![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 21 - CW 31/97
Klasifikace informacíAlena Hönigová, Vladimír Pračke
O negligence! ... what cross devil made me put this main secret in the packet I sent the king? Is there no way to cure this? No new device to beat this from his brains? Co je to klasifikace informací a k čemu ji potřebujeme? Klasifikované informace jsou informace označené tak, aby lidem, kteří s nimi přicházejí do styku, bylo zřejmé, že tyto informace jsou citlivé a že je nutné je vhodným způsobem chránit. Klasifikace informací má význam jak uvnitř dané organizace, tak pro "třetí strany", které přicházejí s danou organizací do styku. Jestliže není provedena klasifikace informací a zpracovávané nebo vyměňované informace nejsou příslušným způsobem označeny, není s nimi potom ani zacházeno s příslušným stupněm ochrany. Vedoucí pracovníci, kteří si dostatečně neuvědomují význam klasifikace informací a nezajistí její zavedení, jsou potom často překvapeni zjištěným únikem vysoce citlivých informací. Můžeme si vzpomenout na kauzu, ke které došlo na půdě našeho parlamentu návrh zákona, který byl připraven pro konečné hlasování, existoval ve dvou podobách: listinné (byla uložena v trezoru) a elektronické (na paměťovém médiu počítače). Pro jednání parlamentu byla vytištěna elektronická verze. Ačkoliv se při ukládání obě formy nelišily, předkládaný návrh se lišil od oficiálně připravené a odsouhlasené verze návrhu v několika částech, které se týkaly finančního vyrovnávání bývalých zaměstnanců MV. Nebýt pečlivosti a odpovědnosti jistého právníka, byl by pravděpodobně schválen zákon s onou úmyslně provedenou úpravou. Jak k tomu došlo? Jednoduše obsluha počítače neoprávněně změnila elektronickou formu návrhu zákona. Je to ukázkový případ porušení několika zásad bezpečnostní politiky, ke kterému by v žádném případě nemělo na této úrovni dojít: operátor počítače zřejmě nebyl dostatečně prověřen, nebyla uplatněna zásada oddělení povinností (operátor neměl mít možnost zasahovat do zpracování tímto způsobem), a což nás právě nyní nejvíce zajímá nebyla zjevně provedena a implementována klasifikace informací a s daným dokumentem při zpracování na počítači nebylo zacházeno na úrovni odpovídající jeho citlivosti. Způsob, jakým jsou informace v různých organizacích chráněny, se bude lišit případ od případu, může se lišit i v jedné organizaci v různých správních jednotkách, ale úroveň ochrany musí být stále stejná. Ochrana informací by také měla být vždy přiměřená, praktická a cenově odpovídající možným rizikům. Úrovně citlivosti Klasifikace informací vždy předpokládá jejich rozdělení do více úrovní. Nejvyšší úrovně zahrnují informace, které mají vztah k národní bezpečnosti. I když terminologie není jednotná, tyto úrovně jsou obvykle označeny jako "přísně tajné" a "tajné" ( "top secret" a " secret"). V USA jsou např. spolu s další skupinou, "confidential", souhrnně označovány "classified". Druhá skupina, "unclassified", označuje informace nižší úrovně citlivosti, které se týkají např. osobních informací, a jimž je věnována ve světě již delší dobu zvýšená pozornost. Vezměme si jako příklad klasifikaci informací, doporučovanou britskou vládou pro průmyslové a obchodní organizace: SEC1: Informace, jejichž neautorizované odhalení, zejména mimo organizaci, by bylo nevhodné a nevyhovující. Jedná se většinou o běžné informace, které si organizace jednoduše nepřeje zveřejnit. Takto klasifikovaná informace nemusí být označena; do této kategorie spadá většina informací. SEC2 (RESTRICTED): Informace, jejichž neautorizované odhalení (dokonce i uvnitř organizace) může významným způsobem poškodit zájmy organizace. Tyto informace zahrnují např. podklady pro různá obchodní vyjednávání, hodnocení konkurentů na trhu, osobní informace, informace o zákaznících, informace označené takto vládou apod. Informace s touto úrovní citlivosti by měly být vždy příslušným způsobem označeny, a to i při komunikaci. SEC3 (CONFIDENTIAL): Informace, jejichž neautorizované odhalení (dokonce i uvnitř organizace) by způsobilo organizaci závažné ztráty nebo značně poškodilo její zájmy. Jedná se o způsobení značné škody vlivem vážných finančních ztrát, vážnou ztrátou příležitosti k zisku, závažného poškození nebo ztrátou pověsti. Tyto informace zahrnují např. detaily týkající se převzetí jiné organizace, uzavření nebo utlumení činnosti některé části organizace, spojení s jinou organizací, globální obchodní strategie, obchodních plánů, velmi citlivého ohodnocení obchodních partnerů, dodavatelů, konkurentů, tajné informace týkající se patentů, nových výrobků, informace takto označené vládou apod. Informace s touto úrovní citlivosti by měly být vždy příslušným způsobem označeny, a to i při komunikaci. Organizace může k popsání různých úrovní citlivosti použít svoji vlastní terminologii a přizpůsobit ji své činnosti v závislosti na potenciálních škodách plynoucích z neautorizovaného prozrazení informací. Jestliže však bude sdílet citlivé informace s jinými organizacemi, je třeba se předem navzájem dohodnout na společné terminologii, aby byla citlivost posuzována jednotně. Informace, jejichž citlivost je na úrovni SEC2 nebo SEC3, by měly být vždy příslušným způsobem označeny ať už se nalézají na papíru, disketě, disku, pásce, fólii pro prezentaci, mikrofiši, fotografii nebo jakémkoliv