Co říká teorie

Bezpečnostní standardy řady ISO/IEC 27000 definují následující opatření:

• „Informace by měly být klasifikovány, a to s ohledem na jejich hodnotu, právní požadavky, citlivost a kritičnost.“
• „Pro značení informací a zacházení s nimi by měly být vytvořeny a do praxe zavedeny postupy, které jsou v souladu s klasifikačním schématem přijatým organizací.“
• „Pro zabránění neautorizovanému přístupu nebo zneužití informací by měla být stanovena pravidla pro manipulaci s nimi a pro jejich ukládání.“

Uvedená opatření definují, jak má organizace kategorizovat informace, resp. dokumenty, podle jejich hodnoty (např. jak významné pro ni představují know-how, konkurenční výhodu atd.), právní citlivosti (např. pokud by v případě jejich kompromitace mohla být firma pokutována – typicky osobní údaje), podle jejich citlivosti (tzn. jak moc je žádoucí, aby dané informace zůstaly důvěrné a nedošlo k jejich vyzrazení) a podle jejich kritičnosti (jak jsou pro firmu důležité např. z pohledu zajištění provozu – v případě jejich nedostupnosti nebo zničení by např. došlo k zastavení výroby apod.).

Teorie dále říká, že nastavené procesy by měly zajistit, aby veškeré informace v organizaci vznikající nebo jí procházející byly vždy klasifikovány příslušným stupněm. Podle tohoto stupně by pak s nimi mělo být manipulováno striktně v souladu s předem stanovenými pravidly.

Jak to běžně chodí v praxi

V rámci implementací ISMS se u našich klientů většinou setkáváme se třemi stupni klasifikace informací: „veřejné“, „interní“ a „chráněné“ (konkrétní pojmenování kategorií se může lišit, případně jich může být i více).

Do kategorie veřejných informací spadají všechny informace (dokumenty), které jsou ze své povahy primárně určeny ke zveřejnění. Typicky se jedná o reklamní a marketingové materiály a údaje na webových stránkách určené k prezentaci firmy a jejích služeb nebo zboží. Tyto informace nemusí být z pohledu důvěrnosti nijak chráněny.

Do kategorie interních informací patří všechny informace, u kterých je žádoucí, aby zůstaly pouze v perimetru firmy, tj. jsou určeny pro zaměstnance, případně další subjekty nebo osoby, kteří jsou vázáni příslušnými dohodami o mlčenlivosti (NDA) a tyto informace potřebují např. ke splnění svých smluvních (dodavatelských) závazků. Pro tuto třídu klasifikace již musí být nastavena bezpečnostní pravidla, která zajistí odpovídající ochranu při přenosu a ukládání. Je to například povinnost ukládání do úložišť s řízeným a monitorovaným přístupem, používání šifrování při zasílání vně organizace (e-mailem) nebo šifrování na discích notebooků či v jiných mobilních zařízeních.

Do kategorie chráněných informací patří citlivé informace, u nichž není žádoucí šíření napříč celou organizací, protože jsou určeny jen pro vybraný okruh osob (např. management, vývojové oddělení, oddělení nákupu apod.). Pro tyto informace se již nastavují relativně přísná bezpečnostní opatření, která zahrnují povinná šifrování jak při uložení, tak i při různých formách přenosu, ukládání písemných dokumentů v trezorech, povinnou skartaci apod.

Ze zkušeností z praxe víme, že při implementaci klasifikace nebývají větší problémy s technickými bezpečnostními opatřeními. Největším kamenem úrazu zpravidla bývá prosazení navržených procesů do každodenní praxe organizace.

V úřadech nebo velkých podnicích, kde je již zaveden nějaký software pro řízení dokumentace (DMS), často narážíme na problematické začlenění klasifikace do existujícího systému. Mimo jiné tomu tak bývá i proto, že workflow dokumentů v DMS systému je z hlediska bezpečnosti nevhodné nebo neumožňuje omezit přístup k určité informaci na základě uživatelských oprávnění. Problematické bývají i vztahy typu spis – dokument, kdy se spis skládá z více dokumentů, které mohou mít různou bezpečnostní klasifikaci, ale DMS umí řídit přístup jen na úrovni celkového spisu, ne na úrovni jednotlivých jeho dokumentů.

Nepoměrně větším problémem, který často účinně blokuje používání klasifikace informací v praxi, bývá neochota zaměstnanců klasifikaci používat, zejména označovat jednotlivé dokumenty odpovídající kategorií. Příčinou bývá nejasná nebo nevyžadovaná odpovědnost za označení dokumentu (obecně má povinnost klasifikovat vlastník/autor dokumentu nebo osoba přijímající dokument na vstupu do organizace), nebo jde jednoduše o laxnost zaměstnanců a jejich nadřízených.

Co může pomoci

Jak tedy zaměstnance/uživatele přinutit, aby si uvědomovali hodnotu informací, se kterými pracují a začali dokumenty klasifikovat? Možným řešením je implementace specializovaného softwaru pro klasifikaci a zabezpečení dokumentů, který funguje jako doplněk pro aplikace Microsoft Office, MS Outlook, Windows Explorer, Adobe PDF a který pomocí jednoduchého kliknutí umožní opatřit dokument neodstranitelnou značkou s informací o stupni jeho důvěrnosti, případně pomáhá vynutit stanovený způsob nakládání s klasifikovaným dokumentem.

Takové řešení pomocí centrálního logování zajišťuje kontrolu nad tím, kdo, kdy a jaký dokument klasifikoval. Což postupně vede k růstu zodpovědnosti zaměstnanců při nakládání s důvěrnými dokumenty.

Abychom pro začátek nevzbudili u zaměstnanců přehnaný odpor, můžeme klasifikaci dokumentu nechat čistě na jejich vůli nebo ji nabízet při ukládání dokumentu jako nepovinou. Teprve později, až si na ni zaměstnanci zvyknou, lze klasifikaci povinně vynucovat, případně ji vyžadovat pouze u vybraných skupin uživatelů dle Active Directory.

Klasifikace je pomocí nástroje automaticky vložena nejen do záhlaví (nebo jiné viditelné části) dokumentu, ale také do rozšířených vlastností dokumentu. Řešení pak dále umožňuje např. vynucovat šifrování při odesílání klasifikovaného dokumentu e-mailem apod.

Další přínosy klasifikace pro bezpečnost

Pokud se rozhodneme klasifikaci a zabezpečení dokumentů v organizaci implementovat, získáme tím zpravidla i řadu dalších přínosů pro celkové zvýšení úrovně bezpečnosti. Jedním z nich je zvýšení bezpečnostního povědomí uživatelů a vytvoření předpokladů pro následnou implementaci DLP (Data Loss Prevention) systému, který umožňuje aktivně chránit informace. Typický DLP systém chrání komunikační kanály jako je e-mail, web a jiné protokoly pro přenos souborů, ale také znemožňuje kopírování klasifikovaného dokumentu nebo jeho části na USB flash disk apod. Nástroj pro klasifikaci dokumentů může automaticky do dokumentu ukládat i značku pro DLP a tím postupně budovat bázi podkladů pro jeho efektivní fungování. V praxi se často setkáváme s tím, že organizace chce chránit svoje citlivá data pomocí DLP, ale neuspořádané vnitřní prostředí firmy, kde nelze jednoznačně říci, které informace jsou citlivé, to jednoduše neumožňuje.

Dalším přínosem je snadné napojení centrálně logovaných dat na systémy SIEM. Organizace se tak díky vyřešené a hlavně používané klasifikaci informací rázem dostává na vyšší úroveň celkového zabezpečení svého informačního systému.

Klasifikace je nezbytná

Jak dnes a denně vidíme mj. i ze zpráv o kybernetických incidentech, otálet se zabezpečením organizace již není na místě. Nesnažme se ale primárně hledat spásu jen ve složitých technologických řešeních. Tudy přímá cesta někdy nevede. Lepším způsobem je kombinovat základní organizačně-procesní bezpečnostní opatření s jednoduchými až středně složitými technologickými prvky, pomocí kterých můžeme svůj informační systém připravit pro efektivní nasazení složitějších bezpečnostních nástrojů…

Ing. Hana Vystavělová, Ing. Petr Nádeníček Autoři článku působí ve společnosti AEC. Ing. Hana Vystavělová zde vede oddělení Security Services, Ing. Petr Nádeníček je konzultantem IT bezpečnosti.