrybutów bezpieczeństwa informacji zgodnie z normą BS 7799-2 jedną z danych wejściowych. 2 2 British Standard BS 7799-2:2002 Information Security management systems specification with guidance for use 6

Obieg informacji Kompletna klasyfikacja powinna być połączeniem dostępności, integralności i poufność oraz określić, w jaki sposób dana informacja jest przetwarzana, przechowywana i przekazywana w danym przedsiębiorstwie oraz stronom trzecim. Dokładne zdefiniowanie aktywów w firmie, pod względem ich wrażliwości i ważności oraz przypisanie wyznaczonej osobie odpowiedzialności za ich bezpieczeństwo, umożliwia zredukowanie ryzyka związanego z udostępnieniem informacji osobom nieupoważnionym oraz chroni organizację przed utratą integralności tak ważnych dla niej danych. Odpowiednie pogrupowanie, pozwala jednocześnie usprawnić obieg tych informacji. Organizacja powinna dokładnie określić zakres i sposób, w jaki użytkownik uzyskuje dostęp do informacji o danej klauzuli, metodę jej przepływu w systemie, przepływu między pracownikami i współpracownikami. Dostęp powinien być zawsze kontrolowany oraz zależeć od wymagań bezpieczeństwa dla danej informacji. Podsumowując, odpowiednie sklasyfikowanie aktywów usprawni obieg informacji między komórkami przedsiębiorstwa w taki sposób, aby nic, co nie powinno, nie dostało się w ręce osoby niepowołanej, a tym samym było cały czas dostępne dla upoważnionych pracowników firmy. 7

Klasyfikacja informacji a normy prawne Klasyfikacja musi uwzględniać wymagania prawne, które obowiązują w danym kraju. W przypadku Polski są to w szczególności: ustawa o ochronie informacji niejawnych, ustawa o ochronie danych osobowych, ustawa o dostępie do informacji publicznych, ustawa o obrocie papierami wartościowymi. Wymienione ustawy narzucają klasyfikację określonych rodzajów informacji, a także charakteryzują wymagania odnośnie oznaczania, przetwarzania i przechowywania danych, zarówno w formie papierowej jak i elektronicznej. Podczas inwentaryzacji własnych informacji należy zwrócić szczególną uwagę, aby nie używać definicji zawartych w wyżej wymienionych ustawach. Na przykład ustawa o ochronie informacji niejawnych opisuje, jak należy postępować z danymi o dużym znaczeniu dla Polski. Przywołuje cztery grupy tajności: ściśle tajne; tajne; poufne; zastrzeżone. 3 Jeśli informacje, które są ważne jedynie dla organizacji nazwiemy tak samo jak w ustawie o ochronie informacji niejawnych, to powinniśmy stosować bardzo rygorystyczne metody ich nadzoru, takie jak: przechowywanie informacji w specjalnie zabezpieczonym pomieszczeniu tzw. kancelarii tajnej; oznaczanie dokumentów na pierwszych stronach; odzwierciedlenie obiegu dokumentów w specjalnych rejestrach. W praktyce może spowodować to znaczne utrudnienie w przetwarzania tak zabezpieczonych informacji. 3 Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych 8

Wytyczne w zakresie klasyfikacji Należy pamiętać, aby klasyfikacja informacji była zawsze dostosowana do charakteru organizacji. Ważne jest, aby system był możliwie prosty i intuicyjny dla pracowników, na tyle na ile pozwala na to specyfika prowadzonej działalności. Spowoduje to iż klasyfikacja będzie w szybki sposób przyswojona przez pracowników, a co najważniejsze skuteczna. Pracownik powinien w sposób jednoznaczny określić przynależność danej informacji do zdefiniowanej grupy, a co za tym idzie, do reguł jej przetwarzania. Podczas projektowania systemu, należy umożliwić modyfikację klas wrażliwości danych, ponieważ informacja często traci swoją wrażliwość i krytyczność np w wyniku podania informacji do wiadomości publicznej. Należy zagwarantować regularne przeglądy klasyfikacji i umożliwić dostosowanie do aktualnych potrzeb. Jak zostało wspomniane w poprzednim punkcie należy zwrócić szczególną uwagę na oznakowanie grup informacji, które są używane przez inne organizacje lub przez instytucje państwowe. Utworzenie wymogu oznaczania nadmiernej liczby dokumentów stosownymi klauzualmi może również spowodować, iż reguła ta nie będzie przestrzegana. Oznaczanie powinno dotyczyć tylko wąskiej grupy szczególnie istotnych dla organizacji informacji. Wprowadzana klasyfikacja nie powinna pokrywać się z uregulowaniami prawnymi w tym z istniejącymi w polskim prawie oznaczeniami. Podsumowując, dobry system klasyfikacji, powinien zapewniać, że informacje przetwarzane przez organizacje są identyfikowalne i w miarę potrzeb oznaczone w zależności od ich ważności i wrażliwości dla instytucji. Niezbędne jest zdefiniowanie okresu i sposobu regularnych przeglądów klasyfikacji informacji. 9

Bibliografia British Standard BS 7799-1:2002 Code of practice for Information Security Management British Standard BS 7799-2:2002 Information Security management systems specification with guidance for use Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych Ustawa z dnia 6 września 2001 o dostępie do informacji publicznej Ustawa z dnia 21 sierpnia 1997. Prawo o publicznym obrocie papierami wartościowymi Doradztwo Gospodarcze DGA S.A. www.dga.pl NSW Department of Commerce, Australia. 10

Kontakt Doradca Bezpieczeństwa www.security.dga.pl doradca.bezpieczenstwa@dga.pl Doradztwo Gospodarcze DGA S.A. ul. Towarowa 35, 61-896 Poznań tel. 61 859 59 00, fax.: 61 859 59 01 www.dga.pl dgasa@dga.pl Wicedyrektor Departamentu Zarządzania, Michał Borucki michal.borucki@dga.pl Menedżer Zespołu odpowiedzialnego za usługi związane z bezpieczeństwem informacji: Tomasz Szała tomasz.szala@dga.pl 11

DGA 2006