jiném médiu. Organizace nemusí mít implementovány všechny tři úrovně citlivosti může např. dojít k závěru, že žádná informace uvnitř organizace nespadá do úrovně SEC3 a implementovat pouze úrovně SEC1 a SEC2. V takovém případě musí upozornit své partnery, že není schopna korektně pracovat s informacemi na úrovni SEC3, protože by s nimi zacházela jako s informacemi úrovně SEC2. Organizace může implementovat více úrovní citlivosti nebo je stanovit tak, že nebudou přesně odpovídat úrovním SEC1 až SEC3. Je-li informace, označená např. úrovní spadající mezi úrovně SEC1 a SEC2, předávána jiné organizaci, měla by být označena vyšší úrovní, tj. SEC2; stejně tak citlivá informace převzatá od jiné organizace by neměla být označena nižším stupněm citlivosti. Bezpečné sdílení citlivých informací je důležité v případech vytváření nebo fungování "joint venture" organizací, uzavírání smluv na subdodávky (kde se předpokládá zacházení s citlivými informacemi) nebo je-li partnerem vládní organizace. Některé informace jsou citlivé jen po určité časové období. V takovém případě by jejich označení mělo indikovat datum (případně určitou skutečnost), po kterém informace přestává být citlivou nebo se snižuje úroveň její citlivosti. Např. zápis z jednání bankovní rady centrální banky o případném uvalení nucené správy na určitou komerční banku bude jistě považován za citlivou nebo vysoce citlivou informaci; po rozhodnu-tí a jeho zveřejnění pominou důvody pro zachování důvěrnosti zápisu. Modely bezpečných informačních systémů První práce, zaměřující se na úroveň jistoty či míru záruky u bezpečných informačních systémů, byly započaty za spoluúčasti Ministerstva obrany USA (DoD). To mělo eminentní zájem na vývoji systémů, které by garantovaly bezpečné zpracování klasifikovaných dat. Mělo i značné zkušenosti v ochraně důvěrných dokumentů, vlastnilo sofistikovaný systém klasifikace bezpečnostních úrovní dokumentů a lidí a mělo dostatečné zdroje na financování vývojových projektů. Prioritním cílem bylo vyvinout modely bezpečných systémů s cílem zabránit neautorizovanému odhalení klasifikovaných informací. Výsledkem prací byl model Bell-La Padula, na který navázal vývoj formální bezpečnostní politiky, založené na tomto modelu, vytvoření počítačového systému, který tuto politiku implementoval, a rigorózní důkaz, že systém SW a HW tuto politiku skutečně implementoval. V roce 1983 vláda USA, resp. ministerstvo obrany (DoD), vydalo soubor návodů pro výrobce systémů a systém hodnocení důvěryhodných výpočetních systémů, známý jako "Orange Book". Tato kritéria začala být koncem 80. let využívána také komerčními i vládními organizacemi v USA i v Evropě, které se začaly zvýšenou měrou zabývat bezpečností počítačů. Postupně však vyvstala otázka, zda model Bell-LaPadula, z kterého "Orange Book" vychází, je vhodný pro aplikace mimo vojenský sektor. Model Clark-Wilson, publikovaný v r. 1987, poskytl model informační bezpečnosti, který se spíše než na zajištění důvěrnosti klasifikovaných informací zaměřil na zajištění toho, že finanční transakce jsou prováděny v souladu se specifikovanou politikou organizace, tj. na integritu. V r. 1989 byl vytvořen Brewerem a Nashem další model tzv. "Model čínské zdi" popisující bezpečnostní politiku určenou pro právní a konzultační firmy, kde prioritním hlediskem je důvěrnost dat. Jakým systémem zpracovávat citlivé informace? Citlivé informace na úrovni odpovídající SEC2 nebo SEC3 ve výše uvedeném popisu by měly být zpracovávány na dostatečně bezpečných systémech. Např. při úrovni SEC2 by výpočetní systém měl mít zabudovány takové kontroly, které omezí přístup pouze na autorizované osoby, ukládá informace způsobem, jenž zabrání jejich náhodnému nebo úmyslnému kompromitování, chrání informace při zpracování a přenosu před náhodným nebo úmyslným útokem, snižuje pravděpodobnost možné rekonstrukce dat po jejich vymazání nebo zničení. Jakou má ale běžný uživatel jistotu nebo záruku, že daný systém opravdu splňuje tyto bezpečnostní požadavky? Praxe ukázala, že teprve nezávislé hodnocení bezpečnostního produktu podle určitých kritérií a jeho certifikace dávají uživateli produktu jistou záruku, že produkt nemá zásadní slabá místa, kterých by mohlo být zneužito. Např. evropská kritéria ITSEC poskytují nástroj, který umožňuje identifikovat nezávisle testované a hodnocené produkty pro počítačovou bezpečnost. Jaká je situace u nás? Mírně řečeno neutěšená. I když máme zákony, které se zabývají klasifikací informací na národní úrovni a ochranou informací daných tříd utajení, při počítačovém zpracování, ať už na vládní úrovni nebo na úrovni velkých průmyslových, finančních nebo obchodních organizací, není klasifikace informací důsledně implementována. Dochází k tomu, že informační technologie, kterými jsou tyto úřady nebo organizace vybavovány, neposkytují formální záruky určité úrovně bezpečnosti, která umožňuje zpracování citlivých informací, a při zpracování není bezpečnost informací komplexně zajištěna. To se týká i výměny a přístupu k citlivým informacím ze strany obchodních partnerů a dodavatelů. Odpovědnost za tento stav má jednoznačně management. Otázkou je, zda při našem vstupu do NATO nebo EU budou tyto organizace ochotny tento stav tolerovat nebo nás donutí uvést celou tuto oblast do pořádku.
Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |