W dzisiejszym artykule skupię się na zagadnieniach związanych z klasyfikacją i ochroną informacji. Ochrona informacji większości z nas kojarzy się z systemami klasy DLP (Data Loss Prevention), które na podstawie zawartości dokumentów, maili czy przesyłanych w jakiejkolwiek innej formie informacji, podejmuje zdefiniowane działania mające na celu przeciwdziałanie jej wyciekowi poza organizację. Wdrożenia systemów DLP jeszcze kilka lat temu uznawane były za jedne z trudniejszych. Technologia się rozwija i zagadnienie ochrony informacji stało się normą, systemy DLP są coraz bardziej powszechne, jednak koszt ich wdrożenia sprawia, że nie każdą organizację stać na ich implementację. Może zatem warto zacząć od czegoś prostszego.
Zacznijmy od podstaw
Zakładam na potrzeby tego artykułu, że firmy „Abecedex” po prostu nie stać w krótkim terminie na wdrożenie nowych systemów i zabudżetowane środki musi przeznaczyć na inne usługi czy licencje – równie ważne dla funkcjonowania infrastruktury teleinformatycznej. Czy to oznacza, że może przejść obojętnie wobec zagadnienia klasyfikacji i ochrony informacji? Uważam, że nie i za chwilę przedstawię sposób, jak sobie z tym poradzić. Już na wstępnie można się zastanawiać, dlaczego klasyfikacja i ochrona informacji występują w jednym ciągu słów. Można by pomyśleć, że przecież należy chronić na równym, wysokim poziomie wszystkie informacje przetwarzane w organizacji. Czy jednak takie działanie ma sens? Czy nie spowoduje to sytuacji, w której poprzez różnego rodzaju działania praktyczne obniżony zostanie poziom ochrony informacji ważnych z uwagi na konieczność jego zmniejszenia dla informacji, które w rzeczywistości są jawne? To stanowi wysokie ryzyko, dlatego ważne jest odpowiednie sklasyfikowanie informacji i przypisanie im odpowiednich wag oraz sposobów postępowania podczas ich przetwarzania.
Dyrektywa NIS2
W dyrektywie wprost nie odniesiono się do potrzeby klasyfikacji informacji, jednak trudno sobie wyobrazić procesy związane z analizą ryzyka, analizą BIA (Busienss Impact Analisys) bez odpowiedzenia na pytanie, które informacje są ważne dla organizacji, które ważniejsze, a które mało istotne. Sama inwentaryzacja zasobów teleinformatycznych oraz ustalanie, które z nich posiadają odpowiednią klasę krytyczności, w dużej mierze opierać się będzie o zakres przetwarzanych na nich informacji. Na podstawie analizy ryzyka dobierane będą środki ochrony zapewniające odpowiedni stopień poufności oraz integralności czy dostępności adekwatny do klasy informacji. Można zatem wywnioskować, że o ile sama dyrektywa NIS2 nie odnosi się wprost, to inne procesy w niej opisane bez klasyfikacji informacji nie mają prawa poprawnie funkcjonować. Poniżej opisuję podejście do ochrony i klasyfikacji informacji, które pozwala na skuteczne wdrożenie wymogów dyrektywy NIS2.
Klasyfikacja informacji
Trzymając się początkowego założenia, że obszar klasyfikacji informacji oraz jej ochrony trzeba zorganizować w sposób manualny, organizacja musi przyjąć pewien schemat działania, proces, według którego wszyscy postępować będą w sposób jasny, przejrzysty oraz powtarzalny. Do tego służyć może procedura klasyfikacji informacji. Wdrożenie jej w ramach Systemu Zarządzania Bezpieczeństwem Informacji pozwoli na jej kontrolowanie, przeglądanie oraz mierzenie sprawności jej realizacji, a co za tym idzie zwiększy poziom ochrony przetwarzanych w organizacji informacji.
Od czego powinna zacząć firma „Abecedex”?
Pierwszym etapem jest zebranie zespołu, którego członkowie razem będą posiadali przekrojową wiedzę o wszystkich przetwarzanych w organizacji informacjach. Pierwszymi wynikami prac powinien być katalog wszystkich przetwarzanych informacji, który będzie podstawą do określenia klas informacji.
Czym są klasy informacji? Można powiedzieć, że jest to zgromadzenie w pewnych podzbiorach różnych typów informacji przetwarzanych w organizacji. Zakładam, że „Abecedex” przetwarza następujące typy informacji: umowy z kontrahentami, dokumentację przetargową przed jej opublikowaniem, biuletyny informacyjne dla Klientów, dokumentację konfiguracji systemów bezpieczeństwa, dane osobowe klientów indywidualnych, dokumenty tajne – i na tym zestawie przeprowadzę małą klasyfikację, która pokaże praktyczny sposób podejścia. Przyjmuję na potrzeby rozważań, że firma zdefiniowała wstępnie 2 klasy informacji – co oczywiście za chwilę okaże się niewystarczające. Są zatem „Informacje wewnętrzne” oraz „Informacje zewnętrzne”, które można bez większych obaw udostępniać poza organizację. Wstępnie wszystkie informacje – poza biuletynami dla Klientów – wydają się być „Informacjami wewnętrznymi”, ale w rzeczywistości tak nie jest. Informacje niejawne przetwarzane są na podstawie odrębnych przepisów i zapewne odrębnych regulacji wewnętrznych i, o ile powinny być ujęte w procedurze klasyfikacji informacji, to sposób ich przetwarzania i zabezpieczenia do nich stosowane muszą być uregulowane poza procedurą. Tożsama sytuacja występuje z danymi osobowymi. Regulacje związane z RODO powinny być wdrożone i to one decydują o sposobie przetwarzania danych osobowych. Oczywiście trzeba nadać tym klasom informacji odpowiednio wysoki priorytet, ale sam sposób zabezpieczenia powinien zostać określony gdzie indziej.
Na powyższym przykładzie wyłaniają się zatem cztery klasy informacji: wewnętrzne, zewnętrzne, niejawne oraz dane osobowe. Czy taki podział wystarczy? Oczywiście może, ale jak zwykle zależy to od specyfiki organizacji. Bazując na doświadczeniach zdobytych u naszych Klientów, poza wymienionymi powyżej klasami wymagany jest podział informacji wewnętrznych na te mniej wrażliwe – dostępne dla każdego Pracownika i te bardziej wrażliwe – wymagające pewnej świadomości w ich udostępnianiu. Dodatkowo w przypadku organizacji państwowych dochodzą informacje, których udostępnianie odbywa się w myśl ustawy o dostępie do informacji publicznej. Znając praktykę w tym zakresie wiem, że każdy przypadek wnioskowania o ich udostępnienie wymaga pracy prawnika, gdyż nie zawsze jest jednoznaczne, czy na podstawie odrębnych regulacji dana informacja nie jest chroniona. Można by mnożyć klasy informacji, ale nie w tym rzecz, żeby było ich jak najwięcej, ale żeby były na tyle uniwersalne i była ich skończona liczba, aby były używalne i nie powodowały więcej problemów niż korzyści z nich wynikających.
W opisanej sytuacji stworzona została podstawowa klasyfikacja informacji, składającą się z 6-ciu klas:
- Informacje zewnętrzne
- Informacje publiczne
- Informacje wewnętrzne ogólnodostępne
- Informacje wewnętrzne chronione
- Dane osobowe
- Informacje niejawne
Kolejnym etapem powinno być przypisanie do nich zidentyfikowanych w poprzednich krokach typów informacji tak, aby żaden z typów informacji nie pozostawał bez przypisanej klasy. Do każdej z klas należy przypisać następnie poziom ochrony – może być symbolizowany cyframi lub literami. Ważne jest to, aby można było w intuicyjny sposób stopniować ich wagę, np. informacje najmniej chronione oznaczone będą literą A, natomiast najbardziej wrażliwe literą E. Wtedy w prosty sposób pracownicy firmy będą mogli dobrać odpowiednie zabezpieczenie np. w przypadku, gdy przekazywana informacja zawiera w sobie różne klasy informacji. Jeżeli przetwarzana jest umowa z kontrahentem i zakwalifikowano ten typ informacji jako Informacje wewnętrzne chronione – nadano mu poziom ochrony D, jeżeli jednak jej załącznikiem jest lista klientów indywidualnych Kontrahenta – są to dane osobowe i cały dokument powinien uzyskać poziom ochrony E oraz być przetwarzany zgodnie z regulacjami RODO.
Ochrona informacji
To już prawie wszystkie zagadnienia związane z klasyfikacją informacji i można swobodnie przejść do ich ochrony, czyli zgodnie z wytwarzaną procedurą – poziomów ochrony. Co w ich zakresie powinno zostać określone? Trzeba przeanalizować cały cykl życia informacji – od jej wytworzenia do zniszczenia. Oczywiście, aby regulacje miały charakter kompleksowy – należy ten cykl określić zarówno dla informacji w postaci elektronicznej, jak i papierowej.
Punktem startowym jest wytworzenie informacji przez jej Właściciela. Wytwarzając informację – w zależności od jej docelowej klasy – Właściciel musi odpowiednio oznaczyć, np. użyć w nagłówku, stopce lub w ramach tzw. znaku wodnego określonych słów kluczowych. Dla informacji wewnętrznych chronionych można przyjąć, że będzie to „IW_CHRONIONE” zapisane czerwoną czcionką w stopce dokumentu. Takie oznaczenie będzie miało zastosowanie zarówno dla wersji dokumentów papierowych, jak i dla informacji przetwarzanych elektronicznie.
Kolejnym ważnym elementem jest określenie sposobu przechowywania danej klasy informacji. Można przyjąć, że dla informacji wewnętrznych chronionych przetwarzanych w formie elektronicznej zawsze musi być to centralny serwer plików. Informacje w formie papierowej będą musiały być przechowywane w zamkniętych szafkach uniemożliwiających dostęp osób postronnych oraz Pracowników nieupoważnionych do ich przetwarzania.
Raczej nie zdarza się, aby informacja była wytwarzana wyłącznie na potrzeby jej autora, trzeba zatem określić, w jaki sposób następuje dzielenie się informacją z innymi Pracownikami oraz z podmiotami zewnętrznymi, gdyby nastąpiła taka konieczność. Określa się, kto może podjąć decyzję o możliwości udostępnienia danej informacji. Z reguły jest to Właściciel informacji, ale w zależności od specyfiki danej organizacji oraz tego, jaką klasę informacji oraz komu się ją udostępnia, może być to np. Biuro bezpieczeństwa czy nawet Zarząd.
Ostatnim etapem cyklu życia informacji jest jej niszczenie. Tu również powinny być określone wymagania i zasady np. dla dokumentacji papierowej – niszczarki dokumentów o określonym poziomie bezpieczeństwa zgodnym z normą DIN 66399, a dla informacji przetwarzanych elektronicznie – określony algorytm/aplikacja, która nie pozwala na jej odzyskanie poprzez wielokrotne nadpisanie informacji losowym ciągiem znaków.
Każda z klas informacji musi mieć przypisane wszystkie z wymienionych wyżej kroków oraz określone sposoby ich obsługi. Oczywiście zdarzać się mogą sytuacje, w których dla informacji mało istotnych nie będzie specyficznych wymagań, czy dla danych osobowych oraz informacji niejawnych będą odwołania wprost do innych regulacji wewnętrznych. Założenie jest takie, aby wszyscy Pracownicy wiedzieli, jak postępować z informacjami przetwarzanymi w organizacji.
Podsumowanie
Omówiłem już cały proces klasyfikacji informacji, który można wprowadzić w każdej organizacji z wykorzystaniem procedur wewnętrznych. Posłużyłem się przy tym kilkoma przykładami oraz rodzajami czy klasami informacji. W celu uporządkowania wiedzy – już bez zbędnych przykładów – podsumuję cały proces w kilku zdaniach, aby wiedzieli Państwo, jak poradzić sobie z klasyfikacją przetwarzanych informacji.
- Po pierwsze zbieracie informacje o wszelkich typach, rodzajach informacji.
- Po drugie tworzycie klasy informacji.
- Po trzecie przypisujecie typy informacji do klas informacji w relacji N:1 (dany typ informacji nie może znaleźć się w więcej niż jednej klasie informacji). W ten sposób powstaje katalog informacji.
- Po czwarte przypisujecie poziom ochrony i dla każdego z poziomów określacie zasady przetwarzania z uwzględnieniem: wytworzenia, przechowywania, udostępniania i niszczenia. Dodatkowo w procedurach powinniście zawrzeć informacje ogólne mówiące o tym, kim jest Właściciel informacji czy określaniu poziomu ochrony w przypadku informacji zawierających się w kilku klasach równocześnie.
*
Mam nadzieję, że przekazane informacje pozwolą Państwu w prosty, logiczny, a przede wszystkim praktyczny sposób podejść do bezpieczeństwa informacji w Waszych organizacjach. W ramach realizowanej usługi FortCyber wspomagamy naszych Klientów w procesie klasyfikacji informacji stąd wiem, że opisany przeze mnie sposób sprawdza się w praktyce i daje się zastosować praktycznie w każdej firmie. Dodatkowo uporządkowanie katalogu informacji w przyszłości powoduje duże ułatwienia we wdrożeniu dodatkowych narzędzi ochrony informacji oraz systemów klasy DLP.
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne