Vysoká škola ekonomická v Praze

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií

Diplomant:

Jindřich Hlaváč

Vedoucí diplomové práce:

Ing. Libor Gála

Recenzent:

Ing. Radek Komanický

TÉMA DIPLOMOVÉ PRÁCE

Klasifikace informací jako hledisko přístupu k systému

Prohlášení

Prohlašuji, že jsem diplomovou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze kterých jsem čerpal.

V Praze dne ..........…………

.......................... podpis

Poděkování Touto cestou bych rád poděkoval vedoucímu diplomové práce Ing. Liboru Gálovi a recenzentovi Ing. Radkovi Komanickému za pomoc při vzniku této práce. Zároveň bych chtěl poděkovat své rodině a zejména sestře Veronice za veškerou podporu.

Klasifikace informací

Jindřich Hlaváč

Obsah 1. Úvod.................................................................................................................................................... 6 2. Teorie informace ................................................................................................................................. 7 2.1 Pojem informace ........................................................................................................................... 7 2.2 Ukládání a vyhledávání informací ................................................................................................ 8 2.3 Význam informace ...................................................................................................................... 10 2.3.1 Obecný význam informace................................................................................................... 10 2.3.2 Význam informace pro různé subjekty ................................................................................ 10 2.4 Informační zdroje a jejich vlastnosti ........................................................................................... 12 2.5. Vlastnosti (atributy) informace (dokumentu)............................................................................. 12 3. Klasifikace informací ........................................................................................................................ 15 3.1 Klasifikace informací jako součást informační bezpečnosti firmy ............................................. 15 3.1.1 Informační bezpečnost – základní pojmy............................................................................. 15 3.1.2 Proces řešení informační bezpečnosti .................................................................................. 18 3.1.3 Stav bezpečnosti v českých firmách..................................................................................... 23 3.1.4 Stav bezpečnosti v zahraničních firmách ............................................................................. 28 3.1.5 Právní úprava ochrany informací v ČR................................................................................ 34 3.1.5.1 Ochrana utajovaných skutečností.................................................................................. 34 3.1.5.2 Principy zajištění bezpečnosti dle zákona č. 148/1998 Sb. ........................................... 36 3.1.5.3 Ostatní právní normy..................................................................................................... 38 3.1.6 Normy a standardy zabývající se informační bezpečností v zahraničí................................. 40 3.1.6.1 TCSEC (Trusted Computer System Evaluation Criteria) ............................................. 40 3.1.6.2 ITSEC (Information Technology Security Evaluation Criteria) ................................... 41 3.1.6.3 ITSEM (Information Technology Security Evaluation Manual) .................................. 42 3.1.6.4 CTCPEC, FC a CC........................................................................................................ 43 3.1.6.5 BS 7799 (The British Standard on Information Security Management) ....................... 44 3.1.6.6 GMITS (Guidelines for the Management of IT Security)............................................. 46 3.1.7 Vztah informační bezpečnosti a klasifikace informací ........................................................ 47 3.2 Cena a hodnota informací ........................................................................................................... 48 3.2.1 Náklady na pořízení informace (Costing) ............................................................................ 48 3.2.2 Určení hodnoty informací (Valuing).................................................................................... 49 3.2.3 Oceňování informačních aktiv v britských firmách ............................................................. 51 4. Principy klasifikace informací .......................................................................................................... 52 4.1 Řízení procesu klasifikace informací .......................................................................................... 52 4.2 Tvorba a náplň práce týmu.......................................................................................................... 53 4.3 Vytváření klasifikační politiky a specifikace tříd........................................................................ 53 4.3.1 Typy informací..................................................................................................................... 53

-4-


Jindřich Hlaváč

4.3.2 Specifikace tříd..................................................................................................................... 55 4.4 Třídy v klasifikaci informací....................................................................................................... 56 4.4.1 Třídy v ČR............................................................................................................................ 56 4.4.2 Třídy v zahraničí .................................................................................................................. 57 4.4.3 Klasifikační třídy dle britské vlády ...................................................................................... 58 4.5 Principy řazení do tříd ................................................................................................................. 59 4.6 Reklasifikace a deklasifikace informací...................................................................................... 60 4.7 Nakládání s informacemi ............................................................................................................ 60 4.7.1 Manipulace s klasifikovanými informacemi ........................................................................ 60 4.7.2 Nakládání s informacemi podrobněji ................................................................................... 62 4.7.3 Nakládání s informacemi dle britské normy „SEC“............................................................. 63 4.8 Zajištění přístupu a ochrany ........................................................................................................ 64 4.9 Bezpečnostní modely .................................................................................................................. 67 4.9.1 Bell-LaPadula a Bibův model .............................................................................................. 68 4.9.2 Clark-Wilson model ............................................................................................................. 69 5. Praktické užití klasifikace informací................................................................................................. 70 5.1 Proces klasifikace informací ....................................................................................................... 70 5.2 Řízení přístupu k systému ........................................................................................................... 71 5.3 Metodika MDIS a klasifikace informací ..................................................................................... 72 5.3.1 Stručná charakteristika MDIS .............................................................................................. 72 5.3.2 Začlenění procesu klasifikace informací do metodiky MDIS.............................................. 73 5.4 Konkrétní přístupy k řešení klasifikace informací ...................................................................... 75 5.4.1 Česká praxe .......................................................................................................................... 75 5.4.2 Ukázka ze zahraniční praxe.................................................................................................. 76 5.5 Klasifikace webového obsahu ..................................................................................................... 81 5.6 Náklady, přínosy, důvody a význam klasifikace......................................................................... 83 6. Závěr ................................................................................................................................................. 86 7. Informační zdroje .............................................................................................................................. 87 7.1 Literatura ..................................................................................................................................... 87 7.2 Internetové zdroje........................................................................................................................ 88 Seznam tabulek ..................................................................................................................................... 89 Seznam obrázků .................................................................................................................................... 90 Přílohy ................................................................................................................................................... 91 A – Terminologický slovník ............................................................................................................. 91 B – Význam zkratek.......................................................................................................................... 92 C - Klasifikace dokumentů – knihovnický pohled............................................................................ 94

-5-


Jindřich Hlaváč

1. Úvod Informace začíná být stejně významným výrobním faktorem jako je půda, lidé či kapitál. Jedenadvacáté století bývá někdy pro svůj globalizační trend a rozvoj informačních technologií (zejména internetu) nazýváno stoletím informatiky a přelom letopočtu charakterizován informační revolucí. Informace se staly obchodní komoditou, aktivem, s kterým se ve firmách počítá (nebo mělo počítat). Rozhodující konkurenční výhodou tak již není množství půdy, ale správné a rychlé využití informací a znalostí lidí. Zatímco internet jako komunikační a obchodní médium již firmy akceptovaly a snaží se jej maximálně využít pro levnou komunikaci a obrovskou informační kapacitu, informace samotné ještě nejsou náležitě oceňovány a chráněny. Tato práce by měla poukázat na význam chápání informací jako hodnotných aktiv a přesvědčit o nutnosti jejich zabezpečení. Jedním aspektem ochrany informací je určení hodnoty informace a rozhodnutí, zda má smysl ji za cenu vyšších nákladů chránit. Dalším je kontrola přístupu k nim, tj. ovlivňujeme, kdo co bude s informacemi dělat. Tato práce má prostřednictvím klasifikace informací, která je součástí řešení informační bezpečnosti, ukázat, jak a proč přístup k informacím řídit. Cílem práce je specifikovat proces klasifikace informací a zjistit jak ovlivňuje přístup k (informačnímu) systému, resp. k informacím v něm uložených. Aby mohlo být dosaženo vytyčeného cíle, bylo třeba zasadit proces klasifikace informací do širšího kontextu. Proto po krátkém úvodu z teorie informace (kapitola 2) je stručně popsána problematiku zajištění informační bezpečnosti ve firmách (část 3.1), jehož součástí klasifikace informací je. Důraz je kladen také na legislativní úpravu u nás i v zahraničí. Dále se práce zabývá důležitým atributem, který klasifikaci ovlivňuje, což je cena informace (část 3.2). Následně jsou popsány principy, na základě nichž se klasifikace informací provádí (kapitola 4). V další části (5.1) je již specifikován samotný proces klasifikace a zmíněn jeho vliv na řízení přístupu k systému (5.2). Na závěr jsem uvedl příklady užití klasifikace informací ve vztahu k metodice vývoje informačního systému MDIS a klasifikaci webového obsahu. Práce je určena zejména pro manažery informatiky a pracovníky zajímající se o informační bezpečnost. Ti zde najdou principy, které jim mohou pomoci v práci, ostatním zvýší povědomí o informační bezpečnosti.

-6-


Jindřich Hlaváč

2. Teorie informace Reálný svět, který nás obklopuje, produkuje ohromné množství informací. Od těch bazických, které potřebujeme jako ostatní živočichové (míra světla, teplota okolí, zvuky..), přes typické (kolik je hodin, kolik váží cihla, jak daleko je to auto) až po různou měrou sofistikované (opravdu platí zákon zachování energie?). Informace a zejména znalosti ale přestaly být pouhým produktem lidského myšlení, staly se také důležitým zdrojem. Tak významným, že se informacemi jako takovými zabývá hned několik vědních oborů (informatika, kybernetika, statistika...). „Tradiční výrobní faktory – půda, práce a kapitál nezmizely, ale staly se druhořadými. Hlavním producentem bohatství jsou informace a znalosti,“ dokonce tvrdí F. P. Drucker ve své knize Postkapitalistická společnost [VOR]. Správné informace ve správnou dobu se staly nutnou podmínkou úspěšného chodu firem.

2.1 Pojem informace Definicí informace je mnoho, liší se podle oboru, který tento pojem používá. Jinak informaci zkoumá a vykládá informatik, filozof, prognostik, lékař či lingvista. Pro nás bude informací množina dat, která dává konkrétní smysl a je využitelná v komunikačních procesech mezi různými subjekty. Je třeba si ujasnit rozdíl mezi daty, informacemi a znalostmi. Dle [KOL] jsou data (údaje) odrazem jevů, procesů a vlastností, které existují a probíhají v části reálného světa, které se týkají. Jsou tedy určitou konkrétní interpretací údajů, u kterých jde zejména o formu jejich vyjádření, uložení a zpracování. Například údaje „42“ a „černá“ jsou data, o kterých víme, že jsou vyjádřeny alfanumerickými znaky. Samy o sobě, bez kontextu, nemají ale žádný smysl. Informace jsou interpretací dat v určitém kontextu. Zmíněné údaje třeba mohou znamenat velikost a barvu obuvi. Matematický pohled - informace jsou data, která snižují entropii1 (neurčitost) příjemce informace. Znalost je schopnost na základě zkušeností nebo aplikací formálních pravidel interpretovat data, dávat je do souvislostí a získávat z nich informace. Jestliže víme, že nás minule bota o velikosti 42 celý měsíc tlačila, usoudíme, že bude dobré koupit si obuv větší. Data mohou být strukturovaná nebo nestrukturovaná. Strukturovaná data zachycují fakta, atributy, objekty apod., přičemž významným rysem je existence určitých elementů dat – řekněme datových typů (základními jsou textové řetězce, číselné, datum a čas, logické a kategorie). Rozdělení na typy je dobré pro odlišení přípustných a nepřípustných manipulací s daty (operace nad datovými typy). Typické je ukládání strukturovaných dat do relačních databází. V těch se obvykle používá tato hierarchie elementů: pole – záznam – relace – databáze. Takové strukturované uložení umožňuje efektivní výběr jen takových dat, která jsou zapotřebí. Nestrukturovaná data jsou vyjádřena jako nějaká blíže neurčená „množina bajtů“. Může jít o videozáznamy, zvukové nahrávky, grafiku nebo obrázky. Z výčtu je zřejmé, proč se tato data nazývají také jako multimediální. Lze sem ale zařadit i textové dokumenty (vzhledem k schopnostem značkovacích jazyků jako je SGML nebo XML, které umí zachytit kromě obsahu dokumentu i jeho formát a strukturu, to nemusí platit navždy). Nevýhodou nestrukturovaných dat je jejich obtížné vyhledávání podle kritérií, proto se k nim připojují strukturované záznamy – vyhledávací klíče. Ještě se můžeme setkat s termínem složky informace. Rozlišujeme tři: sdělení, data, nosič. Sdělení je obsah informace pro příjemce. Data v tomto pojetí slouží k vyjádření informace v komunikačním jazyce (čísla, slova, grafy, ale třeba i tóny). Nosič je fyzický prostředek pro uložení a přenos informace (papír, CD-ROM, emg. vlnění…).

1

Výraz entropie použil poprvé Claude E. Shannon v roce 1949, když ji definoval jako míru neurčitosti v nějaké zprávě o daném systému. Při růstu míry vyjádření informace entropie klesá a naopak. Je také autorem jednotky pro měření množství informace. Její nejmenší množství – volbu ze dvou možností – nazval bitem. Více v [TOM].

-7-


Jindřich Hlaváč

2.2 Ukládání a vyhledávání informací Ukládání a vyhledávání informací jsou jen dvě části životního cyklu informace. Ten začíná vznikem a končí užitím informace, resp. jejím vyřazením (případné zničení informace je v případě klasifikovaných informací nedílnou součástí procesu zajištění informační bezpečnosti). Existují však dvě hlavní překážky rychlého vyhledání uložené informace – prostor a čas, protože naprostou většinu informací použijeme jindy a jinde, než informace vznikly.2 Součásti životního cyklu informace jsou: •

vznik informace,

•

akvizice – získání informace pro uchování; podstatou je sledování informační produkce a výběr vhodných dokumentů3,

•

vstupní zpracování – získaný dokument se analyzuje a vytvoří se vhodný popis dokumentu4,

•

uložení – fyzické uložení nosiče informace do fondu včetně uložení popisu dokumentu,

•

vyhledání – výběr dokumentů pomocí popisů na základě dotazu,

•

výstupní zpracování – může zahrnovat úpravu dokumentu pro zobrazení na obrazovku, vytištění dokumentu nebo i vyhotovení kopie dokumentu,

•

vyhodnocení – spočívá v analýze nalezených informací a v syntéze nových informací,

•

užití informace,

•

[vyřazení informace].

Pro další práci s pojmem informace budeme potřebovat něco vědět o pojmu relevantnost informace, což souvisí s ukládáním a vyhledáváním informací. Při ukládání dokumentu do inf. zdroje, je informace popsána - vznikne sekundární informace potřebná pro další uchovávání a manipulaci – popis dokumentu.4 Je lhostejno, uvažujeme-li o bibliografickém popisu užívaném v knihovnách nebo indexaci vyhledávacím strojem na internetu. Základní myšlenka je stejná.

2

[SKL]: Dalšími překážkami jsou např. věcná a informační odbornost. Věcná – jsou k dispozici určité informace, ale uživatel je neumí zpracovat. Například výsledky finanční analýzy podniku, když nezná použité metody a neumí interpretovat výsledné hodnoty daných ukazatelů. Informační – zahrnuje znalosti o zdrojích informací, o vyhledávání a zpracování informací. 3

[SKL]: Není tím myšlena jen textová informace na papíře, ale jakákoliv informace na libovolném nosiči. Někdy se místo termínu „dokument“ také používá označení informační pramen. Nicméně v dalším textu této kapitoly budu pro informaci používat synonymický pojem dokument. 4

[SKL]: Popis informačního pramene se pak nazývá sekundární informační pramen, původní dokument je primární informační pramen. Jsou to např. knihy a k nim autorský katalog je sekundárním pramenem. Jeho smyslem je vhodným způsobem zastupovat primární pramen při manipulaci s nimi.

-8-


Jindřich Hlaváč

Informační požadavek na vyhledání informace se vyjádří pomocí dotazovacího jazyka5 – výsledkem je dotaz. Pokud popis dokumentu odpovídá dotazu, je vybraný dokument zahrnut do výstupu. Jednotlivé položky výstupu se nazývají hity (Obrázek 1).

Obrázek 1: Ukládání a vyhledávání dokumentů

Zdroj: [SKL]

Popis dokumentu obvykle obsahuje dvě části - první obsahuje formální údaje (jméno autora, nakladatele, rok vydání..) a nazývá se identifikační (jmenný) popis. Druhá část obsahuje obsahovou charakteristiku dokumentu. Vyhledávání dokumentu podle jmenného popisu není problém, protože při známé syntaxi záznamu je dokument jednoznačně určitelný. Potíže nastanou při vyhledávání podle obsahu. Dostupné prostředky pro popis dokumentu neumožňují jednoznačně a úplně vyjádřit obsah dokumentu. Při formulaci dotazu i popisu dokumentu dochází k zjednodušení a zkreslení obsahu. Tak se do výsledku dostanou i hity, které neodpovídají požadavkům (přebývají irelevantní hity) nebo se naopak nevyberou dokumenty, které požadavku vyhovují (chybí relevantní hity). Míru úspěšnosti vyhledávání textových dokumentů měříme různými koeficienty. Koeficient přesnosti P (precision) určuje pravděpodobnost, že vybraný dokument je relevantní6. P = počet vybraných relevantních / počet všech vybraných Koeficient úplnosti R (recall) říká, jaká je pravděpodobnost, že bude relevantní dokument vybrán. R = počet vybraných relevantních / počet všech relevantních V ideálním případě je P=1 i R=1. Normálně je ale mezi přesností a úplností vztah nepřímé úměry, větší úplnosti lze dosáhnout za cenu menší přesnosti a naopak.

5

V rámci dotazovacího jazyka se zejména pracuje s klíčovými slovy, tj. slovy které vystihují obsah dokumentu.

6

[KOL2]: Dokument je relevantní tehdy, je-li jím uspokojena informační potřeba uživatele. Protože pro dva uživatele se stejnou informašní potřebou nemusí být tytéž výsledky dotazu stejně relevantní, užívá se také pojmu pertinence, což je subjektivně chápaná relevance. Přiřináší-li tedy dokument uživateli něco nového, snižuje-li se jeho nejistota, pak je relevantní.

-9-


Jindřich Hlaváč

Pro doplnění uveďme ještě charakteristiku zvanou pokrytí (coverage), která se uvažuje při práci s vyhledávacími stroji na internetu. Tyto stroje indexují WWW stránky a výsledky ukládají ve své databázi. Pokrytí udává, kolik ze všech potenciálních relevantních dokumentů je zachyceno v databázi vyhledávacího stroje. Problém pokrytí se týká všech vyhledávacích služeb, uvádí se, že tyto pokrývají maximálně třetinu až polovinu všech veřejně dostupných dokumentů.

2.3 Význam informace Význam informace je subjektivní veličina, která se velmi liší dle času, místa, způsobu a dalších okolností použití. Informace o nejbližším zdroji vody je pro žíznivého mnohem zajímavější než pro nežíznivého. Také pro různé subjekty mají informace různý význam.. Jinak je to s hodnotou informace. Objektivně určit hodnotu informace není lehké a přitom nezbytné pro klasifikaci informací a řízení informační bezpečnosti obecně. Pojednává o tom podkapitola 3.2.

2.3.1 Obecný význam informace Podmínka existence společnosti - lidská společnost nemůže bez komunikace (tj. výměny informací) existovat, právě tak jako živé organismy nemohou existovat bez látkové výměny. Poznání - pouze nepatrnou část světa poznáváme přímou zkušeností (empiricky), zbytek racionálním přístupem – učením se. Prostřednictvím informací vytváříme úsudky, modely a závěry. Podklad pro rozhodování - stále se o něčem rozhoduje, ať již na úrovni státu, firmy nebo jedince. Zásadní vliv na správnost rozhodnutí má kvalita a kvantita relevantních informací. Vývoj (pokrok) - nové poznání se přiřazuje k tomu minulému prostřednictvím ukládání do pracovních nástrojů a technologie výroby; ukládání výsledků poznávacích procesů do lidské paměti a do umělé paměti (informačních pramenů).

2.3.2 Význam informace pro různé subjekty V této subkapitole se na význam informace podíváme očima různých subjektů. Pro občana je důležité vědět, kam se má obrátit v případě povolení stavby svého domu, zatímco pro stát je klíčové vědět, zda občan zaplatil všechny daně. Firmy potřebují informace o trhu, své konkurenci a právním prostředí. 1. Občan Každý z nás je členem informační společnosti, tj. společnosti, kde hrají stále větší roli informační technologie a zejména internet. Rozvoj moderních technologií přináší výhody, ale i nové výzvy. Pokud se vrátím k uvedenému příkladu, nevidím důvod, proč by se v blízké budoucnosti nemohla žádost o stavební povolení podávat elektronicky. Propojení úředních dat do veřejného informačního systému zajistí, že stavební úřad ihned uvidí, zda je stavitel bezúhonný, pozemek nezatížen věcným břemenem, stavba odpovídá územnímu plánu apod. Výzvou naopak může být požadavek na informační gramotnost zaměstnanců. Díky internetu je již nyní téměř každá informace veřejně přístupná. Existuje u nás řada organizací, které si dávají za cíl rozvíjet informační společnost v ČR. Nejvýznamnější je zřejmě Sdružení pro informační společnost (SPIS). Mezi jeho nejznámější aktivity patří zpracování návrhu zákona o elektronickém podpisu, ale i akce jako BMI (Březen, měsíc internetu).

- 10 -


Jindřich Hlaváč

2. Stát Státní správa musí pracovat s celou řadou informací různé důležitosti. Finanční úřady zajímají např. informace o příjmech obyvatel, policii trestní rejstřík, živnostenský úřad pracovní způsobilost podnikatele pro vydání živnostenského listu. Zjednodušit a zrychlit práci úředníků by měl státní informační systém, který je vyvíjen Úřadem pro veřejné informační systémy. ÚVIS je ústřední orgán veřejné správy s integrující rolí v informačních systémech veřejné správy (ISVS). Poskytuje obecné informace o státní informační politice, akčním plánu státní informační politiky a aktivitě eEurope+, ke které jsme jako ČR přistoupili v lednu tohoto roku. Zabývá se zejména tvorbou standardů ISVS, které vydává ve Věstnících Úřadu. 3. Firma Pro firmu může být nedostatek správných informací otázkou jejího bytí či nebytí. Většina firem vystačí se základními informačními zdroji – ať již interními (z vlastních útvarů) nebo externími (sbírka zákonů, seznam firem apod.). Vždy jde o podpůrné, ale nezbytné informace legislativního a obchodního charakteru. Další skupinou jsou „strategické informace“. Myslím tím nejen informace uvnitř podniku (jejich existence je zřejmá), ale i informace z okolí firmy - zejména o stávající i potenciální konkurenci, situaci na trhu, marketingové analýzy, prognózy o akciovém trhu, trhu IS/IT, politické situaci atd. Veškeré rozhodování ve firmě se provádí na základě takových informací. Kvalita rozhodnutí je přímo závislá na kvalitě informací, které má subjekt k dispozici. Pro jiné firmy může být práce s informacemi dokonce jejich hlavní činností. Shromažďování, analýza, uchovávání a prodej informací může být jejich core business. Nejčastěji jde o informace obchodního a marketingového charakteru. Nejznámější firmou tohoto typu je americká Dun & Bradstreet (http://www.dnb.com) a její produkt International Business Information Reports, který se zabývá charakteristikou a hodnocením firem. Stále významnější jsou databázová centra, která poskytují své služby přes internet, jako je například Dialog Information Service.( http://www.dialog.com). V České republice působí např. Albertina Icome (http://www.aip.cz). Nabízí profesionální informační zdroje dostupné online a na CD-ROM. Jedná se o stovky databází, které obsahují různé druhy informací pro všechny oblasti lidské činnosti - od obchodních kontaktů a informací o firmách a trzích přes plné texty odborné a vědecké literatury, patentů, po soupisy knih, článků, přednášek z konferencí a dalších materiálů. Ze státních institucí tuto práci dělá např. Český statistický úřad nebo knihovny. Při pohledu na informaci z firemního hlediska můžeme diagnostikovat tři typy informací [VOR]. Signální informace vzniká a užívá se při výměně informací mezi prvky IS. Bývá impulsem ke spuštění nějakého podnikového procesu. Signální informací je např. příchod objednávky, který startuje proces „vyřízení objednávky“, ale i stav zásob k určitému datu. Strukturální informace popisuje strukturu systému a pravidla chování jeho jednotlivých prvků. V podniku popisuje organizační strukturu podniku, pravomoci a odpovědnosti jednotlivých funkčních míst, pracovní postupy apod. Genetická informace je informace uložená ve vlastní paměti systému a určuje chování systému. Souvisí s podnikovou kulturou a tzv. pamětí organizace, jde o informace „zakódované“ v samotné firmě, v jejím chování, tj. v jejích zaměstnancích. Většinou jde o informace nepsané a její udržení je závislé na konkrétním pracovním kolektivu. Genetická informace má vliv na adaptabilitu podniku (jak se dokáže přizpůsobovat změnám okolí, např. požadavků zákazníků), na schopnost učit se ze svých chyb, na chování zaměstnanců k zákazníkům, na mezilidské vztahy uvnitř podniku. V současném prostředí tvrdého konkurenčního boje význam práce s informacemi stále vzrůstá. Pokud se firmě podaří s informacemi pracovat efektivněji než ostatním, získá významnou konkurenční výhodu. Nejde jen o to, že získá nějakou strategickou informaci, kterou konkurence nemá (např. v Německu se bude rušit továrna na výrobu gumových těsnění do vodovodních baterií, je tu šance svým výrobkem substituovat vzniklý nedostatek a rychle kontaktovat případné odběratele), ale svou roli hraje také vnitropodniková práce s informacemi (optimalizace životního cyklu informace, jeho podpora IS/IT, zabezpečení důležitých informací). Z toho, co bylo právě řečeno by mělo být zřejmé, že i informace jsou významnými aktivy podniku. - 11 -


Jindřich Hlaváč

2.4 Informační zdroje a jejich vlastnosti Jestliže se bavíme o datech a informacích, je třeba říci, kde vznikají. Jsou samozřejmě zejména produktem lidského jednání a myšlení. Jak bylo řečeno výše, od vzniku k užití informace je několik kroků a my se zastavíme u kroku uložení. Obecněji lze říci, že informační zdroj je systém, který je reálným nebo potenciálním nositelem, zprostředkovatelem nebo šiřitelem informací [SKL]. Jsou to tedy knihovny, informační střediska, databázová centra, televize, rozhlas, ale i internet. Zdroje lze členit podle toho, jaký druh informací přinášejí. Masmédia jsou zdroji zejména obecných informací, existují ale i zdroje oborových informací – ekonomických, právnických, lékařských a mnoha dalších oborů. Takové informace jsou zveřejňovány v odborných periodikách (např. The Nature, Science, NewScientist, v USA běžně různé oborové „The Journal of [American]… Chemical Society, Logic Programming, Medicine“; popularizační National Geographic nebo Scientific American; u nás např. Účetnictví a daně, Chip, Vesmír, Tunel apod.). Dalším hlediskem je formát informací, které zdroj poskytuje – textové, obrazové, zvukové, multimediální. Zdroje lze členit také dle dostupnosti na veřejné (většinou zdarma) a komerční, případně utajované. Komerční jsou takové zdroje, které informace prodávají. K této charakteristice také patří, zda rešerši provádí provozovatel (a jak dlouho trvá dodání informace) nebo zda rešerši provádí zájemce o informaci sám. Velice podobnou charakteristikou je pak přístupnost - snadnost a rychlost, s níž lze informaci obdržet. Další charakteristiky informačního zdroje jsou: •

Typ informací – zda jde o informaci primární (bibliografickou) nebo sekundární,

•

rozsah – kolik záznamů (nebo jiných jednotek, např. bajtů) zdroj obsahuje,

•

úplnost – kolik ze všech dostupných informací, jimiž se zdroj zabývá, je ve zdroji uloženo,

•

retrospektivita – jak hluboko do minulosti sahají uložené informace,

•

periodicita aktualizace – jaká je frekvence ukládání nových informací,

•

producent – majitel zdroje určuje jeho důvěryhodnost,

•

cena (nebo také nákladovost informace) – stanovuje se různými způsoby – paušální platbou, za každý poskytnutý záznam (objem dat) za čas strávený v databázi (pro on-line zdroje); je závislá na kvalitě ostatních charakteristik (renomovanější producent často aktualizující svou mnohaletou databázi bude oprávněně požadovat vyšší cenu).

2.5. Vlastnosti (atributy) informace (dokumentu) Zastavíme se u určení vlastností a třídících znaků informace. Je ale složité oddělit informace od jejich zdrojů, protože vlastnosti informací se odvozují od atributů jejich zdrojů. Pojmenování atributů je navíc relativní, liší se podle místa, času a způsobu užití, např. formát informace je pro knihovníka údaj, zda jde o text či zvuk, informatik spíše bude hledat, jakou aplikací otevře dokument daného formátu (přípony). Kromě zdroje informace je důležité i kým byla informace získána (následně je důležité určit vlastníka, správce a uživatele informace – viz kap. 3.2) a místo jejího uložení. Základní varianty jsou: mimo podnik (např. externí databáze poradenských firem), uvnitř firmy – v paměti pracovníků, v archivovaných papírových dokumentech nebo v informačním systému. Pro využití, správu a ochranu informace je nevhodnější její uložení v informačním systému podniku.

- 12 -


Jindřich Hlaváč

Jinou vlastností je časové vymezení informace, tj. ze kdy informace pochází a o jakém čase vypovídá. Z hlediska času je můžeme dělit na historické, aktuální a prognostické (plánové). Aktuální informace popisuje současný stav reality (např. okamžitý stav zásoby nějakého zboží na skladě). Prognostická odhaduje budoucí stav reality (např. roční plán obratu). Historická informace je bývalá informace aktuální nebo prognostická, u které uplynula doba platnosti (např. zásoba určitého materiálu před týdnem) [VOR]. Dále nás zajímá úroveň obecnosti informace – konkrétní a abstraktní informace (např. konkrétní informací je dopis zákazníkovi ze dne 12.2.2002, kdežto abstraktní informací je šablona textového procesoru pro firemní korespondenci), předmět ke kterému se informace vztahuje (např. výroba počítačů), vlastní obsah informace, úroveň agregace (např. výroba za den, týden, měsíc; výroba za dílnu, závod, podnik; prodej za Prahu, ČR, Evropu apod.). Objem informace měříme počtem obsazených bajtů v paměti počítače nebo pomocí Shannonových vzorců (množství informace, které nese např. jeden konkrétní znak abecedy se odvíjí od pravděpodobnosti jeho výskytu [TOM]). Atribut je významný při ukládání do datového skladu, pro porovnání integrity z hlediska bezpečnosti (ochrana před změnou), méně pro zařazení do klasifikační třídy. Zamysleme se ale nad hodnotou informace. Jak jsem se již zmínil v části o významu informací, záleží na řadě faktorech a tak by se mohlo zdát, že hodnota informace je relativní veličinou. Výkresy nového typu spalovacího motoru budou většině lidí k ničemu, protože jim neporozumí (viz. poznámka pod čarou č. 2). Soupis kancelářských pomůcek pro kancelář zase nebude případné zloděje zajímat, zatímco finanční výsledky jednotlivých divizí společnosti zřejmě ano. Hodnota informace ale není relativní, protože od vzniku peněz se dá koupit a prodat vše, včetně informací. Vlastník informace určuje její hodnotu, protože má nejlepší představu o tom, co by se stalo v případě jejího zničení, ztráty, zneužití nebo nedostupnosti a umí tuto představu kvantifikovat. Částka, kterou ztrátu vyjádříme, může mít různou podobu. Například může mít hodnotu částky, kterou budeme muset vynaložit na znovuzískání informace a její zpracování. Nebo jakou ztrátu utrpí firma, které byl odcizen výše zmíněný návrh motoru, a předběhne ji konkurence. Jak je vidět, hodnota informace se lépe určí, když myslíme na její ztrátu (proto při jejím určování spolupracují rizikoví manažeři). Dokud informaci máme, není často její hodnota zřejmá. Podrobněji viz část 3.2 Cena a hodnota informací. Další možné atributy informace •

Formát informace – závisí na způsobu vyjádření sdělení pomocí dat (text, obraz, zvuk…). Je třeba odlišovat od formátu souboru, což je typický rozlišovací znak pro elektronické dokumenty.

•

Spolehlivost (pravdivost) – dáno množstvím chyb. Ty mohou vniknout při ukládání (např. při přepisu) dat, při výpočtech a operacích s daty anebo dokonce být záměrně dezinformacemi.

•

Podrobnost a úplnost – závisí na rozlišovací úrovni, míře abstrakce; někdy vyžadujeme informace o podrobnostech, jindy spíše všeobecné. Úplnost informace de facto vyjadřuje míru pravdivého zobrazení reality, protože libovolný výběr podmnožiny informací zkresluje realitu (volbou výběru a jejich interpretace příjemcem).

•

Včasnost (pohotovost) – jak rychle lze sehnat potřebnou informaci.

•

Flexibilita – použitelnost pro více než jednoho uživatele.

•

Relevance – vychází z přesnosti a úplnosti, tj. zda neobsahuje to co nepotřebujeme a obsahuje vše, co potřebujeme.

•

Jednoznačnost (jasnost) - stupeň nejasnosti a dvojznačnosti (nelze přesně kvantifikovat).

- 13 -


Jindřich Hlaváč

•

Podmíněnost – získávaná informace závisí na jiných informacích.

•

Ověřitelnost - stupeň konsensu, k němuž se dospěje mezi různými uživateli, kteří zkoumají tutéž informaci.

S relevancí souvisí i pojmy frekvence a unikátnost. Při určování relevance dokumentu vzhledem k dotazu se v popisu dokumentu pracuje s klíčovými slovy (podrobněji v příloze C) a sleduje se jejich frekvence, protože čím častěji se slovo v dokumentu vyskytuje, tím je relevantnější k dotazu na takové slovo. Při určování relevance dokumentu proti víceslovnému dotazu hraje roli zase unikátnost. Pokud jedno ze slov se vyskytuje ve velmi malém počtu dokumentů, je ohodnoceno více. Například dotaz „klasifikace informací“; dokumenty obsahující jen „klasifikace“ jsou brány jako relevantnější než ty, které obsahují jen „informací“, což je slovo mnohem častější. Hledat atributy informace (nebo spíš dokumentu) je nevděčná záležitost, záleží na mnoha okolnostech, zejména vědním oboru, subjektu, který s informacemi pracuje apod. Každý obor si definuje informaci po svém, určuje jejich atributy a klasifikuje je. Lékaři mají různé typy genetické informace, knihovníci se zajímají o bibliografické údaje (pak mluví o dokumentu a jeho názvu, popisu, klíčových slovech…), jazykovědci budou informace dělit dle jazyka či syntaxe atd. Další podrobnosti najde čtenář např. v [TOM], [KOL1] či [KOL2].

- 14 -


Jindřich Hlaváč

3. Klasifikace informací Encyklopedie [KOL3, str. 392] říká, že z latiny pocházející slovo klasifikace znamená zvláštní případ uplatnění logické operace dělení rozsahu pojmu, který pak představuje určitý souhrn. Můžeme ale také jednoduše říci, že jde o řazení do skupin podle jistých hledisek, třídění. Každá klasifikace je výsledkem určitého zjednodušení skutečných hranic, které jsou vždy podmíněné a relativní. Známe např. klasifikaci nemocí, predikátů, půd, finančních rizik, průmyslových oborů a výrobků, odvětví ekonomiky a dalších věcí a činností. Vždy jde o třídění, rozdělení množiny prvků do skupin podle nějakého atributu (kritéria). Například počítače lze klasifikovat podle řady kritérií: vnitřní architektury, rychlosti procesoru, kapacity vnitřní a vnější paměti, rychlosti výstupních zařízení, ceny apod. Výsledkem jsou pak čtyři základní skupiny počítačů: osobní počítače, počítače střední třídy (servery, výkonné stanice), střediskové počítače (mainframes) a superpočítače. Na klasifikaci informací lze pohlížet různě. Podnikové procesy probíhající ve firmě mají své vlastníky, uživatele, vstupy a výstupy apod. Klíčovým vstupem jsou příslušné informace. Například proces vyskladnění zboží má jistě na vstupu informace o objednávce, zákazníkovi, místě určení apod. Potřebuje ale příslušný pracovník (např. skladník) znát údaje o bonitě zákazníka, sumě odebraného zboží za rok či počtu reklamací? Nepotřebuje. Klasifikace informací může zajistit, že každý pracovník dostane jen ty informace, které opravdu ke své práci potřebuje a stává se tak prostředkem procesního řízení firmy. Další pohled na klasifikaci informací může být bibliografický (knihovnický). Velké množství písemných pramenů bylo třeba začít systematicky třídit, jinak by nemohly být efektivně vyhledávány a zpracovávány. Tento pohled si může čtenář přiblížit prostřednictvím přílohy C. Jiný pohled je veden na informace jako na aktivum, které je třeba chránit před neoprávněným přístupem a přitom zajistit jejich integritu, důvěrnost a dostupnost. Já se budu ve své práci držet tohoto „statického“ pohledu, kde klasifikace (informací) je součástí zajištění informační bezpečnosti firmy.

3.1 Klasifikace informací jako součást informační bezpečnosti firmy Modelu klasifikace se užívá v různých oblastech (např. při klasifikaci bankovních úvěrů – podle vyhlášky ČNB č. 193/1998) a v oblasti IS/IT se obdobných schémat užívá při klasifikaci hrozeb, incidentů, zpráv systému a zejména klasifikace aktiv IS/IT, tj. informací, programů a funkcí, sítě apod. Že jsou informace významných podnikovým aktivem jsme si již několikrát ukázali; jejich klasifikace má v procesu zajištění informační bezpečnosti své místo. Pro další práci potřebujeme ujasnit základy informační bezpečnosti, jejíž součástí klasifikace informací je. O obecném významu informací jsem již psal (část 2.3.), v této a dalších částech práce se budu především zabývat informacemi ve firmách, kde jsou jedněmi z řady aktiv společnosti.

3.1.1 Informační bezpečnost – základní pojmy V první řadě je třeba si uvědomit, že organizování, využívání a ukládání informací (resp. celý životní cyklus informace), stejně jako správa ostatních důležitých aktiv firmy, se musí stát objektem bezpečnosti. Obor informační bezpečnosti můžeme stručně vymezit jako specializaci zabývající se ochranou informací. To znamená zajištění prevence před neautorizovaným přístupem, modifikací či odmítnutí informace. Pod termínem informační bezpečnost tak máme na mysli (ve shodě s vžitou

- 15 -


Jindřich Hlaváč

terminologií) celý soubor aktivit směřujících k zajištění informační důvěrnosti (confidentiality) - k informacím se nedostane nikdo nepovolaný, integrity - informace nebudou neoprávněně změněny nebo porušeny, a dostupnosti (availability) – oprávněným uživatelům bude k informacím zajištěn přístup.7 Jde o multidisciplinární obor nabízející komplexní pohled na problematiku ochrany informací, který se zabývá otázkami organizačními, řídícími, metodickými, technickými, právními, sociálními a dalšími. V předchozích kapitolách jsem pracoval především s termínem „dokument“, protože se více hodil k bibliografickém náhledu na informaci. Nyní se vrátíme k neutrálnímu termínu „informace“. Předmětem zájmu jsou stále informace na papíře, disketě, CD apod., stejně jako informace, k jejichž zpracování se používají počítačové systémy. Zabezpečeny musí být automatizované systémy i manuálně zpracovávané informace. Rozhodující není výskyt nebo forma informace, ale její hodnota.

Obrázek 2: Obecné schéma

Zdroj: [ROD]

Obrázek 2 ukazuje obecné orientační schéma, na kterém jsou aktiva (assets), bezpečnostní hrozby (threats) a bezpečnostní mechanismy, které realizují protiopatření (countermeasure). Aktiva (peníze, majetek, data..) jsou ohrožena zejména přírodními hrozbami (živelnou pohromou), technickými hrozbami (nehodami), lidmi (sabotáží, krádeží) a programy (viry, backdoors, chyby v SW a další). Proto se instalují bezpečnostní opatření (mechanismy), která zranitelná aktiva chrání. Bezpečnostní mechanismy ale mají své slabiny a může dojít k bezpečnostnímu incidentu. Pravděpodobnost, že k němu dojde (využije se slabina), je vyjádřena mírou rizika8.

7

Podrobnější výklad lze nalézt v řadě publikací; např. v [CTVR], [KOL2], [INFB].

8

Riziko je kombinace ohrožení a zranitelnosti aktiv, což může mít za následek vznik škody na těchto aktivech [GAL1].

- 16 -


Jindřich Hlaváč

Riziko se zjišťuje v procesu, který se nazývá analýza rizik. Spočívá v odhalení a definici možných hrozeb a v určení pravděpodobnosti, že určitá hrozba bude prostřednictvím nějakých slabin uskutečněna. Výsledkem je mj. souhrn doporučených protiopatření k snížení rizika na minimum. Nepodchycené riziko, které přijímáme, se nazývá zbytkové riziko. Jde o riziko, které se nevyplatí odstínit, protože může způsobit jen malou škodu nebo se vyskytuje v dostatečně dlouhých intervalech. Ochrana proti riziku je zejména otázkou ceny, čím vyšší míra zabezpečení, tím vyšší náklady. Při návrhu vhodných protiopatření je zásadní otázkou cena chráněného aktiva (to souvisí s hodnocením aktiv, viz část 3.2). Názorně to ukazuje Obrázek 3, kde náklady měříme na vertikální ose. Při analýze rizik se počítá tzv. ALE (Annual Loss Expectancy), tj. očekávaná roční ztráta. ALE = p * c, kde p je pravděpodobnost, že během jednoho roku nastane ohrožení a c je ztráta, jestliže k ohrožení dojde.9 Je třeba stanovit, zda náklady na protiopatření na ochranu aktiv nejsou vyšší než rizika. Bavíme-li se o ochraně informací, pak svou roli hraje právě její cena (je znázorněna sklonem klesající křivky na grafu Obrázek 3). Nejrozumnější je dosáhnout takové úrovně zabezpečení, kde se vynaložené náklady vyrovnají případné ztrátě při události, protože součet obou položek je zde nejmenší.

Kč

ztráta, jestliže ohrožení nastane náklady protiopatření

Bezpečnostní mechanismy jsou součástí komplexnějších opatření, které definuje bezpečnostní politika organizace.

úroveň bezpečnosti Obrázek 3: Analýza nákladů a přínosů

9

Zdroj: [GAL1]

Pro preciznější výpočet je vhodnější vzorec ALE=∑pi*ci, kde i je pořadí ohrožení (suma od i=1 do i=n, kde n je celkový počet ohrožení za rok). ALE pak vyjadřuje očekávanou sumu ztrát za všechna ohrožení. Stále jde ale o výrazné zjednodušení problému, kterým se zabývá celý obor - analýza rizik.

- 17 -


Jindřich Hlaváč

3.1.2 Proces řešení informační bezpečnosti Přestože si pod procesem řešení informační bezpečnosti autoři představují víceméně totéž, liší se v pohledu na umístění jejích součástí v hierarchii řízení firmy. Příčinou je zejména různé pojmenování jednotlivých fází a dokumentů. Například [GAL1] vidí bezpečnostní politiku jako součást taktického řízení (na strategické úrovni řízení definuje globální bezpečnostní strategii), [ROD] ji chápe jako oblast strategického řízení (viz Obrázek 4). Obrázek 6 je dalším pohledem na řešení inf. bezpečnosti a ukazuje další možné rozdělení projektu na jednotlivé části.

Obrázek 4 : Schéma řešení bezpečnosti

Zdroj: [ROD]

Autoři se liší v tom, kam kterou část řešení zahrnují, což závisí na velikosti podniku a složitosti řešení. Přirozeně podnik s deseti zaměstnanci nepotřebuje tři obsáhlé dokumenty, popisující zvlášť východiska, principy i postupy. Vystačí s jedním, který nazvou „bezpečnostní politika firmy XY“. Nejde ani tak o počet dokumentů, ale o obsah řešení – malá firma nebude obsahovat velké množství procesů a není vystavena tolika hrozbám, její analýza bude proto jednodušší. Proces řešení bezpečnosti se [dle INFB] skládá ze šesti základních kroků (uvažujeme společnost, která v této oblasti zatím nepodnikla žádné kroky): •

Cíle a strategie řešení bezpečnosti IS,

•

Analýza rizik IS,

•

Bezpečnostní politika IS,

•

Bezpečnostní standardy,

•

Implementace bezpečnosti IS,

•

Monitoring a audit.

Fáze na sebe navazují a postupuje se shora dolů, ale při řešení je běžné vrátit se k předchozímu kroku a zopakovat jej. Proces nekončí auditem, ale v určitých periodách se jím prochází znova, aby systém pružně reagoval na změny. Cílem je čtenáři obecně přiblížit proces řešení informační bezpečnosti, který lze v různých obměnách použít v libovolné firmě. Na začátku je rozhodnutí zabývat se informační bezpečností a vytvoření předpokladů pro řešení (podpora vedení, přidělení zdrojů, tvorba řešitelského týmu). Pokračuje se analýzou rizik a oceňováním aktiv, na jejíž základě se určí jaká aktiva se budou (a jak) chránit.

- 18 -


Jindřich Hlaváč

Nalezené řešení se formalizuje do vnitrofiremních dokumentů (zejména bezpečnostní politiky), postupů a směrnic, určí jejich závaznost a sankce za porušení. Po implementaci zvolených opatření se stav průběžně monitoruje a periodicky ověřuje. Prvním krokem je obvykle rozhodnutí, co je cílem a jaká cesta k němu povede. Definice cíle je pro většinu společností shodná [INFB]: „Základním cílem je eliminovat případné přímé a nepřímé ztráty způsobené zneužitím, poškozením, zničením nebo nedostupností informací, vytvořením uceleného nákladově optimalizovaného a efektivně fungujícího řízení bezpečnosti informací.“ Dalšími cíli potom bývá: •

zhodnotit současnou úroveň inf. bezpečnosti,

•

definovat principy řízení a požadovanou úroveň v oblasti inf. bezpečnosti,

•

navrhnout postup k dosažení požadované úrovně bezpečnosti,

•

připravit prostředí pro udržování a zvyšování úrovně bezpečnosti.

Tyto cíle se uvádějí v úvodu projektu řešení inf. bezpečnosti nebo (pokud uvažujeme komplexní vývoj IS) v informační strategii v části týkající se (informační) bezpečnosti. Studie bezpečnosti (bezpečnostní studie, někdy také nazvaná jako úvodní analýza) je jedno z označení dokumentu (fáze), který zahrnuje výše zmíněnou definici cílů, požadavků a hranic analyzovaného systému. Jde o východiskový dokument, obsahuje popis současného stavu informační bezpečnosti ve firmě a vytyčuje hlavní směry dalšího postupu. Patří sem sběr a vyhodnocení údajů o minulých poruchách a útocích, stanoví se míra přijatelného rizika. Ve studii se neprovádí hluboká analýza rizik, přestože při definování požadavků hraje svou roli. Její součástí jsou požadavky na bezpečnost, které si zadavatel studie zadává. Ve velkých firmách, kde se vypracovávají strategické dokumenty, by studie bezpečnosti měla být jejich součástí a definovat globální cíle organizace v oblasti zajištění aktiv. Pak zpravidla zahrnuje informační bezpečnost (information security), fyzickou bezpečnost (physical security) včetně objektové bezpečnosti a personální bezpečnost (personnel security). V současnosti je problémem právě skutečnost, že vedení firem není schopno tyto požadavky definovat. Úkol deleguje na své informatiky, kteří přirozeně nemají odpovídající zkušenosti ani pravomoci. Jde o nepochopení smyslu bezpečnostní politiky, která musí vycházet seshora a být v souladu s podnikovými cíli (proto bývá součástí globální nebo informační strategie firmy). Obsahem ovšem také studie odpovídá náplni úvodní studie (US) informatického projektu zaměřeného na bezpečnost. Analýza rizik (někdy nazývaná jako bezpečnostní analýza) je sice uvedena (dle [INFB]) na druhém místě, ale ztotožňuji se spíše s pohledem znázorněným na náčrtku (Obrázek 4), že analýza rizik prostupuje celým procesem řešení informační bezpečnosti, protože je důležitá nejen pro definici toho, co se bude chránit, ale i pro volbu vhodných prostředků a opatření. Risková analýza je klíčová pro určení jaká informační aktiva chránit - jaká pro ně existují ohrožení a s jakou pravděpodobností mohou nastat. Až když se rizika identifikují a kvantifikují, lze rozhodnout o tom, zda je riziko přijatelné či zda je třeba jej protiopatřeními a mechanismy snížit. Toto rozhodnutí se odvíjí od hodnoty aktiva a výše rizika (Obrázek 3). To je stanoveno na základě pravděpodobnosti výskytu hrozby a velikosti dopadu, nebudou-li aktiva chráněna. Analýza rizik je náročná a důležitá součást procesu řešení, což dokazuje i její zahrnutí do standardů pro řízení informační bezpečnosti, např. BS7799 a ISO 13335 (viz část 3.1.6). Řada firem se na tuto činnost specializuje – mají své ověřené postupy a užívají různé SW nástroje a metodiky jako např. je Cobra, NetRecon či CRAMM. Výsledky této analýzy jsou vysoce citlivým dokumentem, protože obsahuje podrobné informace o „kritických místech“ ve firmě. Proto je tento dokument určen úzkému okruhu lidí v managementu a v rámci organizace klasifikován nejvyšším stupněm utajení.

- 19 -


Jindřich Hlaváč

Bezpečnostní politika je termín, který se objevuje ve všech přístupech řešení informační bezpečnosti. Jde totiž o klíčový bezpečnostní dokument schválený nejvyšším vedením společnosti a závazný pro celou firmu v němž deklaruje své základní cíle v oblasti ochrany informací.10 To zajistí, aby byl předem vyřešen případný konflikt mezi bezpečnostními cíli a obchodními zájmy firmy, ke kterému může dojít. Bezpečnostní politika vychází ze studie bezpečnosti (nebo zadání firmy ve formě definovaných požadavků a cílů) a analýzy rizik. Pojmenovává to, co má být chráněno, a rámcově stanovuje, jak toho má být dosaženo. Definuje příslušné zodpovědnosti a pravomoci (tedy i role) a obecné prostředky pro dosažení těchto cílů (např. interní předpisy nebo standardy organizace). Je výchozím bodem pro vytvoření těchto prostředků a nastavuje hodnotící kritéria pro další kroky. Bezpečnostní politika (BP) musí odpovědět na tyto otázky: •

Jaké jsou cíle organizace v oblasti ochrany aktiv?

•

Jaká aktiva musí být chráněna? Jaká je cena těchto aktiv?

•

Kdo za ně nese zodpovědnost?

•

Jaká opatření budou efektivní?

•

Jak bude jejich dodržování vynuceno a jaká penalizace za nedodržení BP v organizaci?

•

Kdy a jak bude BP uvedena do praxe?

•

Jak a které osoby budou proškoleny? Jak zajistit osobní zodpovědnost pracovníků?

Vzniklý dokument představuje obecný návrh realizace všech standardů, směrnic, procedur a opatření, které vedou k splnění předem definovaných bezpečnostních cílů. Je všeobecným plánem, který říká, co, kde a proč se bude chránit. V hierarchii interních předpisů organizace je na nejvyšší úrovni a její dodržování je povinné. Protože jde o dlouhodobý dokument, měly by být použité formulace dostatečně obecné. Neříká, co je obsahem předpisu, který upravuje konkrétní činnost (např. předpis pro likvidaci nepotřebných dokumentů), protože to je předmětem konkrétních projektů. Vytvoření bezpečnostní politiky je jeden krok, druhým je její přijetí. Schválení politiky managementem je klíčovým okamžikem, který podstatným dílem rozhoduje o (ne)úspěšnosti řešení informační bezpečnosti. Je-li politika přijata, zbývá ji vyhlásit, tj. seznámit s ní pracovníky a to průkazným způsobem (např. školení, podpis). Bezpečnostní projekt, standardy – jde o různé pojmenování téhož – rozpracování principů, metod a opatření bezpečnostní politiky do detailní podoby. Termín projekt avizuje, že řešení každé části systému je samostatným procesem se svými vstupy a výstupy. Názornější je Obrázek 5. Například objektem bezpečnosti bude vzdálený přístup do firemní počítačové sítě. Pak musí být ošetřena rizika s takovým přístupem související (definovaná již v analýze rizik) a zajištěna požadovaná úroveň bezpečnosti (šifrování komunikace, délka klíčů apod.) – na řešení se podílí bezpečnostní management, tým řešitelů i pracovníci firmy, kterých se to týká. Termín standard napovídá, že jde také o dokument, tj. výsledkem projektu jsou vedle technických opatření také opatření organizační ve formě závazných interních dokumentů společnosti (normy, směrnice, definované postupy apod.). 10

Nebo může být jen jedním z dokumentů – viz [GAL1] v komplexním pohledu na vývoj IS. Bezpečnostní politika organizace, která přichází ke styku s utajovanými skutečnostmi, je dokonce definována zákonem č. 148/1998 Sb., resp. příslušnou vyhláškou NBÚ 263/1998 Sb.

- 20 -


Jindřich Hlaváč

Projekty představují naplnění závěrů bezpečnostní politiky firmy. Výsledkem jsou konkrétní opatření: organizačně-administrativní a technická. Patří sem opatření typu „na zadní dveře dáme patentní zámek, do prodejny pohybové čidlo s kamerou a ke kase časový zámek“, stejně jako rozhodnutí, jaké šifrovací klíče budou ve firmě použity pro přenos dokumentů mezi pobočkami.

Obrázek 5: Bezpečnostní projekt

Zdroj: [ROD]

Náležitosti bezpečnostního projektu pro potřebu státní správy jsou popsány v části 3.1.5 o právní úpravě ochrany informací v ČR. Obsah projektu podle příslušné vyhlášky je inspirativní i pro firemní sféru. Implementace bezpečnosti je uvedení bezpečnostní politiky a standardů do praxe. Přestože se tento krok zdá být samozřejmým, uvádí se, protože ve většině firem je nezbytné proces řešení bezpečnosti řídit, např. všechny bezpečnostní projekty by měly mít definováno [INFB]: cíl a účel, prioritu řešení, popis výstupů, popis projektových etap, návaznost na další projekty, předpoklady a rizika, odhad ceny a časové náročnosti. Tato formalizace pomůže efektivně nakládat s firemními zdroji a je podkladem pro vedení firmy, které má možnost kontroly průběhu projektů (účast vedení přispívá k prosazení nepopulárních, ale nutných změn). Na rozdíl od bezpečnostní politiky, která je dostatečně obecná, je třeba u standardů reagovat na změny mající vliv na informační bezpečnost a v případě změny je aktualizovat.

- 21 -


Jindřich Hlaváč

Obrázek 6: Kontinualita procesu řešení IB

Zdroj: [ROD]

Hodnocení, monitoring a audit Hodnocení a sledování stavu informační bezpečnosti ve firmě je kontinuální proces, jak je vidět z obrázku (Obrázek 6). Je třeba určit kritéria, podle kterých bude hodnocení probíhat. Kromě obecných kritérií, která se odvozují od zabezpečení dané třídy a kvality, existují i kritéria speciální se vztahem ke konkrétní organizaci. Východiskem jsou bezpečnostní cíle stanovené ve studii informační bezpečnosti nebo při posledním hodnocení. Další možností je jednorázové hodnocení – audit. Obvykle jej provádí nezávislá specializovaná firma. Provádí analýzu požadavků, analýzu rizik a hodnocení současného zabezpečení. Závěrečný dokument obsahuje verdikt (v nejjednodušším případě slova „vyhovuje“, „vyhovuje s výhradami“ anebo „nevyhovuje“), popis problémových oblastí včetně opatření pro odstranění bezpečnostních rizik. Průběžné hodnocení stavu bezpečnosti ve větší firmě vykonává bezpečnostní management nebo interní útvar auditu. Školení vytváří podmínky pro zvyšování bezpečnostního vědomí u pracovníků firmy. Sledování a hodnocení je nedílnou součástí procesu řízení informační bezpečnosti. Absence nebo nedostatečná úroveň sledování bývá příčinou, že bezpečnostní incidenty zůstávají dlouho neodhaleny a vzniklé škody jsou mnohem vyšší než u včas odhalených incidentů. Monitoring by měl být primárně zaměřen na oblasti s nejvyšším rizikem a další klíčové oblasti činnosti firmy. Musí existovat vazba mezi výsledky monitoringu a plánováním auditu, stejně jako mezi výsledky auditu a plánováním monitorovacích aktivit. Na závěr této části bych rád upozornil na význam bezpečnostní dokumentace IS, kterou tvoří projektová a provozní dokumentace [ITNET]. Do projektové bezpečnostní dokumentace spadá: •

bezpečnostní politika IS a vyhodnocení analýzy rizik,

•

návrh bezpečnostních opatření pro jednotlivé fáze návrhu IS,

•

dokumentace k testům bezpečnosti IS.

Do provozní bezpečnostní dokumentace spadá: •

bezpečnostní směrnice IS, která popisuje činnost pracovníka pověřeného bezpečností IS,

•

bezpečnostní směrnice pro jednotlivé typy uživatelů IS. - 22 -


Jindřich Hlaváč

3.1.3 Stav bezpečnosti v českých firmách Realizace bezpečnostní politiky není levná a proto pro většinu firem nebývá záležitostí nejvyšší priority. Předpokládáme-li totiž [viz ROD], že cena běžného informačního systému je 100 jednotek, pak zabezpečený systém, plnící z hlediska uživatele stejné funkce, bude stát 300 i více jednotek. Systémy se zvláštním určením (bezpečnostní složky, bankovní sektor) stojí až 1000 jednotek. Jaká je úroveň informační bezpečnosti v českých firmách? Zatímco fyzickému zabezpečení (zejména peněz) se věnuje každá firma, o svá informační aktiva se stará méně. Čím dál více firem využívá výhod internetu a opomíjí nebezpečí, která tuto „otevřenost“ provázejí. Nejde jen o viry, ale i o možnost krádeže dat pomocí veřejných sítí. V následujících odstavcích si řekneme, jaké hrozby se vyskytují nejčastěji a jak se k informační bezpečnosti staví české firmy. Situace ve vnímání informační bezpečnosti se v českých firmách za poslední tři roky zlepšila. Dokazuje to průzkum, který provedl Národní bezpečnostní úřad, PricewaterhouseCoopers a časopis DSM (Data Security Management) a z kterého budu vycházet [PSIB], [PWC]. Státní sektor

Průzkum proběhl v roce 2001 již podruhé (poprvé v roce 1999) a proto bude zajímavé sledovat změny a trendy. Zaměřil se opět na střední a velké organizace se 100 a více zaměstnanci (61 % firem má do 500 zaměstnanců). Byl veden formou anonymních dotazníků, který obsahoval 55 otázek. Vráceno bylo 358 dotazníků.

IT/telekom. Finance/banky Strojírenství Energetika Chemie Ostatní prům. Služby/prodej

Obrázek 7: Respondenti dle oboru

Zdroj: [PSIB]

Na obrázku (Obrázek 7)je vidět v jakém oboru působí dotazované firmy. Nejvyšší podíl má strojírenství, státní správa a služby. Překvapivý je malý podíl ICT. V minulé podkapitole jsem představil dokument bezpečnostní politika. Podle [PSIB] ji má zpracováno jen 43 % dotázaných firem, což je nárůst o osm procent oproti roku 1999. Tomu odpovídá fakt, že 54 % respondentů říká, že v jejich společnosti se informační bezpečnosti nevěnuje dostatečná pozornost. Bezpečnostní politiku (BP) mají zpracovanou zejména společnosti působící v bankovnictví a finančnictví, ITC, státní správě a službách, přičemž k nejvyššímu nárůstu došlo ve státním sektoru. Stejně jako v roce 1999 většina bezpečnostních politik pokrývá fyzické zabezpečení, zabezpečení sítí a provoz IS. Vývoj a změny IS (vedle provozu klíčové aktivity v oblasti IT) jsou překvapivě součástí jen asi každé čtvrté politiky [PSIB]. Zajímavé je, že nakládání s citlivými informacemi (oblast našeho zájmu) upravuje celých 63 % bezpečnostních politik. Jak jsme si v předchozí části řekli, proces řešení informační bezpečnosti nekončí přijetím bezpečnostní politiky, ale podstatné je její rozpracování do projektů (standardů). Jinak nejsou realizována žádná konkrétní opatření a z politiky se stane jen další zbytečný dokument. Přesto přibližně třetina respondentů přiznala, že (většinou) nemá rozpracovány jednotlivé oblasti BP do standardů a procedur. Obrázek 8: Typy ohrožení

- 23 -

Zdroj: [GAL1]


Jindřich Hlaváč

Významná je informace o typech bezpečnostních incidentů. Na obrázku (Obrázek 9) je vidět, že nejvyšší měrou se podílejí technické nehody související s hardwarem. Když se podíváme na nejčastější incidenty lépe, vidíme, že naprostá většina případů jsou neúmyslné nehody a chyby (Obrázek 8). Útok virů je z hlediska tvůrce samozřejmě úmyslným útokem, z hlediska odpovědného pracovníka ve firmě (správce sítě, útvar bezpečnosti) jde o nedbalost. Bezpečnostní politika právě stanoví, kdo je za jaké incidenty zodpovědný a jak jim předcházet.

výpadek proudu porucha HW počítačový virus chyba uživatele chyba SW selhání LAN selhání WAN chyba administrátora krádež zařízení nepovolený přístup – zevnitř zneužití zařízení nepovolený přístup – zvenčí přírodní katastrofa

85 74 71 61 48 40 32 26 17 10 6 6 5 0

20

40

60

80

100

Obrázek 9: Typy bezpečnostních incidentů

Zdroj: [PSIB]

Co se týče trendů, od roku 1999 poklesl výskyt technických incidentů a krádeží, vzrostl počet chyb uživatelů (krácení zdrojů do IT se chybně často řeší rušením školení zaměstnanců) a nepovoleného přístupu k datům zvenčí organizace. Vedení firem a manažery bezpečnosti zajímá ovšem ještě více jaké škody incidenty způsobují. Tato informace je významná pro průběžnou analýzu provozu, na jejímž základě se přehodnocují rizika, stanovuje rozpočet pro útvar (informační) bezpečnosti apod. Na grafu (Obrázek 10) vidíme, jaké

Obrázek 10: Dopad bezpečnostních incidentů

- 24 -

Zdroj: [PSIB]


Jindřich Hlaváč

incidenty měly největší negativní dopady na organizaci. Vidíme, že i zde vedou neúmyslné incidenty a je s podivem, že tak častý incident výpadek proudu není ve firmách řešen jednoduchou instalací náhradního zdroje UPS. Oproti roku 1999 dvojnásobně vzrostlo zastoupení incidentu chyba uživatele, pokles je u přírodních katastrof (původně šlo o záplavy v roce 1997). S prokazatelnými přímými finančními dopady (např. oprava nebo náhrada zařízení) bezpečnostních incidentů se setkalo 41 % organizací, průměrná výše těchto dopadů činí 415 000 Kč [PSIB]. Jak vyplývá z grafu (Obrázek 11), největší průměrný přímý finanční dopad měly tyto incidenty: selhání WAN, přírodní katastrofa, porucha hardwaru a chyba administrátora nebo obsluhy. Všechny organizace, které uvedly nepovolený přístup zvenčí jako nejvážnější incident se shodly, že incident neměl žádné přímé dopady, ale vždy měl prokazatelné nebo dokonce významné nepřímé negativní dopady (poškození pověsti, ztráta zákazníků). Nepřímé dopady se ve více než polovině případů vyskytují rovněž u přírodní katastrofy, chyby administrátora nebo obsluhy, selhání WAN a zneužití zařízení [PSIB].

Obrázek 11: Průměrné přímé a nepřímé dopady

Zdroj: [PSIB]

Zajímavý je i následující graf (Obrázek 12), který ukazuje, které zdroje incidentů pokládají české firmy za nejvážnější hrozby. Jsou jimi internet a vlastní uživatelé. U internetu došlo k nárůstu z 42 % na 56 % a nahradil uživatele na prvním místě pomyslného žebříčku, kde byli v roce 1999. Neadekvátní technická infrastruktura nebo zastaralé technologie představují hrozbu pro stále méně organizací, došlo k poklesu z 22 na 12 % [PSIB].

Obrázek 12: Největší hrozby z hlediska bezpečnosti

- 25 -

Zdroj: [PSIB]


Jindřich Hlaváč

Výzkum [PSIB] přináší i údaje ohledně užívaných bezpečnostních prostředků (logické a fyzické zabezpečení, plány obnovy funkčnosti apod.), ale já se zmíním jen o některých, které se mi zdají relevantní k obsahu práce či něčím zajímavé. Jak již bylo řečeno výše, s výhodami komunikačního, transportního a obchodního kanálu, jakým je internet, přichází i určité hrozby. Na dalším grafu (Obrázek 13) je vidět, že stěžejním problémem jsou a budou (šipka za grafem ukazuje vývoj trendu) počítačové viry. Zneužití internetu a e-mailu vlastními zaměstnanci (pro osobní účely), neautorizovaný přístup do systému a poškození obsahu WWW stránek je u nás stále poměrně málo častý jev.

Obrázek 13: Incidenty související s internetem

Zdroj: [PSIB]

Organizace zabezpečují přístup k internetu zejména pomocí firewallu (76 % společností), kontrolují na přítomnost virů (68 %) a existují i interní směrnice upravující používání internetu (43 %). Dochází také k monitorování činnosti zaměstnanců na internetu (40 %) a někde i obsahu elektronické pošty (10 %). Fyzické oddělení internetu od vnitřní sítě jako bezpečnostní prostředek (popravdě řečeno účinný) používá 25 % firem (trend je však klesající, protože spíše roste potřeba interakce a integrace sítí), web server zabezpečuje 23 % procent oslovených firem. Rozšířenosti firewallu zřejmě pomáhá fakt, že některé softwarové FW se šíří zdarma ve formě freeware (ZoneAlarm). Shrnutí [PSIB] •

Oproti roku 1999 zřetelný posun v řešení bezpečnosti.

•

Přes 40 % organizací bylo v uplynulých dvou letech postiženo bezpečnostními incidenty s prokazatelně přímými finančními dopady. Jejich průměrná výše přesáhla 400 000 Kč.

•

Mezi incidenty, se kterými se organizace nejčastěji setkávaly, patří: výpadky proudu, poruchy hardware, počítačové viry, chyby uživatele a chyby programového vybavení. Nepovolený přístup k datům zvenčí byl incident s největším relativním nárůstem oproti roku 1999, postihl třikrát více organizací.

•

Vlastní uživatelé zůstávají jednou z největších hrozeb. Klesá počet „technologických“ incidentů.

•

Internet je hybným motorem podnikání a zároveň největší hrozbou bezpečnosti. Počet zaměstnanců s přístupem na internet vzrostl ze 17 % na 32 %.

•

Výrazně vzrostl výskyt virů v elektronické poště, z 62 % na 89 % a stále roste. Zdvojnásobil se ale také počet organizací používajících antivirové zabezpečení z 34 % na 68 %.

- 26 -


Jindřich Hlaváč

•

Zdvojnásobil se počet organizací s interními směrnicemi na používání internetu z 22 % na 43 %.

•

Řešení bezpečnosti vlastními silami (oproti spolupráce s externím partnerem) preferovalo v roce 1999 polovina organizací, nyní jen 10 %. Každá sedmá firma má vyhrazen rozpočet na bezpečnost, který představuje průměrně 10 % celkové výše rozpočtu IS/IT.

•

V roce 1999 38 % podniků uvedlo, že v uplynulých 12 měsících dělali analýzu rizik, zatímco nyní již 60 %.

•

Bezpečnostní politiku mělo zpracováno 35 % firem oproti dnešním 43 %. (Připočítává se pozitivní vliv působnosti zákonů o ochraně osobních údajů a utajovaných skutečností).

•

Klesá význam financí jako překážky řešení bezpečnosti, roste tlak na top-management organizací.

Poslední graf (Obrázek 14) navazuje na výše uvedené závěry a ukazuje kde vidí firmy největší překážky rychlejšího prosazování informační bezpečnosti v ČR.

Obrázek 14: Největší překážky prosazování IB v ČR

Zdroj: [PSIB]

Obecně nízké bezpečnostní vědomí zůstává největší překážkou rychlejšího prosazování informační bezpečnosti a oproti roku 1999 zde dochází dokonce k mírnému nárůstu. Překvapivě se snížil význam finanční náročnosti. Nedostatečná podpora ze strany vedení se naopak stala významnou překážkou pro více společností (nárůst ze 13 na 21 %).

- 27 -


Jindřich Hlaváč

3.1.4 Stav bezpečnosti v zahraničních firmách Pro srovnání údajů z minulé kapitoly s realitou v zahraničí použiji průzkum časopisu Information Security [INFS]: Industry Survey 2001. Odpovědi zaslalo přes 2500 vybraných předplatitelů newsletteru Security Wire Digest a zpracoval je právě časopis Information Security ve spolupráci s firmami TruSecure (www.trusecure.com) a Predictive Systems (www.predictive.com). Respondenti byli zejména z oborů ICT, státní správy a bankovnictví. Další použitý průzkum [CSI] 2001 CSI/FBI Computer Crime and Security Survey je od Computer Security Institutu a FBI. Založen na 538 vyplněných dotaznících z amerických firem. Respondenti byli zejména z těchto oborů: 27 % ICT, 17 % finance, 17 % státní správa (na všech úrovních), 10 % průmyslová výroba, 7 % zdravotnictví, 3 % energetika atd. Vidíme, že rozložení oborů není příliš shodné s českým zastoupením, ale i v tomto výzkumu je významná část respondentů ze státní správy, průmyslu a finančnictví. Vyšší zastoupení než v českém průzkumu má zejména ICT, finance a zdravotnictví. Obrázek 15 ukazuje kolik procent respondentů se setkalo s daným typem vnitrofiremního incidentu (porušení předpisů)11. Po řádcích:

Obrázek 15: Vnitrofiremní incidenty

Zdroj: [INFS]

11

•

Instalace/užívání neautorizovaného (nepovoleného) SW.

•

Používání firemní výpočetní techniky pro nezákonné nebo nedovolené aktivity nebo komunikaci (hledání erotického obsahu, spam).

•

Užívání firemní výpočetní techniky pro osobní potřebu (hraní hazardních her, spam, správa svých vlastních výdělečných www

Mezi „interní“ pracovníky patří podle tohoto výzkumu zaměstnanci na plný i částečný úvazek, dočasně nasmlouvaní zaměstnanci, konzultanti, partneři firmy i dodavatelé. Jde o subjekty s vlastními právy přístupu k systému.

- 28 -


Jindřich Hlaváč

stránek, online investování). •

Narušení zabezpečení přístupu k počítači.

•

Fyzická krádež, sabotáž a úmyslné ničení počítačového vybavení.

•

Instalace/užívání neautorizovaného (nepovoleného) HW/periférií.

•

Krádež provedená elektronickými prostředky, sabotáž nebo úmyslné zničení/prozrazení dat či informací.

•

Podvod.

Z výčtu je vidět, že v zahraničí mnohem přísněji a pečlivěji sledují k jakým událostem došlo. Zaměstnavatelé si uvědomují, že hrozbou je i to, že si zaměstnanec instaluje bez povolení různý software či hardware, čímž ohrožuje integritu operačního systému, provoz sítě, stabilitu počítače apod. Zajímavé je, že zde nenajdeme položky jako „porucha HW“, „selhání LAN“ nebo „výpadek proudu“. Znamená to, že k němu nedochází nebo že je incident schován pod jinou položkou? Zřejmě zde nejsou zahrnuty neúmyslné incidenty. Významný je podíl „zneužívání počítače k osobním účelům“. Zřejmě zahraniční organizace více sledují, jak jejich zaměstnanci využívají firemní prostředky. Obrázek 16 znázorňuje kolik procent respondentů se setkalo s daným typem vnějšího ohrožení. Po řádcích: •

Viry, trojské koně, červi (jde o typy počítačových virů).

•

Útoky na WWW servery (pomocí známých chyb).

•

Odmítnutí služby.

•

Útoky využívající „přetečení zásobníku“.

•

Zneužití aktivních skriptů (spouštění škodlivého kódu na straně klienta).

•

Útoky vedené na nedostatky (komunikačního) protokolu.

•

Útoky vedené na nedostatečně chráněná hesla.

chybu

I zde je vidět, s jakou podrobností v zahraničí bezpečnostní incidenty zaznamenávají a rozlišují. Potvrzuje se význam virového nebezpečí.

Obrázek 16: Incidenty způsobené externími faktory Zdroj: [INFS]

- 29 -

Je hlášeno [dle INFS] více vnitřních hrozeb než externích, přestože by se mohlo zdát, že jsou více pod kontrolou. Také obvykle představují vyšší finanční újmu – ztráta dat nebo odstávka serveru ohrožuje vlastní činnost firmy.


Jindřich Hlaváč

Největšími překážkami v řádném zabezpečení dle [INFS] je zejména: nedostatečný rozpočet pro inf. bezpečnost, nízké bezpečnostní vědomí uživatelů a nedostatečná podpora ze strany vedení organizace. Překážky jsou tedy stejné jako v českém průzkumu, jen pořadí je jiné (srovnání s údaji, které přináší Obrázek 14).

Obrázek 17: Typy útoků a zneužití detekovaných v posledních 12 měsících v procentech Zdroj: [CSI]

Po řádcích (Obrázek 17): •

Odmítnutí služby,

•

krádež laptopu,

•

cílený průnik do síťové komunikace,

•

telefonní podvody,

•

nepovolený přístup zevnitř,

•

viry,

•

finanční podvody,

•

zneužití přístupových práv k síti,

•

průnik do systému,

- 30 -


•

telefonní odposlech,

•

sabotáž,

•

krádež soukromých informací.

Jindřich Hlaváč

Na grafu (Obrázek 17) je vidět jak se v průběhu pěti let mění struktura a četnosti jednotlivých typů bezpečnostních incidentů. Potvrzuje se stále vyšší četnost virových útoků a opět roste zneužití přístupových práv k síti (ale významně poklesl počet neautorizovaných přístupů). Zásadně vzrostl počet průniků do systému (nejvyšší nárůst) a poprvé se zde objevuje problém krádeže přenosného počítače (v ostatních výzkumech není explicitně vyjmenován).

Obrázek 18: Finanční ztráty podle typu útoků a zneužití v dolarech Zdroj: [CSI]

Označení útoků v dalším grafu (Obrázek 18) jsou téměř shodné jako na obrázku předchozím a tak jen stručně po řádcích přeložím: nepovolený přístup zevnitř, finanční podvod, tlf. podvod, krádež privátních informací, vir, krádež laptopu, zneužití přístupových práv v síti, odmítnutí služby, sabotáž, průnik do systému, tlf. odposlech, cílený průnik do síťové komunikace. Graf je významný tím, že ukazuje konkrétní finanční dopad jednotlivých bezpečnostních incidentů. Nejvýraznější je položka „krádež soukromých informací“, která stála podniky přes 150 milionů dolarů. Musíme si uvědomit, že zde nejde ani tak o krádež osobních informací typu jméno, rodné číslo a rodinný stav, ale o ztrátu důvěrných firemních informací. Nedozvíme se, o jaké informace přesně jde, ale můžeme předpokládat, že se jedná o strategicky významné údaje přímo související s podstatou podnikáni firmy. - 31 -


Jindřich Hlaváč

Mohlo by se zdát, že tak vysoká částka je zapříčiněna velkým počtem těchto útoků, ale když se podíváme na Obrázek 17, zjistíme, že tento typ útoku uvádí pouze 26 % respondentů. Na jiném grafu (Obrázek 19) se zase uvádí, že tento typ útoku jako příčinu finančních ztrát reportovalo jen 72 z 344 respondentů (zatímco ztráty způsobené virem, což je nejčastější příčina, v roce 2001 hlásilo 319 respondentů z 344). Z toho plyne, že přestože tento útok přiznává jen čtvrtina respondentů a finanční dopad přiznává asi jen 21 % respondentů12, představuje nejvyšší (průměrné) ztráty. Nutno dodat, že zmíněná částka představuje odhad nepřímých nákladů, jelikož je těžké vyčíslit ztrátu důvěry zákazníků (nejde jen o stávající, ale i o potenciální zákazníky). To je jeden z důvodů, proč informace chránit a proč se zabýváme klasifikací informací (aby byly příslušné informace ohodnoceny a chráněny). Na dalším místě v žebříčku vyčíslených finančních ztrát se objevují ztráty způsobené finančními podvody (přitom jen 12 % respondentů tento útok zaznamenalo), viry (zde jde o menší průměrné škody, ale velké množství útoků) a zneužití přístupu k internetu.

Obrázek 19: Kolik respondentů přiznává finanční ztráty (dle typu útoku)

12

Zdroj: [CSI]

Nutno říci, že ne na všechny otázky odpovědělo stejné množství respondentů (tj. dochází k různé vypovídací schopnosti grafů). Tento údaj najdete vpravo dole pod grafem. Např. nějakou finanční ztrátu přiznává 344 respondentů (celkem 538 dotazníků), zatímco své ztráty vyčíslilo jen 186 respondentů (asi 34 %).

- 32 -


Jindřich Hlaváč

A jaké útoky tedy přinášejí nejvyšší průměrné ztráty? Podle [CSI] v roce 2001 to byla krádež informací (4,4479 mil. dolarů), finanční podvody (4,420738 mil. dolarů), s velkým odstupem tlf. podvody (0,502278 mil. dolarů), průnik do systému zvenčí (0,453967 mil. dolarů) a zneužití přístupu k síti (0,357160 mil. dolarů). Na závěr bych ukázal graf (Obrázek 20) znázorňující důvody napadení firemních WWW stránek jak vypovídá zpráva [CSI]: Na svislé ose jsou procenta respondentů, na vodorovné zleva sloupce představují: vandalismus, finanční podvody, odmítnutí služby a krádež transakce (průnik do transakce třetí stranou).

Obrázek 20: Typy napadení WWW stránek

Zdroj: [CSI]

Je vidět, že většina útoků na webové prezentace jsou jen projevem vandalismu útočníků, kteří si většinou chtějí dokázat, že to dokáží. Často jde o amatéry, kteří k útoku použijí předpřipravené programy a skripty. Většina takových je také za útoky na servery, jejichž cílem je jejich zahlcení – tento typ se nazývá odmítnutí služby. Server dostává obrovské množství požadavků na nějakou službu, které není schopen zpracovat. Tento typ útoku již není tak nevinný, protože způsobuje nedostupnost dané služby, což přináší jejímu provozovateli přímou finanční ztrátu (např. e-shop, objednávky letenek apod.), dále nutnost server odpojit a nahradit (zvýšené náklady na správu) a samozřejmě ztrátu důvěry zákazníků. Zbylé relativně málo časté útoky jsou již vážné útoky na majetek firem či jejích zákazníků a nízký počet lze přisuzovat zejména zvýšené péči o ochranu transakcí, které souvisí s převodem peněz. Používá se šifrovaných přenosů a pro útočníka není tak lehké takové transakce napadnout. Ze zprávy [CSI] ještě vyplývá závažná skutečnost, že řada (kolem 40 %) respondentů ani neví, odkud byl útok veden, zda zevnitř či zvenčí organizace! Roste podíl útoků prostřednictvím stálého připojení k internetu na úkor vytáčeného připojení a útokům zevnitř firmy. Dále je zajímavé, že nejvyšší počet předpokládaných zdrojů útoků připadá stejnou měrou na nezávislé hackery a na nespokojené zaměstnance! Až na dalších místech jsou konkurenční firmy. 78 % respondentů přiznalo finanční ztráty z útoků, ale jen 37 % je umělo (chtělo?) vyčíslit.

- 33 -


Jindřich Hlaváč

3.1.5 Právní úprava ochrany informací v ČR V části 3.1.3 bylo řečeno, že česká právní úprava napomáhá ochraně informací ve firmách. Podívejme se tedy, o jaké zákony jde a co je jejich obsahem. Začneme-li logicky u obchodního zákoníku, který definuje obchodní tajemství13, zjistíme, že jeho ochrana je velmi slabá. Podnikatel má právo s tímto tajemstvím nakládat, udělovat svolení k jeho užití a stanovit podmínky takového užití. Součástí výkonu práce ale není povinnost zaměstnanců informace chránit. Zachovávat mlčenlivost i po ukončení pracovního poměru je dáno zákonem jen pro utajované skutečnosti14. Zajistit utajení citlivých informací zaměstnanci lze pouze pomocí pracovní smlouvy. Sankce za nedodržení jsou vymahatelné jen soudní cestou. Proti porušení nebo ohrožení práva na obchodní tajemství přísluší podnikateli právní ochrana jako při nekalé soutěži. Obchodní zákoník se nezmiňuje o tom, co je odpovídající způsob utajení (a ochrany) obchodního tajemství.

3.1.5.1 Ochrana utajovaných skutečností Ochrana utajovaných skutečností je právně zajištěna několika právními normami. Základem je zákon 148/1998 Sb. o ochraně utajovaných skutečností. Dále je důležité nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností a několik dalších vyhlášek. Strukturu právní úpravy si tak můžeme představit jako jednoduchou stavbu (Obrázek 21).

Obrázek 21: Zákonná úprava ochrany utajovaných skutečností

Zdroj: [ROD]

13

[Obchodní zákoník, § 17]: Obchodní tajemství tvoří veškeré skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu, nejsou v příslušných obchodních kruzích běžně dostupné, mají být podle vůle podnikatele utajeny a podnikatel odpovídajícím způsobem jejich utajení zajišťuje. 14

Utajovaná skutečnost je taková skutečnost, se kterou by neoprávněné nakládání mohlo způsobit újmu zájmům ČR, a která je uvedena v seznamu utajovaných skutečností.

- 34 -


Jindřich Hlaváč

Zákon o ochraně utajovaných skutečností15 vymezuje skutečnosti, které je nutno v zájmu České republiky utajovat (dále jen utajované skutečnosti), způsob jejich ochrany, působnost a pravomoc orgánů státu při výkonu státní správy v oblasti ochrany utajovaných skutečností, povinnosti orgánů státu, práva a povinnosti fyzických a právnických osob a odpovědnost za porušení povinností stanovených tímto zákonem a upravuje postavení Národního bezpečnostního úřadu, který je ústředním orgánem ČR pro oblast ochrany utajovaných skutečností (dále jen NBÚ). Co nás bude zajímat je, že utajované skutečnosti se klasifikují do těchto stupňů utajení (v závorce zkratka): a) přísně tajné (PT), b) tajné (T), c) důvěrné (D), d) vyhrazené (V). Klasifikace utajovaných skutečností do těchto stupňů se provádí na základě velikosti újmy, ke které by došlo v případě neoprávněného nakládání (vyzrazení, zneužití, poškození, znehodnocení, zničení, porušení ochrany nebo ztráta)16 s utajovanými skutečnostmi. Důležitou součástí právní úpravy je již zmíněné nařízení vlády17, které obsahuje seznamy utajovaných skutečností. Dokud se nějaká skutečnost nestane položkou v tomto seznamu, nelze ji ve smyslu zákona utajovat. Co se stane utajovanou skutečností navrhují ústřední úřady (ministerstva, BIS, Vojenské zpravodajství, ČNB, Kancelář prezidenta atd.), které návrh předají NBÚ. Ten seznam vytvoří a vláda jej jako legislativní akt vydá. Nejdůležitější vyhláškou je vyhláška NBÚ č. 244/1998 Sb., o podrobnostech stanovení a označení stupně utajení a o postupech při tvorbě, evidenci, přenášení, přepravě, zapůjčování, ukládání, jiné manipulaci a skartaci utajovaných písemností18. Název obsah vyhlášky dobře vystihuje. Popisuje stupně utajení, říká co se kde musí evidovat, jak a v čem přenášet a uschovávat atd. Zákon 148/1998 Sb. definuje pojmy objektová, technická, administrativní a personální bezpečnost. Podrobnosti jsou uvedeny v příslušných vyhláškách. Vyhláška NBÚ 339/1999 Sb. o objektové bezpečnosti stanoví způsob zabezpečení ochrany objektů, technické prostředky, použití technických prostředků, podmínky nasazení fyzické ostrahy a režimová opatření pro účely objektové bezpečnosti. Vyhláška NBÚ 12/1999 Sb. o zajištění technické bezpečnosti utajovaných skutečností a certifikaci technických prostředků19 stanoví způsob použití technických prostředků při ochraně utajovaných skutečností, certifikaci technických prostředků a náležitosti certifikátů. Administrativní bezpečnost tvoří systém opatření, jehož cílem je ochrana utajovaných skutečností při jejich tvorbě, příjmu, evidenci, zpracovávání, přepravě, ukládání, vyřazování, skartaci a archivaci, případně i jiné manipulaci (je zmíněno ve výše uvedené vyhlášce 244/1998 Sb.). Cílem personální bezpečnosti je, aby se s utajovanými skutečnostmi seznamovala pouze fyzická osoba, která je nezbytně nutně potřebuje k výkonu své činnosti, bylo jí vydáno osvědčení nebo bezpečnostní oprávnění. Proto byla vydána vyhláška NBÚ č. 245/1998 Sb., o osobnostní způsobilosti

15

a o změně některých zákonů: 164/1999 Sb., 18/2000 Sb., 29/2000 Sb., 363/2000 Sb., 30/2000 Sb., 60/2001 Sb., 322/2001 Sb. 16

Za neoprávněné nakládání se rovněž považuje neoznačení utajované skutečnosti stupněm utajení nebo nesprávné stanovení stupně utajení utajované skutečnosti! 17

vydané jako 246/1998 Sb., v pozdějších zněních 89 a 152/1999 Sb.; 17,275 a 403/2001 Sb.

18

ve znění 338/1999 Sb. a 391/2001 Sb.

19

ve znění zákona č. 337/1999 Sb.

- 35 -


Jindřich Hlaváč

a vzorech tiskopisů používaných v oblasti personální bezpečnosti.20 Důležité je si uvědomit, že osoba prověřená pro stupeň T nemá automaticky právo seznamovat se se všemi utajovanými skutečnostmi klasifikovanými stupněm T. Důležité je, aby toto bylo v zájmu státu. Norma byla původně ještě doplněna o vyhlášku ministerstva zdravotnictví 315/1998 Sb., o zdravotní způsobilosti. Ta ovšem byla zrušena vyhláškou téhož ministerstva č. 428/2000 Sb. Soustavu doplňuje metodický materiál NBÚ Určování fyzických osob ke styku s utajovanými skutečnostmi. Do styku s utajovanými skutečnostmi mohou přijít i fyzické osoby, které nejsou státními zaměstnanci, ale třeba pracovníky firmy, která získala státní zakázku. Organizace, která se tak stává partnerem státu a v níž se mohou zpracovávat (vznikat, používat se, likvidovat) utajované skutečnosti, má své povinnosti a musí splňovat určité požadavky na ochranu informací. Ta jsou uvedena ve vyhlášce NBÚ 263/1998 Sb., kterou se stanoví způsob a postup ověřování bezpečnostní spolehlivosti organizace. Zpřesňuje se v zákoně definovaná množina bezpečnostní dokumentace (bezpečnostní politika a projekt), nástroje pro prosazování bezpečnosti apod. Výzkum [PSIB], z kterého jsem vycházel v podkapitole 3.1.3 se zajímal i o chování firem vzhledem k zákonu o utajovaných skutečnostech. Tři čtvrtiny organizací si myslí, že se jich tento zákon netýká. Ze zbylé čtvrtiny má již 16 % společností ukončenou bezpečnostní prověrku a u 42 % bezpečnostní prověrka právě probíhá. Jestliže se utajované skutečnosti mohou vyskytovat v informačních systémech, řeší tuto situaci vyhláška NBÚ č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. Takové IS musí být certifikovány v NBÚ (nebo jím pověřenou organizací), který stanoví požadavky na bezpečnost IS. Podle [PSIB] má ukončenou certifikaci IS podle této vyhlášky 12 % organizací, u 28 % proces certifikace právě probíhá. Ukončená certifikace se přitom ve většině případů týká organizací ze státního sektoru. Když se hovoří o přepravě informací kategorie T a PT, je vyžadována kryptografická ochrana podle vyhlášky NBÚ č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu.21

3.1.5.2 Principy zajištění bezpečnosti dle zákona č. 148/1998 Sb. Nový systém ochrany utajovaných skutečností vychází ze dvou základních principů: •

utajovat jen to nejnutnější, ale co nejkvalitněji,

•

seznamování s utajovanými skutečnostmi povolit jen těm osobám, které je nezbytně potřebují znát při výkonu svého povolání v zájmu státu.

Jako základní dokumenty bezpečnosti stanoví zákon bezpečnostní politiku (BP) a projekt. BP je písemný dokument obsahující souhrn bezpečnostních, řídících a kontrolních opatření k zabezpečení ochrany utajovaných skutečností. K realizaci bezpečnostní politiky zpracovává organizace bezpečnostní projekt. Ten musí dle zákona č. 263/1998 Sb. obsahovat: •

druh, rozsah a stupeň utajovaných informací,

•

pracoviště a místa, kde se budou utajované skutečnosti vyskytovat,

•

možná rizika ohrožení utajovaných skutečností,

•

způsoby použití prostředků ochrany a stanovení zodpovědnosti za jejich uplatnění,

•

organizační doporučení pro realizaci bezpečnostního projektu,

•

kontrolní opatření,

20


21


- 36 -


Jindřich Hlaváč

•

časový harmonogram realizace,

•

materiální a finanční nároky,

•

u prověřených osob stupeň, pro jaký byly určeny.

Opatření bezpečnosti definované v projektu lze dělit dle ve smyslu zákona č. 148/1998 Sb. do těchto skupin: •

administrativní,

•

personální,

•

technické,

•

objektové,

•

informačních systémů,

•

kryptografické ochrany informací.

Tohoto členění se užívá při nakládání s utajovanými skutečnostmi a jakékoliv bezpečnostní opatření bude spadat do některé z těchto kategorií. Kontrolují se při auditu bezpečnosti a také se o ni zajímá NBÚ při hodnocení bezpečnosti organizace. O některých z nich jsme si říkali výše u příslušných vyhlášek, na tomto místě si řekněme ještě některé podrobnosti. Administrativní bezpečnost Organizace musí mít přesné záznamy o pohybu utajovaných skutečností, které jí byly svěřeny. Používají se proto administrativní pomůcky jako: •

jednací protokol (kniha pro evidenci utajované písemnosti),

•

pomocný jednací protokol (kniha zaznamenávající pohyb písemnosti po organizaci),

•

manipulační kniha (kniha pro přebírání a předávání písemností),

•

doručovací kniha (kniha pro předávání utajované písemnosti),

•

zápůjční kniha (pro zaznamenávání zápůjček již uložené písemnosti).

Evidence se týká oprav evidenčního zápisu, náležitostí utajovaných písemností listinného i nelistinného charakteru, jejich opisů, kopií, překladů a výpisů. Vyhláška upravuje předávání a odesílání utajované písemnosti, doručení mimo objekt organizace, její přepravu kurýrní službou, poštou, technickými prostředky, přenášení písemností, ukládání, výpůjčku, zabezpečení, vyřazování skartační komisí, zabezpečení utajovaných skutečností při personálních změnách, při zániku orgánu státu nebo organizace a neoprávněné nakládání s utajovanou písemností. Objektová bezpečnost Jde o systém opatření, jimiž se určují podmínky, prostředky a způsoby zabezpečení ochrany objektů, použití technických prostředků, podmínky nasazení fyzické ochrany a stanovení režimových opatření. Objekty se podle v nich uložených utajovaných skutečností zařazují do stejných kategorií V, D, T, PT. Ochrana objektu se zajišťuje fyzickou ostrahou, mechanickými zábrannými prostředky, technickými zabezpečovacími prostředky, režimovými opatřeními a jejich vzájemnou kombinací. Technická bezpečnost Je to systém opatření k zabezpečení ochrany utajovaných skutečností prostředky, které mají zabránit nebo ztížit přístup nepovolané osobě k utajovaným skutečnostem. Jsou to zejména: •

mechanické bezpečnostní systémy, úschovné objekty (zámky, dveře, fólie, skla apod.),

- 37 -


Jindřich Hlaváč

•

elektronické zámkové zařízení a systémy pro zabezpečení vstupů do objektů sloužící k prokazování oprávněnosti, totožnosti i auditu,

•

zařízení elektrické zabezpečovací signalizace a požární signalizace (EPS, EZS),

•

speciální televizní systémy pro sledování pohybu osob a dopravních prostředků v objektech,

•

detektory (kovů, výbušnin, polovodičů),

•

zařízení fyzického ničení nosičů informací.

a zařízení

Technické prostředky musí být certifikované NBÚ nebo jím pověřenou organizací; zařazují se do kategorií V, D, T, PT, podle klasifikace utajované skutečnosti, kterou mají zabezpečit. Ostatní prostředky lze použít jen doplňkově a za podmínky, že jejich použitím nedojde ke snížení úrovně ochrany požadovaný pro daný stupeň utajení. Dokumentace k technickým prostředkům musí obsahovat: •

bezpečnostní projekt objektu (způsob a místo uložení utajovaných skutečností a způsob použití technického prostředku),

•

technickou dokumentaci,

•

plán ochrany objektu obsahující pokyny pro ochranu a likvidaci utajovaných skutečností v případě vzniku mimořádné situace.

Bezpečnost IS Je dána opatřeními k zabezpečení utajovaných skutečností v IS. Certifikace takového IS se týká vždy konkrétního systému v konkrétním provozním prostředí a to všech aspektů bezpečnosti. Příprava systému, aby byl certifikovatelný, zahrnuje analýzu rizik, návrh bezpečnostní dokumentace (systémová bezpečnostní politika, návrh její realizace v IS, návrh vhodných testů bezpečnosti, bezpečnostních směrnic), provádění auditů atd. Žádost o certifikaci, kterou předkládá provozovatel IS, musí obsahovat: stručný popis účelu a rozsahu IS včetně stanovení jeho běžných a minimálních funkcí; stupeň utajení informací, s nimiž bude IS nakládat; stanovení bezpečnostního provozního kódu informačního systému; identifikaci dodavatele IS. Požadavky na organizaci, kde mají být zpracovávány utajované skutečnosti v krátkosti jsou: 1. bezpečnostní prověrka - prověřovací proces zajišťuje: zda je organizace způsobilá zajistit ochranu utajovaných skutečností (dle zákona); zda je ekonomicky stabilní a zda je bezpečnostně spolehlivá, 2. zpracovaná bezpečností politika, 3. prověření pracovníci (oprávnění fyzických osob seznamovat se s utajovanými skutečnostmi). Máme tak k dispozici ucelený soubor právních norem, které regulují informace o utajovaných skutečnostech ve všech fázích jejich životního cyklu. Tedy od vzniku přes uskladnění, výběr lidí, kteří s nimi budou pracovat, výběr techniky až po likvidaci informací.

3.1.5.3 Ostatní právní normy K právním normám přispívajících k ochraně informací patří i zákon č. 227/2000 Sb., o elektronickém podpisu22. Zákon pracuje s termíny jako (zaručený) elektronický podpis, (kvalifikovaný) certifikát a poskytovatel certifikačních služeb, přičemž pro budoucí komunikaci se státní mocí je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty (ty musí splňovat přísnější podmínky). Zabezpečení je založeno na principech asymetrické kryptografie a registraci certifikačních autorit, které spravuje Úřad na ochranu osobních údajů. Podstatné jsou prováděcí vyhlášky k zákonu 22

a o změně některých dalších zákonů (zákon o elektronickém podpisu).

- 38 -


Jindřich Hlaváč

a to nařízení vlády č. 304/2001 Sb. a vyhláška Úřadu pro ochranu osobních údajů č. 366/2001 Sb. První ukládá povinnost vyjmenovaným úřadům státní správy zřídit elektronické podatelny a druhá řeší zejména otázky ohledně zabezpečení vydávání kvalifikovaných certifikátů a dalších. Tento zákon přináší možnost v budoucnu efektivněji komunikovat se státní správou (i v rámci státní správy samotné). Aby byl výčet kompletní, musím se zmínit o zákoně 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.23 Ten upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů a zřizuje Úřad na ochranu osobních informací, který dohlíží na jejich ochranu a elektronický podpis. Nakládání s osobními informacemi konečně podléhá určitému režimu. Nezáleží na způsobu zpracování, shromažďovat a zpracovávat je lze jen ke stanovenému účelu po nezbytně nutnou dobu a se souhlasem subjektu. To je důležité zejména pro firmy, které se sběrem informací živí. Musí s nimi nyní nakládat v souladu se zákonem a subjekt (občan) má právo odmítnout zpracování jeho osobních údajů. Také tento zákon podtrhuje význam bezpečnostní politiky ve firmě. Například pokud si správce dat najme firmu na zpracování údajů, musí s ním uzavřít písemnou smlouvu, kde musí poskytnout dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů. Takové záruky dává např. existence bezpečnostní politiky ve firmě. Popis opatření k zajištění požadované ochrany osobních údajů je také zpracovatel povinen doručit Úřadu v rámci oznamovací povinnosti. Výzkum [PSIB], z kterého jsem vycházel v části 3.1.3, se zajímal i o chování firem vzhledem k zákonu o ochraně osobních údajů. Zjišťoval, zda příslušná organizace zpracovává nebo bude zpracovávat údaje ve smyslu tohoto zákona (jež vyžadují registraci u Úřadu na ochranu osobních údajů). 32 procent firem nezpracovává osobní údaje, 30 procent ano a 38 procent společností ke dni uzávěrky průzkumu (8. 6. 2001) ještě nevědělo. Vliv tohoto zákona na informační bezpečnost však považuje celých 67 % společností za malý či žádný, ostatní si myslí, že vliv má velký.24 Na druhou stranu u organizací, kterých se aspoň jeden zákon týká, je větší pravděpodobnost, že mají zpracovanou a vedením přijatou bezpečnostní politiku a proškolují své zaměstnance – podrobněji viz graf (Obrázek 22).

Obrázek 22: Vliv zákonů na informační bezpečnost v organizaci

Zdroj: [PSIB]

Poznámka: Legislativa se stále mění, zmíněné poslední verze zákonů jsou platné v době, kdy je psána tato práce.

23

ve znění změn zákonů č. 227/2000 Sb., č. 177/2001 Sb. a č. 450/2001 Sb.

24

V podstatě shodný výsledek má názor dotázaných na vliv zákona o ochraně utajovaných skutečností na informační bezpečnost v organizacích.

- 39 -


Jindřich Hlaváč

3.1.6 Normy a standardy zabývající se informační bezpečností v zahraničí Standardy jsou prostředkem pro předávání znalostí, snižování nákladů a umožní spolupráci a kompatibilitu produktů. Můžeme standardy IT bezpečnosti členit do těchto skupin [CTVR]: •

základní standardy – pro obecné potřeby uživatelů (bezpečnostní architektura OSI, mechanismy autentizace entit apod.),

•

funkční standardy – pro zajištění a certifikaci produktů, vysvětlují obecný přístup k využití základních standardů (např. požadavky na autentizaci dat, základům integrity apod.),

•

kritéria hodnocení – pro hodnocení produktů a systémů (např. TCSEC, ITSEC, CC),

•

průmyslové standardy a postupy – technické a procedurální standardy vyžadované průmyslovým oborem, skupinami uživatelů nebo společností (např. bankovní standardy).

Potřeba standardizace rostla s rozvojem počítačů, otevřeností systémů a novými možnostmi a potřebami komunikace. Kritéria pro hodnocení bezpečnosti IT slouží především jako metrika používaná k hodnocení IT s ohledem na jejich bezpečnost, na konkrétní aplikace, produkty a služby a na opatření k zajištění bezpečnosti. Stanovení jednotných kritérií bezpečnosti informačních systémů se ukázalo být problémem proto, že se lišily bezpečnostní cíle vycházející z rozdílných potřeb zainteresovaných subjektů (organizací a zemí). V tak globálním a globalizujícím odvětví, jakým IT/IS je, nemohlo dlouho zůstat u lokálních kritérií bezpečnosti. Vznikla potřeba vybudovat základnu pro hodnocení a certifikaci IS. Důvodem vzniku mezinárodních kritérií je tedy potřeba harmonizace. Ta je jedním z předpokladů mezinárodního vzájemného uznávání certifikátů, které shrnují výsledky hodnocení IT bezpečnosti a potvrzují, že hodnocení bylo provedeno důkladně. Při hodnocení je od výrobce (žadatele o hodnocení) vyžadována podrobná specifikace, dokumentace a popis postupu při vývoji produktu (služby, systému). Hodnocení je prováděno na základě žádosti a za prostředky výrobce, který také určí na jaké úrovni má být produkt hodnocen. Hodnocení probíhá v určitém prostředí a konfiguraci, proto tyto údaje tvoří nedílnou součást hodnocení. Zde se snažím zachytit hlavní normy mezinárodního rozsahu, které právně upravují oblast bezpečnosti IT a přinášejí standardizaci do odvětví.25

3.1.6.1 TCSEC (Trusted Computer System Evaluation Criteria) Kritéria hodnocení důvěryhodných počítačových systémů, známá jako Orange Book (Oranžová kniha), představují první a základní dokument pro hodnocení zabezpečených systémů. V prosinci 1985 byla kniha představena jako standard ministerstva obrany USA (U.S. Department of Defense) Security Requirements for Automatic Data Processing (ADP) Systems. Účelem bylo poskytnout kritéria pro technické zabezpečení a vývojové metodiky pro podporu tvorby bezpečnostní politiky systémů pro automatické zpracování dat ADP. Oranžová kniha tvoří základ série návazných norem Rainbow Series (Duhová série). V těchto normách jsou rozpracovány jednotlivé aspekty, které je nutné při hodnocení zabezpečených informačních systémů uvažovat. Čtyři skupiny TCSEC (A, B, C, D) odpovídají vždy jednomu kvalitativně odlišnému stupni bezpečnosti a jsou dále děleny do tříd [CTVR]:

25

•

třída D – žádná ochrana,

•

třída C1 – volná ochrana (oddělení uživatelů od dat, musí existovat možnost uživatelů chránit svá data před ostatními, uživatel si zvolí, zda tyto mechanismy bude používat),

Vysvětlení zkratek najde čtenář v příloze B.

- 40 -


Jindřich Hlaváč

•

třída C2 – kontrolovaný přístup (systém stále provádí volnou ochranu zdrojů, granularita26 však musí být až na úroveň jednotlivých uživatelů, musí být veden access log a zabezpečena ochrana proti residuím, tzn. vymazání obsahu všech pamětí a registrů poté, co je proces přestane používat. Residua nesmí být zpřístupněna někomu jinému),

•

třída B1 – značkovaná ochrana (každý kontrolovaný subjekt a objekt musí mít přiřazen stupeň utajení a musí být tímto stupněm označen, každý přístup musí být ověřován dle Bell-LaPadula modelu (viz část 4.9.1), musí existovat popis implementovaného formálního modelu a systém je podroben testovaní),

•

třída B2 – strukturovaná ochrana (musí být k dispozici verifikovatelný globální návrh systému, ten rozdělen do dobře definovaných nezávislých modulů, návrh musí zohledňovat princip nejmenších možných oprávnění, bezpečnostní mechanismy musí být uplatňovány vůči všem subjektům a objektům včetně všech zařízení, musí existovat analýza možných skrytých kanálů. Vlastní systém musí běžet v rámci své bezpečnostní domény a provádět kontrolu své integrity),

•

třída B3 – bezpečnostní domény (systém musí být podrobitelný extenzivnímu testování, musí existovat úplný popis celkové struktury návrhu systému, musí být konceptuálně jednoduchý a musí existovat ochranné mechanismy na úrovni jednotlivých objektů, každý přístup musí být testován, kontrola na úrovni provádění jednotlivých typů přístupu daného subjektu k objektům. Systém musí být vysoce odolný vůči průnikům. Zařízení provádějící audit log musí umět odhadnout hrozící nebezpečí),

•

třída A1 – verifikovaný návrh (návrh systému musí být formálně verifikován, existuje formální model bezpečnostního mechanismu s důkazem konzistentnosti, formální specifikace systému s ověřením, že odpovídá formálnímu modelu, ověření, že implementace není odchylná od formální specifikace, formální analýza skrytých kanálů).

Požadavky pro třídy se postupně zpodrobňují a zpřísňují; tvoří hierarchii s třídou D jako prvkem nejnižším a s třídou A1 jako prvkem nejvyšším. Praktického užití se dostává především skupinám B a C, protože třída D zahrnuje všechny produkty, které byly podle TCSEC hodnoceny, ale nedosáhly žádné z vyšších tříd, a třída A1 stanovuje požadavky, které jsou pro většinu produktů zejména z finančních důvodů nerealizovatelné [CTVR]. Každá ze tříd zahrnuje čtyři aspekty hodnocení – bezpečnostní směrnice, zodpovědnost, zabezpečení a dokumentaci.

3.1.6.2 ITSEC (Information Technology Security Evaluation Criteria) Kritéria hodnocení bezpečnosti, ve slangu nazývaná "Superman Book", byla v roce 1990 předložena (jako harmonizovaná verze národních kritérií přijatých ve Francii, Německu, Velké Británii a Nizozemí) v Bruselu k připomínkám a diskuzi, jichž se účastnily i Spojené státy. Tyto země se rozhodly spojit v úsilí vypracovat společná evropská harmonizovaná kritéria. Základní filozofií návrhu bylo zajištění maximální návaznosti na dosavadní práci a především na TCSEC. Byla vydána Úřadem pro oficiální publikace Evropského společenství a schválena jako doporučení v dubnu 1995. ITSEC zavádí možnost hodnotit celé systémy (nejen jednotlivé produkty) a zavádí dvě dimenze pro hodnocení systémů: funkčnosti - popisující funkční rysy a záruky (korektnosti, zaručitelnosti) – měřítko pro celkové obecné hodnocení efektivnosti a správnosti zajištění bezpečnosti [CTVR]. Kritéria ITSEC specifikují sedm tříd míry zaručitelnosti bezpečnosti IT (korektnosti) označovaných E0 (nevyhovující) až E6 reprezentujících vzrůstající úroveň důvěry a v příloze definují dalších deset tříd bezpečnostní funkčnosti F-xx. Třídy míry zaručitelnosti kladou požadavky na: proces vývoje IS,

26

Daná míra atomizace, rozlišovací úroveň. Např. živé organismy běžně pozorujeme na úrovni buněk, chemické látky na úrovni molekul apod. Původně granule = zrna.

- 41 -


Jindřich Hlaváč

prostředí vývoje IS, provozní dokumentaci IS a provozní prostředí IS. Podrobně viz [BIS] nebo [ISS2]. Třídy funkčnosti F1-F5 zhruba odpovídají třídám C1 až B3 hodnocení TCSEC. Kritéria F jsou dále dělena na hodnocení: •

integrity systému (F6, F-IN),

•

dostupnosti systému (F7, F-AV),

•

integrity dat při komunikaci (F8, F-DI),

•

utajení komunikace (F9, F-DC),

•

bezpečnosti celé sítě (F10, F-DX).

Každé z těchto kritérií může být vyhodnocováno nezávisle a je vždy prováděno pro požadovanou třídu funkčnosti F1-F5. Kritéria hodnocení korektnosti se užívají pro hodnocení úrovně zabezpečení pro kterou byl produkt testován. Požadavky vyšší (další) třídy jsou kumulativní, tedy třída požaduje splnění požadavků všech nižších tříd: •

testování (E1),

•

kontrola konfigurace a distribuce (E2),

•

ověření detailního návrhu a zdrojového kódu (E3),

•

podrobná analýza slabin systému (E4),

•

prokázání souladu detailního návrhu s implementací (zdrojovým kódem) (E5),

•

formální modely, formální popisy a jejich vzájemný soulad (E6).

Tyto třídy odpovídají zhruba požadavkům kladeným třídami C2 až A1 hodnocení TCSEC. Vzájemné souvislosti jsou vidět i z tabulky (F6-F10 není znázorněno, protože zde neexistuje obousměrný vztah): ITSEC Funkčnost Korektnost E0 F1 E1 F2 E2 F3 E3 F4 E4 F5 E5 F5 E6

TCSEC D C1 C2 B1 B2 B3 A1

Tabulka 1 – Vztah mezi třídami ITSEC a TCSEC

Zdroj: [ISS2]

3.1.6.3 ITSEM (Information Technology Security Evaluation Manual) V září 1993 byl Úřadem pro oficiální publikace Evropského společenství vydán prováděcí manuál ke kritériím ITSEC pod názvem Information Technology Security Evaluation Manual, zkráceně ITSEM. Jeho účelem je popsat, jak má být hodnocen posuzovaný předmět v souladu s požadavky kritérií ITSEC. ITSEM obsahuje harmonizovanou metodologii pro hodnocení bezpečnosti IS (zatímco ITSEC obsahuje harmonizovaná kritéria pro hodnocení bezpečnosti IS) a tím vytváří komplementární dokument k dokumentu ITSEC.

- 42 -


Jindřich Hlaváč

Vychází z ITSEC, verze 1.2, popisuje jak by Target Of Evaluation (TOE)27 měl být hodnocen podle těchto kritérií. Cílem ITSEM je zajistit existenci sady harmonizovaných metod hodnocení, které budou doplňovat ITSEC. ITSEM je technický dokument určený převážně pro účastníky hodnocení (zejména hodnotitele, ale také ručitele a ověřovatele), ale také pro obchodníky, vývojáře a uživatele. Obsahuje dostatečně detailní metody a procedury hodnocení pro různá systémová prostředí, je volně dostupný a použitelný v komerčním i státním sektoru.

3.1.6.4 CTCPEC, FC a CC CTCPEC - (Canadian Trusted Computer Product Evaluation Criteria) - kanadská kritéria pro hodnocení bezpečnosti informačních systémů byla vydána v květnu 1989 pro vládní účely. Podobně jako TCSEC (z kterých se inspiruje) dělí bezpečnostní požadavky do dvou skupin na „funkční“ a „zajišťující záruky bezpečnosti (korektní)“. Podrobně viz [ISS2]. Funkčnost je v kanadských kritériích dále rozdělena do čtyř částí, které odpovídají základním požadavkům na informační bezpečnost [CTVR]: •

důvěrnost – požadavky na omezení odhalení informačního obsahu,

•

integrita – požadavky na omezení modifikace informací,

•

dostupnost – požadavky na zajištění přístupu autorizovaných osob k ochraňovanému systému a na zajištění procesů s tím souvisejících,

•

zodpovědnost – požadavky na sledování a řízení přístupu k systému.

Ke každé oblasti se adresují možné hrozby a prvky běžné zranitelnosti systémů. Oblasti mají definované služby (početně 4, 7, 4, 3), které mohou sloužit jako protiopatření k zajištění bezpečnosti. Tento rys (přímé adresování služeb jako protiopatření k možným hrozbám) je pro kanadská kritéria typický a proto jsou skutečně použitelné. Rozpracování záruk (korektnost) je v podstatě doplněním některých praktických požadavků k ITSEC. Vlastní klasifikace tříd je T-0 (nevyhovující) až T-7 (zahrnuje formální model návrhu hodnoceného bezpečnostního systému a jasný popis návaznosti praktické implementace a zvoleného designu). Jako nezávislá část kanadského systému hodnocení bezpečnosti byla současně s CTCPEC vydána kritéria pro hodnocení kryptografických modulů [CTVR]. FC (Federal Criteria for IT) – federální kritéria; záměrem bylo vytvoření národního standardu pro USA vylepšením TCSEC. První verze vyšla v prosinci 1992, měla ochránit již existující investice do bezpečných technologií, zlepšit proces hodnocení bezpečnosti, přizpůsobit se potřebám zákazníků a poskytnout mezinárodní standard pro hodnocení IT. Postupem času se přešlo na Common Criteria. CC - Common Criteria for IT Security Evaluation; ISO/IEC 15408 „Společná“ kritéria pro hodnocení bezpečnosti IT (tj. pro Evropské společenství, USA a Kanadu). Jde o základní metodický materiál pro hodnocení bezpečnostních vlastností produktů a systémů mezinárodního významu. Přestože práce na standardu začaly již v roce 1993 a v roce 1996 vyšla verze 1.0, až roku 1999 nahrazuje systém ITSEC. Common criteria (dále CC) představují množinu požadavků na funkcionalitu a garanci bezpečnosti pro účely vývoje a hodnocení systémů/produktů v oblasti zabezpečení IT. CC popisuje hodnotící kritéria pro různá prostředí.

27

TOE (Target of Evaluation), předmět hodnocení, obvykle produkt nebo informační systém.

- 43 -


Jindřich Hlaváč

•

Část 1, ISO/IEC 15408-1 (Introduction and General Model; 2001), Úvod a všeobecný model, se zabývá společnými aspekty CC. Rovněž řeší přechod z dřívější verze systému hodnotících kritérií na CC. Dotýká se též požadavků na funkcionalitu a garance bezpečnosti pro tvorbu použitelného a bezpečného produktu/systému (známých jako profily zabezpečení; inspiruje se u FC). Tato část byla vydána pod stejným číslem i jako česká norma ČSN.

•

Část 2, ISO/IEC 15408-2 (Security functional requirements; 1999), Požadavky na funkcionalitu zabezpečení, popisuje požadavky na funkce produktu či systému včetně vazeb mezi těmito požadavky.

•

Část 3, ISO/IEC 15408-3 (Security assurance requirements; 1999), Požadavky na záruky bezpečnosti, řeší dopad požadavků na garance bezpečnosti na očekávanou úroveň zabezpečení v příslušném produktu či systému. Tato část se rovněž zabývá vazbami mezi požadavky na garance bezpečnosti.

Následující tabulka ukazuje vztah mezi třídami výše uvedených hodnotících systémů: TCSEC CTCPEC D C1 C2 B1

B2 B3 A1

ITSEC E0 E1 E2 E3

T-1 T-2 T-3 T-4 T-5 T-6 T-7

E4 E5 E6

Tabulka 2 – Vztah mezi více třídami

FC

T-1 T-2 T-3 T-4 T-5 T-6 T-7 Zdroj: [ISS2]

3.1.6.5 BS 7799 (The British Standard on Information Security Management) Je to dvoudílná norma vyvinutá British Standards Institution (BSI), která se zabývá procesem řízení bezpečnosti (na rozdíl od předchozích standardizovaných kritérií hodnocení) a využívá se k certifikaci bezpečnosti celé organziace. 7799-1 (první část) Code of Practice for Information Security Management je britský národní standard, sbírka zásad (návod) pro řízení bezpečnosti. V roce 2000 byla tato první část britské normy převzata a schválena jako mezinárodní standard ISO/IEC 17799 (je možné vidět i označení BS ISO/IEC 17799 nebo BS 7799-1:2000 apod., ale jde stále o stejný de facto standard). Používá se jako referenční dokument pro zaměstnance odpovědné za vývoj, implementaci a udržování informační bezpečnosti v organizaci. 7799-2 (druhá část) Specification for Information Security Management Systems je doprovodným seznamem bezpečnostních opatření. Tato část není součástí ISO/IEC 17799, ale je specifikací ISMS a může být užitá jako základ pro autorizovanou certifikaci. Specifikuje požadavky pro zavedení, implementaci a dokumentaci systému řízení informační bezpečnosti (ISMS = information security management systems). Říká jaké bezpečnostní prostředky by měly být v organizaci implementovány s ohledem na ocenění rizik a identifikovat nejvhodnější cíle zabezpečení a vhodné mechanismy podle potřeb firmy. Tato část je základem pro hodnocení systému

- 44 -


Jindřich Hlaváč

řízení informační bezpečnosti jako celku nebo části a je podstatná pro certifikaci. V současnosti je revidována kvůli harmonizaci s jinými standardy systémů řízení jako je ISO 9001 a ISO 14001. Snaha o mezinárodní standard pro řízení informační bezpečnosti. Smyslem je řízení implementace informační bezpečnosti ve vlastní firmě i ve vztazích s dalšími firmami. Je tu potřeba sdílet zkušeností na mezinárodní úrovni pro zajištění ochrany obchodních procesů a aktivit. Původně britská norma (uveřejněná 1995) využívaná k certifikaci bezpečnosti celé organizace (certifikaci uděluje BSI) přijata také jako národní norma např. v Austrálii, Norsku, Nizozemsku a dalších zemích (na standardu se podíleli autoři z Austrálie, Brazílie, Německa, Irska, Nizozemí, Norska, Švédska, Švýcarska, Anglie a USA). BS 7799 je konzistentní s direktivami OECD ohledně utajení dat, informační bezpečnosti a kryptografie. Je dostatečně obecný a nezávislý na konkrétních technologiích.

Hlavní body: •

stanovení bezpečnostní politiky firmy,

•

organizační bezpečnostní infrastruktura,

•

klasifikace a řízení aktiv,

•

personální bezpečnost,

•

fyzická a objektová bezpečnost,

•

řízení komunikace a operací,

•

řízení přístupu,

•

rozvoj a údržba systému,

•

business continuity management,

•

shoda.

ISO/IEC 17799 x Common Criteria (CC) CC a BS 7799 nejsou v rozporu, ale doplňují se. BS ISO/IEC 17799 navrhuje opatření, které mají být použity při řízení bezpečnosti IS. CC přináší hodnocení bezpečnostních prostředků a systémů. Organizace užívající BS ISO/IEC 17799 si mohou dobře vybrat prostředky pro zabezpečení své firmy podle výsledků hodnocení CC. BS je standardem o řízení, zabývá se (výše zmíněnými a již vysvětlenými) pojmy jako personální, fyzická bezpečnost apod., CC je spíše technického rázu. ISO/IEC 17799 x GMITS BS je komplementem k GMITS. Zabývá se obecnou koncepcí řízení bezpečnosti IT, zatímco BS ISO/IEC 17799 specifikuje komplexní řadu metod pro potřeby vývoje systému řízení informační bezpečnosti. GMITS také popisuje obecné požadavky a techniky pro analýzu a řízení rizik. BS ISO/IEC 17799 užívá těchto technik pro výběr nejvhodnějších nařízení pro potřeby dané firmy. Ve skutečnosti metoda popsaná v jednotlivých částech GMITS potřebuje výběr vhodných nařízení ze standardů jako je BS ISO/IEC 17799.

- 45 -


Jindřich Hlaváč

3.1.6.6 GMITS (Guidelines for the Management of IT Security) Směrnice pro řízení IT bezpečnosti Jde o de iure standard, sadu technických zpráv uvedených v normě ISO/IEC 13335 (také označováno jako ISO/IEC TR 13335), která přináší návody pro řízení IT bezpečnosti. Neposkytuje jen základnu pro rozvíjení vnitrofiremní bezpečnostní architektury, ale také prostředky pro zajištění shody mezi organizacemi. Podle tohoto materiálu se bezpečnosti IT použitých v organizaci dosahuje především plněním manažerských funkcí, souvisejících s bezpečností IT jako integrální součásti plnění globálního plánu správy organizace (globální strategie). Projekt GMITS se skládá z pěti částí: 1) Koncepty a modely (Concepts and Models) – představuje koncepty a modely pro bezpečnost IT nezávislé na typu firmy. Definuje řízení bezpečnosti IT a požadavky na bezpečnost, její implementaci a správu. První část je základem pro další části směrnice. Byla zveřejněna jako norma ISO/IEC 13335-1. 2) Řízení a plánování (Managing and Planning IT Security) – definuje úkony, které organizace musí provést před zavedením či změnou své politiky zabezpečení IT. Popisuje činnosti týkající se řízení a plánování bezpečnosti IT, přidružené role a odpovědnosti. Byla zveřejněna jako norma ISO/IEC 13335-2. 3) Techniky pro řízení bezpečnosti IT (Techniques for the Management of IT Security) – popisuje a doporučuje techniky pro úspěšné řízení bezpečnosti IT, zvláštní důraz je veden na odhad a ocenění bezpečnostních rizik ve firmě. Byla zveřejněna jako norma ISO/IEC 13335-3. 4) Výběr ochranných opatření (Selection of Safeguards) – rozebírá možnosti různých řešení a seznamy bezpečnostních prostředků (směrnice pro výběr ochranných opatření). Tyto prostředky se mohou lišit podle národních legislativ (např. opatření bezpečnosti dle zákona 148/1998 Sb.). Norma ISO/IEC 13335-4 je v závěrečné fázi příprav, ale nebyla ještě zveřejněna. 5) Bezpečnost sítí (Safeguards for External Connections) – návrh řeší bezpečnostní problémy elektronické komunikace mezi firmami i veřejností. Má poskytnout návod k identifikaci a analýze faktorů vztahujících se k bezpečnosti sítí a komunikací. Norma ISO/IEC 13335-4 je ve fázi příprav a nebyla ještě zveřejněna. Někdy se používá tato norma místo ISO/IEC 17799. Finanční ústavy a organizace poskytující služby těmto ústavům často využívají ještě normu ISO/TR 13569: Bankovnictví a souvisící finanční služby - Směrnice pro informační bezpečnost (1997, dod. 1998), která si klade za cíl prezentovat strukturu programu informační bezpečnosti, pravidla výběru bezpečnostních kontrol a zajistit konzistenci s existujícími normami a předpisy. Bezpečnostní standardy jako ITSEC vznikly se záměrem zajistit, aby prověřované produkty (předměty hodnocení) měly měřitelný stupeň zabezpečení. To začalo být velmi důležité pro státní sektor i firmy, které potřebují produkty, kterým může být svěřena důvěrná informace. Proto vznikly hodnotící standardy jako CTCPEC, ITSEC, TCSEC, FC apod. Tyto různé standardy určují přípustné úrovně bezpečnosti a zabezpečení počítačových systémů. Problém s hodnocením produktu podle některého standardu je, že potenciální zákazník nemusí uznávat stejný jako vývojář systému. Proto vznikl mezinárodní standard Common Criteria – sada hodnotících bezpečnostních standardů, které uplatňují všeobecně uznávanou úroveň zabezpečení. Dlouhodobý úspěch CC nezávisí jen na přijetí vývojáři, zákazníky, hodnotiteli a autory, ale i na schopnosti adaptovat se na změny v oboru IT.

- 46 -


Jindřich Hlaváč

Zabýval jsem se standardy pro hodnocení a řízení bezpečnosti IS. Další standardy jsou pro tvorbu bezpečných systémů. Také zde jde o normy, které lze dělit podle rozsahu působnosti (regionální, národní, mezinárodní) nebo na normy určitého zájmového sdružení a průmyslové standardy. Svou roli zde hrají zejména mezinárodní instituce jako ISO/IEC, ITU, JTC nebo americké ANSI. Těmito specifickými normami, kterých je celá řada se zabývat nebudu a odkazuji na [CTVR] nebo [INFB], kde najde čtenář rozsáhlý přehled norem (str. 56-64). Poznámka: Často v souvislosti s výše uvedenými standardy uvidíme zkratku CRAMM (UK Government’s Risk Analysis and Management Method). Jde o metodiku řízení a analýzy rizik schválenou britskou vládou (tedy je národním standardem), která používá otázky typu „co by se stalo, kdyby…?“ a předpokládá scénáře možných následků nedostupnosti, vyzrazení, neautorizované mofdifikace nebo zničení dat. Nejnovější verze standardu CRAMM je IV. a nabízí nejen nástroj pro detailní rizikovou analýzu a řízení rizik, ale i ucelený soubor prostředků pro zavedení systému řízení informační bezpečnosti v souladu s britskou normou BS 7799-1. Poznámka: V závorce za číslem normy nebo letopočet oddělený od čísla dvojtečkou označuje rok vydání poslední verze normy.

3.1.7 Vztah informační bezpečnosti a klasifikace informací Aby bylo dosaženo cíle, který je definován ve studii bezpečnosti nebo globální (informační) strategii, je nutné již v těchto úvodních dokumentech počítat s klasifikací informací jako nedílnou součástí procesu bezpečnosti (při tvorbě požadavků na bezpečnost, vyhrazování zdrojů na její provedení atd.). Před samotným výběrem bezpečnostních mechanismů a metod zabezpečení informací v jakémkoli IS musí být jasně vymezeno jaké informace IS procházejí, je třeba provést jejich roztřízení a klasifikaci. Proces klasifikace informací v podstatě spadá pod analýzu rizik (bezpečnostní analýzu). Ta definuje aktiva, hrozby, zranitelná místa a výši rizika, které na aktiva hrozby přinášejí. Aktiva jsou však různá: SW, know-how, duševní vlastnictví, zálohy, data, informace atd. Analýza na základě firemních procesů a pracovní náplně funkčních míst určí typy a množství ohrožených aktiv v organizaci. Informační aktiva je třeba pomocí jejich klasifikace dále rozčlenit dle různých klasifikačních kritérií do skupin. To umožní implementovat přiměřené bezpečnostní mechanismy – stále je nutné sledovat vztah mezi cenou, hodnotou, kritičností informace a náklady na její zabezpečení. Proto se v následující části budu zabývat hodnotou a cenou informací, což je pro klíčová otázka pro správnou klasifikaci informací a zejména efektivním řízením bezpečnosti IS.

- 47 -


Jindřich Hlaváč

3.2 Cena a hodnota informací Dosud jsem se o významu a hodnotě informací vyjadřoval poměrně vágně s ohledem na subjektivní stránku hodnocení. Pro efektivní řešení informační bezpečnosti je však potřeba rozlišit cenu a hodnotu informace a formulovat problém exaktněji. Přiblížit rozdíl mezi cenou a hodnotou informace můžeme tak, že cena informace představuje náklady na její pořízení (podrobněji níže) a hodnota informace je kvantifikovaná vlastnost dat, která je činí vzácnými. Tato (ekonomická) hodnota závisí na různých faktorech a určit ji je objektivně těžší než u stanovení ceny. Také by se dala vyjádřit jako „přidaná hodnota“ dat. Často se mezi těmito termíny nerozlišuje, protože nás zajímá součet těchto hodnot – informaci jsme museli nějak pořídit a jejím dalším zpracováním ve firmě jí zvýšíme přidanou hodnotu. Neřeknu-li výslovně jinak, budu součet těchto složek nazývat zjednodušeně cena informace. Cena informace nás zajímá především ze dvou důvodů. Zaprvé – pokud je předmětem činnosti firmy obchod s informacemi (viz část 2.3.2), potřebujeme ji znát pro rozhodnutí, za kolik ji prodat dále. Druhým důvodem je určení jakési „vnitropodnikové“ ceny informace. S tou mohou pracovat manažeři při tvorbě cen výrobků a služeb, při vnitřním oceňování (dejme tomu, že vyvíjený SW prochází několika vývojovými týmy), ale zejména (z našeho hlediska) z ní budeme vycházet při analýze bezpečnosti a volbě bezpečnostních mechanismů. Nepodařilo se mi najít volně dostupnou metodiku, která by říkala, jak cenu informace určit. Cestu naznačuje graf Annual Loss Expectancy (Obrázek 3) a metodika CRAMM, která se zabývá oceněním aktiv. Proto budu vycházet z výše zmíněné myšlenky, že cena informace má svou nákladovou složku a složku reálné ekonomické hodnoty pro podnik [CTVR].

3.2.1 Náklady na pořízení informace (Costing) Náklady na pořízení informací můžeme rozdělit do čtyř kategorií [CTVR]: •

náklady spojené s udržováním tzv. informační zásoby (zahrnuje výběr informací, nákup informací, zpracování, katalogizaci a uchování informací),

•

náklady spojené se vzdáleným přístupem k informacím (poplatky za připojení, hosting atd.),

•

osobní náklady (platy zaměstnanců, školení),

•

režijní náklady (počítačová infrastruktura, HW, SW).

Do jaké kategorie připadne největší část nákladů záleží na oboru podnikání organizace, typu informace (viz části 2.4 a 2.5) a způsobu zpracování. Pořizují-li data sami zaměstnanci, budou významné osobní a režijní náklady. Míra informatizace a používání typového ASW zase snižuje osobní náklady za cenu režijních apod. Zmíněné náklady na pořízení lze celkem dobře kvantifikovat, neboť jsou měřitelné peněžními jednotkami. Např. náklady na pořízení databáze dodavatelů určitého výrobku mohou být vyčísleny jako cena zakoupení těchto informací (např. z Albertiny), náklady na zpracování zaměstnanci jako součin časové náročnosti a hodinové mzdy plus odpis počítačového a programového vybavení za dobu, kdy byla tato databáze vytvářena. Možná právě na tomto místě je dobré zdůraznit význam uložení dostupných informací do IS podniku. Takto uložená informace se jednak neztrácí s odchodem pracovníka z podniku a jednak významně zvyšuje její dostupnost pro ostatní pracovníky podniku. Odchodem pracovníka, který neuložil získané informace do IS, nebo nedostupností určitého dokumentu podnik přichází o ty zdroje, které věnoval školení daného pracovníka, resp. o zdroje na vynaložení a uchování daného dokumentu [VOR].

- 48 -


Jindřich Hlaváč

3.2.2 Určení hodnoty informací (Valuing) Určit objektivně hodnotu informací není jednoduché, každopádně nejlepší předpoklady k tomu má vlastník informace. Tím se dostávám k důležité věci – pro práci s informacemi je třeba definovat tři klíčové uživatelské skupiny [INFB]: •

vlastníci informací,

•

správci informací,

•

uživatelé informací.

Vlastníkem informace bývá manažer mimo oblast IT, který je zodpovědný za daný typ nebo skupinu informací. Obvykle jde o manažera zodpovědného za tvorbu těchto informací a který by byl nejvíce ovlivněn jejich ztrátou. Samozřejmě existují výjimky – v IT oddělení také vznikají informace, ale spíše operativního charakteru anebo rozhodujícím manažerem může být ten, který je pověřen jejich nákupem (tj. nevznikají ve firmě). Vlastníci informací nemají často zdroje a zkušenosti nutné pro správu těchto informací, proto některé aktivity delegují na správce informací. Obvykle jde o pracovníky oddělení informatiky a příkladem takové aktivity může být přidělování přístupových práv nebo provádění zálohování příslušných dat. Uživatel informace je zaměstnancem organizace, třetí strany nebo jinou osobou, autorizovanou pro využívání informací ke svým pracovním povinnostem. Míra oprávnění manipulace s informacemi samozřejmě v pořadí vyjmenovaných skupin uživatelů klesá. Identifikace vlastníků informací nemusí být jednoduché především pokud informace vznikají nebo se užívají více subjekty v organizaci. Nicméně mělo by platit, že [INFB]: vlastníci informací (dat) by neměli být z oblasti IT; podpora nejvyššího vedení je kritická a vlastníci informací musí mít pravomoci zakotvené v bezpečnostní politice organizace. A jak tedy vlastník informace určí její hodnotu? Nejjednodušší je vycházet z ceny pořízení informace (viz výše). Přesnější a častější je však vycházet z ohodnocení škody vzniklé ztrátou informace. Znovupořízení28 informace totiž zahrnuje nejen např. cenu nákupu, ale i její opětovné „zhodnocení“. Ale nejde jen o přímé náklady na znovupořízení informace, ale skutečně o výši vzniklé škody. Vychází se ze ztráty, kterou společnost utrpí při zničení, poškození, nedostupnosti či ztrátě důvěrnosti těchto informačních aktiv [INFB]. Hodnota je nepřímo odvozována přes soustavu nepeněžních metrik (ztráta dostupnosti v časových jednotkách, poškození image slovně apod.). Standard ISO/IEC TR 13335 (viz 3.1.6.6) doporučuje vzít v úvahu alespoň následující nepeněžní parametry a z nich vyplývající ztráty nebo náklady: •

porušení legislativy a/nebo předpisů,

•

zhoršení výkonu činnosti organizace,

•

ztráta dobrého jména nebo negativní vliv na pověst firmy,

•

narušení důvěrnosti spojené s osobními informacemi,

•

ohrožení osobní bezpečnosti, nepříznivý vliv na prosazení práva,

•

porušení obchodního tajemství,

•

finanční ztráty, přerušení aktivit činnosti organizace atd.

Pro nepeněžní parametry je vhodné vytvořit pomocné stupnice, slovně je popsat a určit přibližné finanční následky tak, aby vzniklo jednotné měřítko hodnoty aktiv.

28

Většina informací se pořizuje znova, protože v opačném případě nebyla důležitá a vůbec se nemělo uvažovat o její ceně.

- 49 -


Jindřich Hlaváč

Příklad [INFB]: Pro „narušení důvěrnosti osobních údajů“ může třeba stupeň 1 znamenat „nepříjemnosti pro subjekt údajů, ale nebyl porušen zákon o ochraně osobních údajů“. Další stupně představují významnější dopady narušení důvěrnosti osobních údajů až po stupeň 10, který může znamenat např. „opakované porušení zákona, hrozí vysoké penále, významná část klientů zvažuje ukončení spolupráce.“ Stupeň 1 pak ve finančním vyjádření pro společnost znamená např. ztrátu menší než 1 milion korun, stupeň 10 ztrátu vyšší než 1 mld. Kč apod. Pomocí strukturovaných dotazníků (určení hodnoty informace v netriviálních případech je součástí analýzy rizik), které jsou vyplňovány vlastníky aktiv (dat) ve spolupráci s expertem na analýzu rizik, je možné dospět k rozumnému odhadu hodnoty informace. Nejsložitější je stanovení závislostí mezi aktivy, tj. vztahů typu „pokud nebude dostupné aktivum A, nebude možné používat aktiva B a C.“ Podrobněji viz [INFB]. S výše uvedeným principem úzce souvisí klasifikační kritérium „kritičnosti“ informace. Například dle [CTVR] hodnota informace vychází z jejího zařazení v rámci klasifikace informací (viz kapitola 4). Na druhou stranu jedním z klasifikačních kritérií je právě cena informace. Dostáváme se tak do kruhu. Osobně si myslím, že prvotní je (aspoň přibližné) určení hodnoty informace a až následná je klasifikace proto, že cena informace (v širším smyslu) je hlavním klasifikačním kritériem. Není však jediným kritériem, proto když informace bude na základě zákona označena jako „přísně tajná“, je její cena určena až druhotně jako vysoká, přestože třeba pořizovací náklady jsou nízké nebo protože je její hodnota obtížně kvantifikovatelná (např. notebook s informacemi o konstrukci vodíkové pumy může pro obyčejného zloděje znamenat jen hodnotu přístroje, protože informacím neporozumí a nedokáže je využít, ale pro teroristickou organizaci bude mít obrovskou hodnotu, proto tyto informace budou hodnoceny vysoko, přestože v prvním případě nemají téměř žádnou „ušlou“ hodnotu). Je zřejmé, že s vyšším stupněm utajení roste problém skutečně objektivního (zjednodušeně lze ovšem říci, že hodnota informací roste) vyčíslení ceny informace a nutnost odpovídajícího zabezpečení. Mezi obecné principy ohodnocení informace také patří: hodnota informace neklesá při jejím sdílení uživateli, naopak to podtrhuje její význam; roste s přesností a správností informace; roste integrací s dalšími informacemi a klesá s časem. Již jsem se zmiňoval o „přidané hodnotě“ k informaci. [CTVR] konkretizuje tyto hodnoty jako například jednoduchost použití (easy of use), redukce komunikačního šumu (noise reduction), kvalita a adaptabilita informací, úspora času a nákladů v důsledku použití informace apod. Další princip, který [CTVR] uvádí, je Mowschowitzova idea „komodizace“ informací (jejich přeměna na zboží), kdy identifikujeme pět hlavních dimenzí informace jako zboží: jádro (kernel; organizace informací a obsah), uchování (storage), obnovovací schopnost (retrieval capabalities), zpracování (konverze dat v informatice), distribuce (předání konkrétní osobě) a prezentace (minimalizace času pochopení informace uživatelem). Po určení těchto dimenzí lze k informaci přistupovat jako k „normálnímu“ fyzickému zboží a tudíž i určit jakou cenu pro nás má. Přímý dotaz na firmy v ČR, kterých by se stanovení hodnoty informací mohlo týkat, nepřinesl příliš hodnotné výsledky. [CTVR] se ve své anketě (dotazovány bylo 69 e-shopů v doméně CZ při návratnosti 42 procent) ptal, zda firma používá pro ocenění svých dat nějakou vnitřní metodiku. 16 % dotázaných ji používá (ale ani jeden neuvedl podrobnosti), 62 % používá kvalifikovaný odhad a zbytek, tj. 22 % neprovádí žádný odhad ani ocenění informací. V další otázce se dotazoval, zda aspoň firmy cítí potřebu odhadnout či určit cenu dat. Překvapivě 64 % dotázaných tuto potřebu nepociťuje (zajímavé, tedy i řada z těch kdo metodiku má nebo si udělal kvalifikovaný odhad), 30 % má potřebu určit cenu svých informací a 6 % se k otázce nedokázalo vyjádřit. Z pěti mnou oslovených renomovaných firem v ČR se informační bezpečností zabývajících jsem dostal dvě podrobnější relevantní odpovědi a to z firem INFOSEC a DCIT, za což jim děkuji. Ani z nich ale není jasná metodika hodnocení informací. Částečně jde o ochranu firemního know-how, částečně je problém proces hodnocení zobecnit, protože záleží na mnoha okolnostech. Často postupují dle TR 13335, BS 7799, které se ovšem klasifikací ani hodnocením aktiv nezabývají. K tomu užívají - 50 -


Jindřich Hlaváč

metodiky CRAMM pro analýzu rizik. Také vycházejí z kvantifikace škod způsobených bezpečnostními incidenty (viz část 3.1.3) nebo ve vztahu podílu hodnoty informace k celkovému ALE. Dalším způsobem je již přímo posuzování dopadu jednotlivých bezpečnostních incidentů (s ohledem na jejich pravděpodobnost) na prvky bezpečnosti (důvěrnost, dostupnost, integritu, zničení). Tyto přístupy lze samozřejmě různě kombinovat. Uvedl jsem několik způsobů jak kvalifikovaně odhadnout cenu informace, která se ve firmách obvykle aproximuje cenou znovuzískání ztracených dat a škodami vzniklými v obchodním styku. Lze ovšem souhlasit s [CTVR], že hodnota informace by se měla rovnat nákladům (včetně ušlého zisku apod.), které nám vzniknou, pokud informaci nevlastníme.

3.2.3 Oceňování informačních aktiv v britských firmách Nejen z důvodu efektivního nastavení bezpečnostních mechanismů je třeba znát cenu informací. Pokud firma vlastní více hodnotných informačních aktiv, například proto, že s nimi obchoduje, je cena důležitou charakteristikou i pro finanční řízení podniku a účetnictví. Informační aktiva mohou významně ovlivnit bilanci firmy. Například u internetových start-upů tvoří většinu majetku právě informační aktiva a aby bylo účetnictví průkazné, je třeba informační aktiva ocenit. Proto se podíváme, jak např. britské firmy tato aktiva oceňují [VAL]. Proces se dá shrnout do čtyř bodů:

1. Identifikovat informaci jako aktivum a vypsat jeho podstatné atributy. 2. Nalézt metody pro ohodnocení těchto aktiv. 3. Zanést toto aktivum do firemní rozvahy. To by mělo přinést možnost lepšího managementu informačních aktiv. 4. Pokud je informační aktivum identifikováno, ohodnoceno a zaneseno do rozvahy, vzroste jeho možnost využití a finanční přínos. Klíčovou otázkou je, jakou metodu pro hodnocení aktiv použít. Britské účetní standardy FRS10 (Financial Reporting Standard) doporučují tyto tři způsoby oceňování nehmotných aktiv: •

dle částky, za kterou je lze prodat,

•

dle výše rozdílu mezi náklady a tržní hodnotou (pokud byly koupeny),

•

ocenit se zřetelem na cenu na trhu, kde se často takové aktivum nakupuje a prodává.

Podle odborníků, které [VAL] oslovili je nejlepší metodou ocenění ve vztahu k ceně na trhu, kde se komodita obchoduje. Opodstatněnou námitkou je, že není příliš trhů, kde se běžně obchoduje s informacemi. Internet je přirozeným prostředím pro vznik těchto trhů. Například The Patent and License Exchange (http://pl-X.com) vytváří seznam patentů a licencí, které by tvořily základ trhu s patenty. Online aukci patentů rozjel již eBay (http://www.patentauction.com). FRS10 se však příliš nepoužívá pro příliš náročné podmínky použití. Hlavní překážkou při oceňování informačních aktiv překvapivě ale není omezená možnost identifikovat nehmotná aktiva dle FRS10, ale identifikovat informační aktiva a jejich atributy. Velmi málo organizací má seznam svých informačních aktiv nebo učinilo další krok k identifikaci a ocenění na organizační úrovni. Důvodem je například: •

není záruka, že informace bude mít stále stejnou hodnotu,

•

hodnota informace závisí na stálé aktualizaci; hodnota informace rychle klesá,

•

hodnota informace závisí na čase a místě použití.

Tato fakta ukazují, že firmy zatím bohužel nevidí důvod identifikovat a oceňovat informační aktiva. Další informace např. v [VAL2] nebo [VAL3].

- 51 -


Jindřich Hlaváč

4. Principy klasifikace informací Organizace klasifikují informace, aby zajistily odpovídající úroveň ochrany svých zdrojů. Podnikových zdrojů je řada a je třeba určit, které dostanou prioritu a potřebují zvýšenou ochranu. Jedním z důvodů klasifikace informací tedy je napomoci správné alokaci vzácných zdrojů v organizaci, protože ne všechny informace mají stejnou hodnotu. Proto je třeba se aspoň na základní úrovni o klasifikaci informací pokusit. Už jen proto, aby se zajistilo, že při zajišťování informačních aktiv jsou podnikové zdroje náležitě využívány. Aby zaměstnanci mohli chránit tato aktiva, musí nejdříve znát mechanismus nakládání s nimi. Vnitrofiremní systém klasifikace informací založený na zdravém rozumu, znalosti podnikové kultury a významu informací na trhu může být konkurenční výhodou.

4.1 Řízení procesu klasifikace informací Proces klasifikace informací je proces jako každý jiný a vyžaduje své řízení. Management firmy se na procesu musí podílet. Nejde jen o formální souhlas vyplývající z bezpečnostní politiky firmy, vedení firmy musí schválit plán projektu. Nechci zde popisovat teorii řízení informatických projektů, jen bych připomněl základní fakta. Nejdříve je třeba určit (vhledem k definovaným cílům v BP), jakým způsobem se řešení bezpečnosti (či některé její části) bude realizovat, zda vlastními silami, s konzultanty nebo celkově externí společností. Každý způsob má své výhody a nevýhody (obecně shodné s volbou řešení IS – viz např. [VOR]). Na základě úvodní analýzy o náročnosti projektu je třeba vyčlenit zdroje - ať již personální či finanční. I v případě řešení externí firmou se musí počítat s uvolněním klíčových uživatelů, kteří budou s řešiteli spolupracovat. Při „domácím“ řešení je třeba vyčlenit také technické zdroje (výpočetní technika, infrastruktura). Projekt musí mít v plánu definovaný začátek, kontrolní body (dny) a konec. Čas je dalším atributem, který se musí řídit. Následně opustím předpoklad řešení celé informační bezpečnosti v organizaci a zaměřím se na specifika řešení samotné klasifikace informací. Soubor otázek spojených s klasifikací informací se zpravidla řeší v rámci řízení klasifikace. Spadá do taktického a operativního řízení a základ je položen při tvorbě bezpečnostní politiky. Úkolem klasifikačního řízení je [GAL1]: 1) vytvoření a přijetí metodiky klasifikace, která je základem pro sestavení klasifikační politiky organizace, 2) nepřetržitá realizace činností, které z klasifikační politiky vyplývají. Klasifikační politika specifikuje postupy, normy, směrnice a nařízení na základě kterých [GAL1]: a) rozdělujeme informace do tříd, včetně klasifikace odvozených informací, b) definujeme způsob deklasifikace informací, c) definujeme způsob nakládání s informacemi, včetně zajištění přístupu a ochrany, d) zajišťujeme označování a pojmenování klasifikovaných informací, e) řešíme incidenty včetně specifikace sankcí, f) způsob řešení chyb při klasifikaci, tj. způsoby a postupy přeřazení informací mezi třídami. Výsledkem klasifikačního řízení je kromě daných dokumentů rozdělení informací do tříd s definovanými způsoby nakládání tak, aby v součinnosti s ostatními bezpečnostními opatřeními byly zachovány dané zájmy a splněny cíle.

- 52 -


Jindřich Hlaváč

4.2 Tvorba a náplň práce týmu Při sestavování týmu, který proces klasifikace bude realizovat, je nutno mít na paměti, že klasifikace informací je obchodně-rozhodovacím procesem, ve kterém se očekává významná aktivní role vedoucích pracovníků organizace. Doporučuje se vytvořit dva týmy – hlavní o třech až pěti členech a podpůrný tým, kde by měly mít své zástupce důležité úseky firmy a uživatelské skupiny. Hlavní skupina je zodpovědná za sestavení klasifikační politiky a realizaci jejího naplnění na základě požadavků a potřeb jednotlivých oddělení a skupin. Podpůrná skupina má dva hlavní úkoly. Její členi posuzují a hodnotí postup klasifikace informací a napomáhají prosazení výsledků u vedoucích svých úseků. Pro úspěch procesu je nutné přesvědčit vedení o tom, že klasifikace informací není zdržujícím přívažkem, ale prostředkem, který podporuje podnikové procesy a cíle. Prostřednictvím podpůrného týmu je možné zjistit, co jednotliví manažeři potřebují a očekávají. Po zapracování případných připomínek podpůrného týmu je dobré iniciovat schůzku s jednotlivými manažery. Přítomni by měli být jeden či dva členové hlavního týmu a příslušný člen podpůrného týmu. Cílem schůzky je stručně vysvětlit vytvářenou politiku (jedním z výsledků klasifikace je politika - dokument o klasifikaci a nakládání s informacemi) a naznačit, jak napomůže v jeho práci. Následně zodpovědět případné otázky. Tyto schůzky napomohou přijetí celkové klasifikační politiky organizace.

4.3 Vytváření klasifikační politiky a specifikace tříd Pokud řešení informační bezpečnosti neprovádí externí specializovaná firma, organizace postupují ve specifikaci tříd obvykle intuitivně. Doporučoval bych spíše se držet následujících základních pravidel. Při vývoji politiky je třeba vzít v úvahu dva pohledy na informace: 1. citlivost – potřebu utajení, integrity a kontroly používání, 2. dostupnost – informace musí být k dispozici když je potřeba. Problém je, že řada manažerů dává přednost jednoduché a okamžité dostupnosti informací před jejich zabezpečením (viz část 4.9.2 a Obrázek 25). Podle nich je implementace zabezpečovacích mechanismů překážkou podnikání, protože ztěžují přístup k informacím. Jiní manažeři chápou, že informace musí odrážet reálný svět, tj. být pravdivé. Správnost29 informací musí být zajištěna právě bezpečnostními opatřeními. Ochrana a řízení přístupu k nesprávným informacím nemá pro podnik příliš velký smysl.

4.3.1 Typy informací Na začátku analýzy zjistěte vzory různých druhů informací ve firmě. Každý člen podpůrné skupiny by měl rozpoznat, jaké druhy informací se v příslušných odděleních užívají, tj. např. v úseku personalistiky, výroby, financí, účetnictví, právnickém, informatiky či administrativy. To vyplývá z principu (viz část 3.2.2), že o příslušné informaci ví nejvíce její vlastník, který se musí na klasifikaci informace minimálně podílet! Týmově se druhy informací prozkoumají a zanesou do následující hodnotící tabulky (Tabulka 3): 29

„Správná“ informace je taková informace, jejíž obsah nebyl neoprávněně změněn.

- 53 -


Jindřich Hlaváč

Dopad na organizaci Pravděpodobnost

Malý

Střední

Vysoký

Nízká Střední Vysoká

1 2 3

4 5 6

7 8 9

Tabulka 3 - Hodnotící tabulka A

Zdroj: [ISS1]

Získané informace napomohou projektovému týmu stanovit klasifikační kategorie a kritéria pro důvěrnost, integritu a dostupnost informací, které: •

odrážejí potřeby a cíle podnikání,

•

mohou být jasně a konzistentně vykládány manažery i zaměstnanci,

•

povedou k určení bezpečnostních akcí pro každou kategorii.

Vhodnou pomůckou při definování typů informací v organizaci je i další typ hodnotící tabulky. Předchozí Tabulka 3 napomáhá ke stanovení citlivosti informace na základě možnosti nepovoleného prozrazení a pravděpodobnosti takového odhalení. Následující Tabulka 4 napomáhá k definici typů informací v organizaci, zařazení do tříd a celkové definici klasifikační politiky.

Hodnotící tabulka pro klasifikaci informací Organizace: ____________________________ Hodnoceno kým / telefon: _________________ Název a popis informace dle typu informace

Záznamové médium

Skupina:___________________ Datum: ___________________

DŮVĚRNÉ

VNITŘNÍ UŽITÍ

VEŘEJNÉ

Záznamy o zaměstnancích 1 2 Administrativní záznamy 1 2 Obchodní informace 1 2 Operativní informace 1 2 Informace o distribuci 1 2 apod. Tabulka 4 - Hodnotící tabulka B

Zdroj: [ISS1]

- 54 -


Jindřich Hlaváč

Co a jak se do tabulky vyplňuje? Organizace – název oddělení vlastníka informace. Skupina – název skupiny, která hodnocení provádí. Hodnoceno kým / telefon – jméno a tlf. číslo osoby odpovědné za hodnocení. Datum – datum hodnocení. Název a popis informace dle typu informace – identifikace a popis hodnocené informace. V tomto sloupci jsou naznačeny typy informací, které se ve firmách objevují: •

záznamy o zaměstnancích - záznamy o pracovním výkonu zaměstnanců, pracovní lístky, dokumenty o pracovní kázni, výplatní pásky, zdravotní záznamy,

•

záznamy za skupinu – měsíční a roční zprávy, roční obchodní cíle,

•

obchodní informace – kupní smlouvy, čtvrtletní finanční výkazy, úkoly a plány vedení projektu, příručky, vyjednávané kontrakty,

•

operativní informace - informace o obchodních partnerech, o rozložení aktiv, obchodní aktivity, výrobní vzorce (postupy), informace o výrobních nákladech, seznamy zákazníků,

•

záznamy o distribuci - distribuční modely a záznamy, inventurní záznamy, stav zásob.

Každá informace spadá do některé klasifikační třídy, do které, to se zaznamenává do pravé poloviny tabulky s odůvodněním zařazení. Tato tabulka pomůže uživatelům identifikovat typy informací v jejich oddělení, aby mohli kvalifikovaněji rozhodnout o jejich klasifikaci.

4.3.2 Specifikace tříd Snažte se stanovit co nejmenší počet klasifikačních tříd. Jestli některé dvě třídy nevyžadují značně rozdílné zacházení, slučte je. Čím více tříd, tím větší zmatek mezi manažery a zaměstnanci. Obvykle tři nebo čtyři třídy stačí pokrýt nároky organizace. Pokud mezi dvěma typy informací není pro organizaci významný rozdíl z hlediska důvěrnosti nebo dostupnosti, nedělíme je do dvou skupin. Politiky a kategorie by měly být vyjádřeny co nejjednodušší formou. Při vývoji systému kategorií je dobré konzultovat jejich volbu v různých manažerských skupinách a reflektovat jejich připomínky. Užitečné bývá uspořádat dvě nebo tři schůzky typu brainstorming a vyzkoušet vlastnosti kategorií. Na druhou stranu se vyhněte nutkání klasifikovat vše stejně. Některé organizace ve snaze zjednodušit proces klasifikace si zahrávají s myšlenkou klasifikovat jako důvěrné všechno. Problém tohoto pojetí je, že důvěrné informace vyžadují zvláštní zacházení, což porušuje princip umisťovat kontrolní mechanismy jen tam, kde jsou skutečně potřeba. Taková metoda nutí organizaci vynakládat zdroje na ochranu aktiv, které takový stupeň zabezpečení nevyžadují. Jiným nebezpečeným lákadlem je převzetí systému tříd vyvinutých v jiném podniku a bez rozmyslu je převzít tak jak jsou. Použijte informace vytvořené jinými organizacemi pouze jako návod při tvorbě vlastního jedinečného souboru tříd a definic. Pamatujte, že ve firmě nejsou obchodní data, která by nebyla v nějakém smyslu citlivá, proto je třeba v politice pamatovat i na skupinu nejnižší, public. Při specifikaci tříd ve firemní politice by se nemělo používat vágních termínů jako „způsobuje problémy“, „způsobuje škody“, „vážné škody podniku“. Dále není dobré třídy nazývat dle bezpečnostních incidentů – výrazy podvod, zneužití či krádež nic nevypovídají o hodnotě informace či citlivosti. Je třeba, aby se pracovní skupina shodla na přesných termínech a definici vlastností, které informace v dané třídě mají mít (nebo aspoň definici škod způsobených prozrazením). V následující části se podíváme na užívanou terminologii při tvorbě klasifikačního schématu (volbě klasifikačních tříd či kategorií) u nás i ve světě.

- 55 -


Jindřich Hlaváč

4.4 Třídy v klasifikaci informací Když se řekne klasifikace informací, první myšlenkou bývá právě princip hierarchického dělení informací dle úrovně jejich citlivosti do skupin (tříd, kategorií). Otázkou je do kolika skupin informace rozřazovat a jak je nazvat. Zatímco na úrovni státní správy je tato oblast jasně řešena systémem právních norem (viz část 3.1.5), na podnikové úrovni vládne nejednoznačnost. Chaos zvyšuje různorodé názvosloví, které navíc překládáme z angličtiny. Pokusím se používané termíny vysvětlit a zobecnit jejich použití. Obecně jsou informace rozděleny do dvou základních skupin na informace [GAL1]: klasifikované a neklasifikované (veřejné, všeobecné). Nás bude zajímat zejména skupina informací klasifikovaných.

4.4.1 Třídy v ČR Stát klasifikuje utajované skutečnosti (na základě zákona č. 148/1998 Sb.) do těchto tříd: PT - přísně tajné (top secret), T – tajné (secret), D – důvěrné (confidential) a V – vyhrazené (restricted). Začlenění do tříd se určuje podle újmy, která vznikne odhalením – mimořádně vážná, vážná, prostá a „je to nevýhodné“. Ve firmách se používá tří až čtyřstupňový model klasifikace, přičemž použité výrazy se liší. V tabulce (Tabulka 5) jsou příklady používaných synonym. Synonyma Přísně tajné

Důvěrné

Vyhrazené

tajné důvěrné, doplněné o další atributy přísně velmi vysoce citlivé se speciální zacházením osobní apod. citlivé osobní privilegované důvěrné doplněné o další atributy: důležité utajené apod. citlivé důvěrné pouze pro interní (vnitřní) potřebu k omezenému šíření proprietární apod.

Tabulka 5 – Užívaná označení tříd

Obsah – jaké informace? poskytující organizaci velmi důležitou konkurenční výhodu jejichž ztrátou dojde k zániku organizace jsou (technickým, finančním) základem úspěchu produktu ukazují specifika podnikové strategie a hlavní záměry poskytující organizaci důležitou konkurenční výhodu jejichž ztrátou může dojít k zániku organizace jsou vysoce důležité pro úspěch produktu identifikující osoby takové informace, které slouží zaměstnancům k realizaci obchodních zájmů organizace

Zdroj: [GAL1]

- 56 -


Jindřich Hlaváč

V modelu, kde se užívají 4 třídy, je skupina Přísně tajné dále členěna na dvě třídy. Z tabulky je zřejmé, že volnost pojmenování jednotlivých tříd pro označování informací může způsobit problémy při výměně informací a komunikaci mezi organizacemi navzájem nebo se státní správou. Další problém nastane, budeme-li chtít komunikovat se zahraniční organizací, kde používají opět jiná označení [GAL1]. Mohlo by se zdát, že problém vyřešíme sjednocením pojmů podle nějaké zákonné normy. V ČR by to bylo možné, ale např. v USA je svévolné užívání značení a pojmenování klasifikovaných informací trestným činem a pokud informace toto značení nesou, musí spadat pod kontrolu vlády. Proto je dobré se na podnikové úrovni značení, které užívá státní správa vyhnout. Hovoříme pak ne o „klasifikované informaci“, ale o „citlivé, ale neklasifikované“. To samozřejmě neplatí v případech, že organizace je povinna se příslušnými zákony řídit [GAL1].

4.4.2 Třídy v zahraničí Jednotlivé cizí státy definují třídy v rámci skupiny klasifikovaných informací podobně jako ČR. V tabulce (Tabulka 6) je pro srovnání stav v USA. Vypsané tři třídy informací se souhrnně nazývají classified, informace nižší úrovně citlivosti (např. osobní údaje) jsou unclassified. ČR (Zákon č.148/1998 Sb.)

USA (Executive Order #12958)

PT

Přísně tajné (Top Secret) Odhalením vzniká: mimořádně vážná újma

TS

T

Tajné (Secret) Odhalením vzniká: vážná újma

S

Secret Odhalením vzniká: vážná škoda

D

Důvěrné (Confidential) Odhalením vzniká: prostá újma

C

Confidential Odhalením vzniká: škoda

V

Vyhrazené (Restricted) Odhalení je: nevýhodné Tabulka 6 - Třídy klasifikovaných informací

Top Secret Odhalením vzniká: výjimečně vážná škoda

Zdroj: [GAL1]

V USA nelze v nevládních organizacích svévolně používat termínů confidential, secret a top secret. Informace takto označené vyžadují státní dohled a audit. Vláda si také přivlastnila termín sensitive but unclassified (citlivé, ale neklasifikované). Jde sice o logický nesmyl (pokud je něco označeno jako citlivé, je to klasifikované), ale podstatou je, že jde o informaci citlivou, která nepodléhá „státnímu dozoru“. Tabulka 5 přehledně ukazuje česká synonyma užívaná pro pojmenování klasifikačních tříd. Doplním ji o používané anglické termíny; uvádím je v původním znění [ISS3] a s mým překladem. 1., nejvyšší úroveň citlivosti: často název confidential (důvěrné) doplněný o přívlastky jako strictly (přísně), most highly (nejvýše), special control (zvláštní řízení), restricted (vyhrazené), registered secret (zapsané, schválené věci k utajení), highly sensitive (vysoce citlivé) a někdy i personal (osobní, vlastní). Nejčastěji však se užívá top secret (přísně tajné), secret (tajné) a highly confidential (vysoce důvěrné). 2. úroveň: confidential (důvěrné) nebo [company name] confidential (důvěrné ve firmě XY), někdy s přívlastky jako priority (důležitý, přednostní), personal (osobní) a need-to-know (týkající se utajování informací). Nejčastěji confidential, sensitive, personal nebo privileged (přednostní).

- 57 -


Jindřich Hlaváč

3., nejnižší úroveň citlivosti: internal (interní), [company name] use only (pro užití jen ve firmě XY), někdy i proprietary (soukromé, chráněné), private (osobní) a sensitive (citlivé) či někdy dokonce i confidential (důvěrné) a restricted (vyhrazené). Používá-li se čtvrtá úroveň jako nejnižší, pak bývá označena slovy public a unclassified.

4.4.3 Klasifikační třídy dle britské vlády Jde o doporučení britské vlády pro průmyslové a obchodní organizace; je jedním z významných pokusů o standardizaci (viz níže). Opět pracuje s třemi základními třídami [CW1]: SEC1: Informace, jejichž neautorizované odhalení, zejména mimo organizaci, by bylo nevhodné a nevýhodné. Jedná se většinou o běžné informace, které si organizace jednoduše nepřeje zveřejnit. Takto „klasifikovaná“ informace nemusí být označena; do této kategorie spadá většina informací. SEC2 (RESTRICTED; vyhrazené): Informace, jejichž neautorizované odhalení (dokonce i uvnitř organizace) může významným způsobem poškodit zájmy organizace. Tyto informace zahrnují např. podklady pro různá obchodní vyjednávání, hodnocení konkurentů na trhu, osobní informace, informace o zákaznících, informace označené takto vládou apod. Informace s touto úrovní citlivosti by měly být vždy příslušným způsobem označeny, a to i při komunikaci. SEC3 (CONFIDENTIAL; důvěrné): Informace, jejichž neautorizované odhalení (dokonce i uvnitř organizace) by způsobilo organizaci závažné ztráty nebo značně poškodilo její zájmy. Jedná se o způsobení značné škody vlivem vážných finančních ztrát, vážnou ztrátou příležitosti k zisku, závažného poškození nebo ztrátou pověsti. Tyto informace zahrnují např. detaily týkající se převzetí jiné organizace, uzavření nebo utlumení činnosti některé části organizace, spojení s jinou organizací, globální obchodní strategie, obchodních plánů, velmi citlivého ohodnocení obchodních partnerů, dodavatelů, konkurentů, tajné informace týkající se patentů, nových výrobků, informace takto označené vládou apod. Informace s touto úrovní citlivosti by měly být vždy příslušným způsobem označeny, a to i při komunikaci. Rozdíl mezi americkým a britským schématem je podstatný. Zatímco americké nařízení nejcitlivější informace označuje top secret (jako ČR), britský předpis je označuje jako confidential, což naopak pro Američany je až třetí stupeň. Neshodnou se ani u prostřední třídy: v USA jde o secret, ve VB restricted – jinde se zase užívá internal use. Nejnižší stupeň citlivosti se označuje public. Jiným často používaným dělením je na tyto třídy citlivosti [ISS1]: confidential (důvěrné), internal use (pro vnitřní potřebu – vyhrazené) a public (veřejné). Jak je vidět, neodpovídají americkému modelu, ale spíše britskému SEC. Detaily ohledně klasifikace informací dle SEC lze nalézt v [DTI]. PROBLÉMY Organizace potřebují efektivně propojovat své informační systémy, komunikovat s partnery a nejednotnost ve specifikaci tříd přináší dodatečné náklady na sjednocení, je-li vůbec možná (kdo ustoupí od svého systému?). Oříškem je, zda základní dělení má být na tři nebo na čtyři třídy, přičemž někde pojmenování tříd evokuje dojem, že se štěpí nejcitlivější třída (v ČR) a někde nejméně citlivá – v USA classified a unclassified. Z tohoto je vidět, že nejednotnost označování je obrovská. Existují snahy oblast standardizovat, např.: •

dokument Ministerstva obchodu a průmyslu Velké Británie [DTI] a

•

Data Protection Matrix [ISS3].

Nejde jen o názvy tříd, což může být problém zejména při komunikaci se zahraničními partnery, ale také o principy zařazování do nich.

- 58 -


Jindřich Hlaváč

4.5 Principy řazení do tříd Řazení informací do tříd podléhá jistým zákonitostem. Není možné, aby tuto činnost prováděl každý informace musí být klasifikovány vlastníkem informace. Výchozí principy jsou v části 4.3 a tabulce (Tabulka 3). Při řazení do tříd je třeba brát ohled na několik atributů. Základním je samozřejmě cena informace (viz část 3.2), která odráží výši škody při jejím prozrazení. Svůj význam má ale i integrita, autenticita a dostupnost informace. Proto je třeba dbát, aby zařazení do třídy neznamenalo pro informaci podstatné zhoršení některého z těchto atributů. Konflikt nepřímé úměry mezi dostupností a zabezpečením jsem již uváděl. Jiný příklad – u informace, u které záleží zejména na její integritě (ve smyslu správnosti a aktuálnosti), by bylo zařazení do vyšší skupiny (citlivější) i přes její vysokou cenu chybou, pokud by mělo vést k omezení přístupu pracovníků, kteří s ní pracují (např. sběr a analýza citlivých dat přímo v terénu). Dalším atributem může být objem informace. Záleží na konkrétní informaci, ale počítačový program nebo databáze zákazníků je jistě hodnotná a citlivá záležitost. Na druhou stranu např. cílená špionáž většinou směřuje na konkrétní údaje menšího objemu. Svou roli může hrát i čas, forma a umístění informace. Čtvrtletní výsledky hospodaření firmy jsou jistě pro spekulanty zajímavější před zveřejněním. Šifrované údaje mají zřejmě vyšší hodnotu než čistý text, protože jinak by nebyla kódovaná. Informace v laboratoři mají zřejmě jinou citlivost než ty na desce psacího stolu. Takto bychom mohli pokračovat dál, ale většinu těchto atributů lze shrnout do ceny informace s tím, že je třeba počítat s její variabilnosti v čase a prostoru. Proto také dochází k reklasifikaci informací. Organizace může k popsání různých úrovní citlivosti použít svoji vlastní terminologii a přizpůsobit ji své činnosti v závislosti na potenciálních škodách plynoucích z neautorizovaného prozrazení informací. Jestliže však bude sdílet citlivé informace s jinými organizacemi, je třeba se předem navzájem dohodnout na společné terminologii, aby byla citlivost posuzována jednotně. Co se obvykle považuje za důvěrnou firemní informaci? Základní definice zní, že informace je důvěrná pokud jejím prozrazením dojde k: •

vzniku vážné škody firmě,

•

snížení kompetitivní výhody společnosti,

•

porušení soukromí jednotlivců.

Dokument Economic Espionage Act of 1996 (EEA) definuje dle [ISS1] informace obsahující obchodní tajemství jako „všechny formy a typy finančních, obchodních, vědeckých, technických, ekonomických nebo řídících informací bez ohledu na to, jak jsou získány, zpracovávány nebo uloženy“. Dále říká, že ačkoliv je nelegální takové informace např. odcizit, je tu povinnost vlastníka je přiměřeným způsobem před zneužitím chránit. Příklady takových informací jsou: patenty, copyrighty, obchodní známky, obchodní tajemství (všechny zmíněné informace jsou chráněny zákonem, ale to nezbavuje vlastníka povinnosti je přiměřeným způsobem chránit), informace o zákaznících, obchodnících, zaměstnancích a akcionářích, zdravotní a záznamy a záznamy o (různém) pojištění, obchodní i operativní plány, cenové politiky, plány a rozpočty, fakturační záznamy, informace o platební morálce a úvěrech, marketingové plány, informace o hodnocení výkonu, zisku a změnách v managementu.

- 59 -


Jindřich Hlaváč

4.6 Reklasifikace a deklasifikace informací Význam a tak často i citlivost informace se v čase mění. Proto někdy dochází k reklasifikaci (změně klasifikačního stupně) informace. Protože informace v čase většinou hodnotu ztrácejí, hovoříme častěji o jejich deklasifikaci (snížení klasifikačního stupně). Snížení klasifikačního stupně (downgrading) by mělo proběhnout pokud možno automaticky. Jestliže vlastník informace zná datum (případně určitou skutečnost), kdy by měla být informace reklasifikována, měla by být označena důvěrné do (datum). Např. zápis z jednání bankovní rady centrální banky o případném uvalení nucené správy na určitou komerční banku bude jistě považován za citlivou nebo vysoce citlivou informaci; po rozhodnutí a jeho zveřejnění pominou důvody pro zachování důvěrnosti zápisu. Deklasifikace se obvykle provádí o jeden citlivostní stupeň. O dva stupně se může deklasifikovat například čtvrtletní výsledky hospodaření firmy, které až do veřejného vyhlášení bývají klasifikovány jako důvěrné, poté public. Všechny informace označené vyšší klasifikačním stupněm než public30 by měly být alespoň jednou ročně podrobeny přehodnocovacímu procesu a reklasifikovány, pokud již nesplňují kritéria pro daný stupeň zabezpečení. Součástí procesu klasifikace je i likvidace dokumentů, které již nejsou potřeba. Naopak je také třeba dohlédnout na kopírování klasifikovaných dokumentů a zajistit že dokumenty a soubory dat jsou kontrolovány, zapisován počet a příjemce vytvořených kopií (a ty opět příslušně označeny).

4.7 Nakládání s informacemi Samotné vytvoření klasifikačních tříd ještě neznamená, že jsme provedli klasifikaci informací. Nedílnou součástí klasifikační politiky je stanovení způsobů nakládání s informacemi, včetně zajištění přístupu a jejich ochrany. Pracovníci musí vědět, jak s klasifikovanými informacemi mají zacházet. Například přísná přístupová pravidla aplikovaná na data uložená v mainframu k zabezpečení citlivých informací nestačí. Stejně bedlivě (resp. tak, jak je stanoveno v klasifikační politice) se musí zacházet s informacemi (podle jejich klasifikace) na stanicích, v poště, pracovní desce nebo koši na odpadky, tj. bez ohledu na jejich formu a umístění!

4.7.1 Manipulace s klasifikovanými informacemi Na následujících řádcích představím příklad interního předpisu, který může představovat vodítko pro zaměstnance při manipulaci s citlivými informacemi. Vycházím přitom z klíčového článku Thomase Peltiera [ISS1]. Pro naše potřeby zavedeme základní třístupňové klasifikační schéma – třídy confidential, internal use a public, resp. důvěrné, pro vnitřní užití a veřejné. Ve většině organizací se s takovým členěním vystačí, přičemž problém zůstává jen v názvosloví. Problém vidím v případě komunikace firem na mezinárodní úrovni, zejména s USA, kde výraz confidential spadá pod kontrolu vlády. Podobný problém nastane, bude-li firma nakládat s utajovanými skutečnostmi dle českého zákona č. 148/1998 Sb. Osobně bych se přikláněl k neutrálnímu označení tříd čísly, přičemž nejvyšší třída (1.) by splňovala podmínky pro nakládání s informacemi „v režimu top secret“ (a tudíž byla důvěryhodná i pro státní správu), druhá třída (2.) by obsahovala informace pro vnitřní užití ve firmě, jejichž prozrazení by přineslo firmě újmu (hodí se též výraz vyhrazené) a třetí třída veřejné – public, kde se jedná většinou o běžné informace, které si organizace (zatím) nepřeje zveřejnit. Takto „klasifikovaná“ informace nemusí být označena; do této kategorie spadá většina informací. Přiznávám v tomto ohledu inspiraci s dle mne rozumným „SEC schématem“ (část 4.4.3).

30

Používám názvy tříd podle „úmluvy“, kterou zavádím v následující části.

- 60 -


Jindřich Hlaváč

Následující Tabulka 7 obsahuje pokyny, jak nakládat s informacemi podle jejich zařazení do klasifikační třídy.

1 – Důvěrné

2 – Vnitřní užití

3 - Veřejné

Tištěné informace Označování dokumentů

Vyznačení vlastníka a označení „DUVERNE“ na obálce nebo titulním listě

Žádné zvláštní požadavky

Označení „VEREJNE“ na obálce nebo titulním listě

Tvorba kopií dokumentů

Vlastník informace dává svolení

Kopie jen pro potřebu firmy


Posílání dokumentů poštou

Žádné označení na vnější obálce; Požadavky pro zasílání známka „DUVERNE“ na vrchním poštou určí vlastník listu; potvrzení přijetí podle informace potřeby vlastníka informace


Skartace dokumentů

Fyzické zničení dokumentu bez možnosti obnovy za dohledu vlastníka

Fyzické zničení pod dohledem


Uložení dokumentů

Uzamčeny, nejsou-li používány

Hlavní kopie chráněna před zničením

Hlavní kopie chráněna před zničením

Přístup k dokumentům

Vlastník definuje přístupová práva Vlastník definuje uživatelů, obvykle velmi omezená přístupová práva, v rámci firmy obvykle volně dostupné

Revize zařazení do klasifikačního stupně dokumentu

Vlastník určí přesný datum revize (nepřesahující jeden rok)

Vlastník informace Žádné zvláštní požadavky provede revizi nejméně 1x ročně

Uložení na pevném médiu s řízeným přístupem

Šifrování není vyžadováno

Šifrování není vyžadováno Šifrování není vyžadováno

Uložení na pevném médiu bez řízeného přístupu

Vyžadováno šifrování


Uložení na přenosném médiu

Vyžadováno šifrování


Žádné zvláštní požadavky; obvykle dostupné uvnitř i vně organizace

Informace v IS

Přístup k informaci (včetně Vlastník pověřuje jednotlivé kopírování) uživatele

Vlastník definuje povolení Žádné zvláštní požadavky na úrovni uživatele, skupiny nebo funkcí

Update informace

Vlastník pověřuje jednotlivé uživatele

Vlastník definuje povolení Vlastník definuje možnosti na úrovni uživatele, povolení skupiny nebo funkcí

Výmaz informace

Vlastník pověřuje jednotlivé uživatele; požadováno potvrzení uživatelem

Vlastník definuje povolení Vlastník definuje možnosti na úrovni uživatele, povolení skupiny nebo funkcí; požadováno potvrzení uživatelem

Tisk

Výstup směřuje na definovanou a sledovanou tiskárnu

Vlastník definuje možnosti povolení


Označení informace na obrazovce

Objeví se sdělení „DUVERNE“ v horní části obrazovky


V horní části obrazovky může být sdělení „VEREJNE“

- 61 -


Jindřich Hlaváč

Označení informace na výměnném médiu

Vyznačení vlastníka a označení „DUVERNE“

Označení dle úvahy vlastníka


Likvidace elektronických médií (diskety, pásky, HDD apod.)

Fyzické zničení dokumentu bez možnosti obnovy za dohledu vlastníka

Fyzické zničení


Likvidace informace

Bezpečné smazání násobným přepisem

Smazání informace běžným způsobem


Revize zařazení do klasifikačního stupně dokumentu

Vlastník určí přesný datum revize (nepřesahující jeden rok)

Vlastník informace provede revizi 1x ročně

Vlastník informace provede revizi 1x ročně

Audit přístupu k informaci

Logují se všechny pokusy o přístup; vlastník hodnotí všechny přístupy a násilné pokusy

Logují se násilné pokusy; vlastník přiměřeně vyhodnocuje


Požadavky na uchování zpráv o přístupech

Vlastník určí dobu uchování přístupových logů (nejdéle rok)

Vlastník určí dobu uchování přístupových logů (nejdéle 6 měsíců)


Faxem

Dohled nad přijetím faxem

Vlastník určí požadavky


Pomocí sítě WAN

Požaduje se potvrzení o přijetí; volitelně šifrování

Žádné zvláštní požadavky; Žádné zvláštní požadavky volitelně šifrování

Pomocí sítě LAN


Žádné zvláštní požadavky; Žádné zvláštní požadavky volitelně šifrování

Kurýrní poštou

Žádné označení na vnější obálce; běžné označení na dokumentu



Hlasovou poštou

Požaduje se potvrzení o přijetí; odstranění zprávy po přijetí



E-mailem




Bezdrátovým telefonem, mobilním telefonem

Nepřenášet



Elektronicky přenášené informace

Tabulka 7 - Matice nakládání s informacemi

Zdroj: [ISS1]

4.7.2 Nakládání s informacemi podrobněji Zastavím se podrobněji u některých činností, které se provádějí nejčastěji. Vycházím z konceptu, který jsem zavedl v předchozí části a z článku [PEL2]. Označování (labeling) Informace máme klasifikovány a musíme je nějak označit, aby to bylo na první pohled zřejmé. Fyzické dokumenty opatříme popisem či razítkem, elektronické dokumenty se označují elektronickým podpisem, nějakým příznakem nebo záznamem v paralelní databázi. Zajímavou možností pro označování dokumentů bude jistě XML, které přináší oproti HTML kromě popisu vzhledu dokumentu zejména popis významu dokumentu. To lze využít i pro klasifikaci informací, jelikož každý dokument může např. obsahovat tag , jehož atributem budou jednotlivé klasifikační třídy a informační systém již zajistí, aby byl přístup k dokumentům umožněn jen autorizovaným uživatelům.

- 62 -


Jindřich Hlaváč

Všechny důvěrné informace musí být zřetelně označeny slovem „DŮVĚRNÉ“. S neoznačenými informacemi se zachází jako s informacemi klasifikovanými „PRO VNITŘNÍ UŽITÍ“. Důvěrné informace by měly mít vyznačeného vlastníka a datum úpravy na přední straně dokumentu. Dokument i veškeré kopie by měly být opatřeny razítkem nebo nápisem „DŮVĚRNÉ“ v horní části zvenku obálky (je-li to možné) nebo na titulní stránce. Řádná klasifikace fyzickým označením, záznamem, symbolem, poznámkou nebo jiným způsobem slouží jako upozornění uživateli o stupni zabezpečení konkrétní informace. Pokud by byla zmíněná doporučení firmami aplikována, zvýšila by se schopnost bezpečně sdílet dokumenty mezi organizacemi. Jen důvěrné informace vyžadují označení. Veřejné informace by měly být označeny pro lepší orientaci příjemců. Pokud nebudou, nezveřejnění takové informace nezpůsobí vážné škody (s neoznačenými informacemi se zachází jako s údaji pro vnitřní užití. Užívání informací a jejich duplikace Přístup k informaci může být využit jen pro účely definované vlastníkem. Ten je autorizuje dle firemních potřeb žadatelů (o informace). Přístup k nim je neopravňuje k jiným než definovaným aktivitám jako je kopírování a rozesílání ostatním uživatelům. Někdy musí vlastník informace autorizovat (dát pravomoci k určitým činnostem) uživatele formálně písemně. Obvykle ale stačí ústní autorizace. Je odpovědností vlastníka určit potřebnou míru formality. Je běžné, že poskytnutá informace je analyzována, shrnuta a je vstupem procesu, který vlastní někdo jiný. Nutné ale je, aby o takovém postupu vlastník věděl. Ukládání informací Organizace by své záznamy měly uchovávat pro ně nejvýhodnějším způsobem. Z hlediska bezpečnosti ale platí dvě základní pravidla: 1. Pokud se informace zrovna nepoužívá, měla by být vhodným způsobem uložena. 2. Důvěrné informace by měly být uloženy tak, aby k nim byla zajištěna kontrola přístupu. Informace, obzvláště ty důvěrné, musí být zabezpečeny nejen, když se používají, ale i ukládají, aby se předešlo neoprávněnému přístupu, změně nebo zveřejnění. Pro „papírové“ informace to znamená zamykat je do skříně nebo pracovního stolu, pro informace v počítači je důležité fyzické zabezpečení počítače a instalace software pro kontrolu přístupu. Samozřejmě „top secret“ informace by měly být v trezoru či v od sítě odpojeném zabezpečeném počítači. Likvidace informací Informace, které již nejsou potřeba, by měly být zničeny. Důvěrné informace by měly být zničeny takovým způsobem, aby nebyla možná jejich obnova. Pokud již informace nemá pro uživatele žádnou hodnotu, měl by tuto svou kopii informace zničit. Pokud informace nemá význam ani pro firmu, je za zničení originálu zodpovědný vlastník. U vnitřní informace to představuje jednoduché vyhození dokumentu do koše nebo vymazání souboru z počítače. Důvěrné informace potřebují větší péči, musí se zajistit, že zahozený dokument (soubor) nikdo nebude moci rozeznat nebo obnovit (nejlépe skartovač s podélným i příčným řezem a násobný přepis vymazaného souboru). Vlastníci i uživatelé by se měli ujistit, že také všechny záložní kopie byly neobnovitelně zničeny.

4.7.3 Nakládání s informacemi dle britské normy „SEC“ Informace, jejichž citlivost je na úrovni SEC2 nebo SEC3, by měly být vždy příslušným způsobem označeny ať už se nalézají na papíru, disketě, disku, pásce, fólii pro prezentaci, mikrofiši, fotografii nebo jakémkoliv jiném médiu. Organizace nemusí mít implementovány všechny tři úrovně citlivosti může např. dojít k závěru, že žádná informace uvnitř organizace nespadá do úrovně SEC3 a

- 63 -


Jindřich Hlaváč

implementovat pouze úrovně SEC1 a SEC2. V takovém případě musí upozornit své partnery, že není schopna korektně pracovat s informacemi na úrovni SEC3, protože by s nimi zacházela jako s informacemi úrovně SEC2. Organizace může implementovat více úrovní citlivosti nebo je stanovit tak, že nebudou přesně odpovídat úrovním SEC1 až SEC3. Je-li informace, označená např. úrovní spadající mezi úrovně SEC1 a SEC2, předávána jiné organizaci, měla by být označena vyšší úrovní, tj. SEC2; stejně tak citlivá informace převzatá od jiné organizace by neměla být označena nižším stupněm citlivosti. Bezpečné sdílení citlivých informací je důležité v případech vytváření nebo fungování "joint venture" organizací, uzavírání smluv na subdodávky (kde se předpokládá zacházení s citlivými informacemi) nebo je-li partnerem vládní organizace. Detaily ohledně klasifikace informací dle SEC lze nalézt v [DTI].

4.8 Zajištění přístupu a ochrany Nedílnou součástí procesu tvorby klasifikační politiky je definice přístupových práv k různě klasifikovaným informacím. V předchozí části je v tabulce naznačeno zejména u nejcitlivějších informací, jak je třeba s nimi pracovat a kdo k nim má mít přístup. Důležitým prvkem je rozdělení zaměstnanců na „uživatelské skupiny“, jak jsem provedl v části 3.2.2. Definoval jsem tři uživatelské role při práci s informacemi, ale neřekl jsem nic o jejich povinnostech. Těmi se budu zabývat nyní. Vlastník informace (owner) je minimálně zodpovědný za [ISS1]: •

posouzení hodnoty informace a určení příslušné klasifikační třídy,

•

pravidelné revize zařazení (status informace se v čase může měnit),

•

určení a definici příslušných mechanismů zabezpečení k zajištění proti neoprávněnému přístupu, modifikaci, prozrazení či zničení,31

•

stanovuje přístupové a bezpečnostní požadavky na správce a uživatele informací,

•

povoluje přístup jednotlivcům, kteří mají důvodnou potřebu přístupu k informaci,

•

stanovuje riziko ztráty informace a zajišťuje adekvátní opatření k snížení rizika narušení integrity, důvěrnosti a dostupnosti informace,

•

dohlíží, aby bezpečnostní opatření plnila svůj účel,

•

zajišťuje implementaci plánu zachování kontinuity podnikání, aby zajistil dostupnost informace.

Správce informace (custodian) je minimálně zodpovědný za [ISS1]: •

realizaci příslušného zabezpečení, uložení, zálohu a obnovu informací,

•

zajišťuje bezpečné prostředí pro zachování integrity, důvěrnosti a dostupnosti informací,

•

zajišťuje přístup k informacím na základě vlastníkem definovaných požadavků.

Uživatel informace (user) musí: •

používat informaci jen k danému účelu,

•

udržovat integritu, důvěrnost a dostupnost informace, s kterou pracuje.

31

Z tohoto bodu je vidět, jak důležitá je spoluúčast zaměstnanců na klasifikaci informací, protože snad každý pracovník je vlastníkem nějaké informace.

- 64 -


Jindřich Hlaváč

Důležité pravidlo: uživatel s přístupem k informaci není oprávněn postupovat tento přístup jiným uživatelům; platí to pro všechny druhy informací a bez ohledu na jejich nosič. Řekli jsme, jaké povinnosti má vlastník informací; nyní si povíme, jakými „prostředky“ může svých povinností dostát a zaměříme se na 4 oblasti [PEL1]: •

autorizaci přístupu (access authorization),

•

řízení přístupu (access control),

•

zálohování a obnova (backup/recovery),

•

povědomí o informační bezpečnosti (information security awareness).

Autorizace přístupu Odpovědností vlastníka informace je identifikovat informační aktiva, která vytváří nebo spravuje (ve smyslu řídí), stejně jako určit, jak budou chráněna, kdo a za jakých podmínek k nim bude mít přístup. Aby byly informace hodnotné, musí být správné a dostupné. Maximální užitek z informace lze získat, pokud je dostupná tomu, kdo ji potřebuje a naopak nepřístupná tomu, kdo nemá oprávněnou potřebu. Její hodnota bude uchována, pokud uživatelé mají jen ty práva nad operacemi s informací, která potřebují. Většina uživatelů vystačí se čtením informace nebo odkazováním se na ni. Jen někteří jsou odpovědni za její aktuálnost a potřebují mít právo zápisu (resp. update nebo modify). Řízení přístupu Za řízení přístupu k informaci podle vlastníkem definovaných práv je odpovědný správce informace. Každý uživatel by měl být v podnikové počítačové síti jednoznačně identifikovatelný (mít své jedinečné uživatelské jméno, userid). Samotná identifikace se obvykle klasifikuje druhým stupněm, vnitřní užití (internal use)32. V počítačových systémech by měl mít každý uživatel userid a heslo (password), atributy, které jej jednoznačně identifikují. Heslo by mělo být uchováváno v tajnosti, mít aspoň pět znaků (lépe šest; s každým znakem exponenciálně klesá možnost jeho prolomení „hrubou silou“) a pravidelně měněno (aspoň jednou za 90 dnů; všechny síťové systémy toto umožňují a je jen na správci, zda bude změny hesla vyžadovat); nemělo by být napsáno nebo uloženo jako jednoduše čitelný text (plain text) a být lehce „odhadnutelné“ (nemělo by mít známou souvislost s uživatelem, protože to zvyšuje pravděpodobnost jeho náhodného uhádnutí; více např. v [BOS]). Základní způsob, jak systém zabezpečuje bezpečnost firemních aktiv (bez ohledu zda jde o aktiva informační nebo fyzická) je pomocí přístupové politiky – přístup povolím jen zaměstnancům s oprávněnou potřebou. Tento proces je zabezpečen pomocí identifikace a autentizace. Identifikace je způsob, jak uživatel sdělí systému (počítači, hlasové poště...), kdo je. To udělá pomocí svého userid. Nedílnou součástí ověření totožnosti je autentizace, což je proces ověření, že uživatel je tím, za koho se vydává. To provede pomocí svého hesla. S pomocí správného userid a hesla je tak uživatel identifikován a má přístup k systému. Tím je také zaručena individuální zodpovědnost při práci se svěřenými informacemi.

32

[PEL1] doporučuje provádět identifikaci dle ISO, kde formát userid firemního zaměstnance by mělo být ve formátu X9999 a C9999 pro dočasné smluvní pracovníky (např. „na dohodu“). Podobné identifikační schéma by mělo existovat i pro práci mimo počítačovou síť (např. v rámci objektu).

- 65 -


Jindřich Hlaváč

Zálohování a obnova Vzhledem k podnikání klíčové informace musí být pravidelně zálohovány33 pro případ obnovy, pokud by primární zdroj informace byl zničen nebo ztracen. Frekvence zálohování by měla být úměrná ceně informace (viz 3.2; navíc zařazení informace do klasifikačního schématu pomůže při úvaze o frekvenci zálohování). Zálohy informací by měly být ukládány na jiném místě, než primární zdroj (originál). Protože přese všechna opatření může dojít k porušení integrity a dostupnosti informace či dokonce zničení a ztrátě, je třeba informace pravidelně zálohovat. Kromě výše uvedených faktorů má na volbu frekvence zálohování vliv také požadovaná dostupnost. Například informace o zákaznících se mění každou chvíli a jsou nezbytné pro kontakt se zákazníkem, proto se očekává, že budou na požádání dostupné ihned. Informace o cenách nemovitostí nejsou tak nestálé a uživatelé těchto informací spíše přijmou dočasný výpadek, který nastane, než se údaje obnoví ze záloh. Zálohování informací o zákaznících probíhá obvykle v noci s průběžným logováním transakcí přes den. To umožní téměř okamžitou obnovu dat, na rozdíl od údajů o nemovitostech, kde se zálohuje např. týdně. Povědomí o informační bezpečnosti Manažeři by měli vytvořit a vést program informující zaměstnance o informační bezpečnosti. Školení ostatně by mělo být součástí bezpečnostní politiky, jak jsme si již řekli. Klíčové je, jak přijmou zavedení bezpečnostních opatření zaměstnanci, resp. jak budou naplňovat přijatou bezpečnostní politiku a standardy. Měli by být přesvědčeni o významu opatření a jejich přínosu pro jejich vlastní práci. Zacházení s informacemi podle daných pravidel by jim mělo připadat stejně samozřejmé jako třeba telefonování.

33

Zálohování je proces uchovávání záložních kopií dat pro případ zničení originálu. Archivace je proces uchovávání různých verzí dat z důvodu potřeby zachování jejich časové posloupnosti. Zatímco zálohy se obvykle přepisují, archivní data se ukládají na trvalé nosiče (např. CD-ROM). Oba procesy se obvykle provádějí „kopírováním“ a/nebo „komprimováním“. Komprimace je proces zmenšení objemu dat při zachování jejich vypovídací schopnosti.

- 66 -


Jindřich Hlaváč

4.9 Bezpečnostní modely Při tvorbě bezpečného IS je nezbytné zkoumat informační toky v podniku. Součástí bezpečnostní politiky je i rozhodování, které přesuny informací povolit a které ne. Bezpečnostní model, který vyplývá z analýzy rizik a klasifikace informací, je převodovým můstkem mezi bezpečnostní politikou a IT [INFB]. Zajistí, že aktiva organizace budou chráněna způsobem, který odpovídá míře rizika (s vynaložením přiměřených zdrojů). Pro informace nebo systémy s různou klasifikací budou existovat různé varianty bezpečnostních standardů (projektů – viz 3.1.2).

Obrázek 23: Aplikace bezpečnostního modelu

Zdroj: [INFB]

Výsledkem jsou varianty standardů pro systémy s různými riziky a tudíž rozdílnou potřebou bezpečnostních kontrolních mechanismů (Obrázek 23). Model určí pravidla, dle kterých bude systém rozhodovat, zda danému uživateli poskytne přístup k požadovaným datům. Tato pravidla zahrnují např. i povolené přesuny dat. Nestačí princip, že každý smí pracovat s daty až do úrovně klasifikace, pro kterou má prověření – uživatel by mohl (omylem nebo i úmyslně) převést informace z jedné úrovně utajení na jinou. To by mohlo znamenat únik informací nebo narušení integrity. Je třeba proto sledovat nejen přístup k datům, ale i toky informací v systému. Jak garantovat bezpečné zpracování klasifikovaných dat? Tento problém se začal řešit již v 80. letech v USA a jak to tak bývá, na ministerstvu obrany USA (DoD). To mělo eminentní zájem na vývoji systémů, které by garantovaly bezpečné zpracování klasifikovaných dat. Mělo i značné zkušenosti v ochraně důvěrných dokumentů, vlastnilo sofistikovaný systém klasifikace bezpečnostních úrovní dokumentů a lidí a mělo dostatečné zdroje na financování vývojových projektů. Prioritním cílem bylo vyvinout modely bezpečných systémů s cílem zabránit neautorizovanému odhalení klasifikovaných informací. Výsledkem prací byl model Bell-LaPadula, na který navázal vývoj formální bezpečnostní politiky, založené na tomto modelu, vytvoření počítačového systému, který tuto politiku implementoval, a rigorózní důkaz, že systém SW a HW tuto politiku skutečně implementoval [CW1]. V roce 1983 vláda USA, resp. ministerstvo obrany (DoD), vydalo soubor návodů pro výrobce systémů a systém hodnocení důvěryhodných výpočetních systémů, známý jako Orange Book. Tato kritéria začala být koncem 80. let využívána také komerčními i vládními organizacemi v USA i v Evropě, které se začaly zvýšenou měrou zabývat bezpečností počítačů. Postupně však vyvstala otázka, zda model Bell-LaPadula, z kterého "Orange Book" vychází, je vhodný pro aplikace mimo vojenský sektor [CW1]. Odpovědí byly další modely jako např. Clark-Wilsonův nebo v roce 1989 Brewerem a Nashem vytvořený tzv. "model čínské zdi" popisující bezpečnostní politiku určenou pro právní a konzultační firmy, kde je prioritním hlediskem důvěrnost dat. Modely Bell-La Padula a Clark-Wilson se budu zabývat v následujících dvou částech.

- 67 -


Jindřich Hlaváč

4.9.1 Bell-LaPadula a Bibův model Tento model vznikl již v roce 1973, původně byl určen pro operační systémy. Vychází z hierarchického členění informací (viz Obrázek 24), pracuje se stupni utajení a popisuje povolené přesuny dat.

PRISNE TAJNE

TAJNE

Toto členění je jednoduché a jak jsme poznali, pro klasifikaci informací základní. Počet úrovní, jejich označení a pravidla pro klasifikaci informací záleží na konkrétní organizaci. Základní principy modelu Bell-LaPadula jsou [CTVR]:

DUVERNE Obrázek 24: Hierarchické členění informaci

1. Procesy nesmějí číst data na vyšší úrovni (tzv. jednoduchá bezpečnostní vlastnost, též NRU – no read up). 2. Procesy nesmějí zapisovat data do nižší úrovně (též NWD – no write down). Tento „vojenský“ přístup je dostatečně obecný, platí pro procesy (např. pohled operačního systému), informační systém nebo pro lidi (zaměstnance) - pro každý subjekt S, resp. objekt O v systému nechť je definována bezpečnostní třída C(S) resp. C(O). Bezpečné přesuny informací mají pak následující vlastnosti [BOS]:

1. Subjekt S může číst objekt O právě když C(O) ≤ C(S). To je vlastnost jednoduché bezpečnosti (Simple Security Property). 2. Subjekt S mající právo čtení k objektu O může zapisovat do objektu P právě tehdy když C(O) ≤ C(P). Definuje tak povolené přesuny dat, aby nedošlo ke kompromitaci utajených informací. Obecně tedy např. pracovníci prověření na informace klasifikované jako tajné mohou také pracovat s informacemi klasifikovanými nižším stupněm (jako např. důvěrné), ale jen do míry definované modelem. Je používán v systémech, které paralelně zpracovávají informace různého stupně utajení. Zachování integrity a tedy i důvěryhodnosti (viz následující podkapitola) zpracovávaných informací zaručuje k předchozímu modelu duální Bibův model. Nechť pro každý subjekt S resp. objekt O v systému je definována integritní bezpečnostní třída I(S) resp. I(O). Obdobně jako v předchozím případě definujeme povolené přesuny [BOS]:

1. Vlastnost jednoduché integrity (Simple Integrity Property): Subjekt S může modifikovat objekt O právě když I(O) ≤ I(S). 2. Subjekt S mající právo čtení k objektu O může zapisovat do objektu P právě když I(O) ≥ I(P). Přestože byla učiněna řada pokusů o nalezení kompromisu mezi zajištěním integrity a utajení, dosud neexistuje obecně přijatý model, který by řešil oba problémy. Modely dovolují jen jednosměrný tok informací, což by např. v případě Bell-LaPadulova modelu umožňovalo např. rozvědce sběr dat, ale znemožňovalo by na základě těchto dat vydávat rozkazy

- 68 -


Jindřich Hlaváč

nižším složkám. Problém se řeší tak, že informace (které chceme posunout „zakázaným“ směrem) nejprve vytvoříme na nějaké povolené úrovni a následně oprávněná osoba provede jejich administrativní reklasifikaci na požadovanou úroveň. Modely tedy popisují pouze ty přesuny, které je možno provádět rutinně [CTVR]. Často se přistupuje k určitému omezení tvrdosti druhé podmínky. Povolujeme zápis i v případě, že C(O) > C(P) (Bell-LaPadula), resp. I(O) < I(P) (Biba), pokud zapisovaná data nezávisí na čtených údajích. Další modely, ovšem více technicky zaměřené, představuje například [BOS]. Dalším důležitým principem je, že pracovník má přístup (resp. má přidělena taková oprávnění) jen k takovým informacím, které nezbytně ke své práci potřebuje.34 Obecně se tomu říká princip nejmenších práv. Rozdělení informací dle stupně utajení je pro většinu aplikací příliš hrubé, proto se někdy dále dělí podle toho, o čem pojednávají na tématické okruhy (oddělení). Toto rozdělení není vzhledem k dané informaci disjunktní, ta může být zařazena do více oddělení. Ve všech je však prezentována se stejným stupněm utajení. Subjekt má právo pracovat s informacemi jen z některých oddělení. Toto nehierarchické členění informací se používá zároveň s hierarchickým; formálně lze shrnout, že subjekty musí být prověřeny na daný stupeň utajení, s přiděleným odpovídajícím oprávněním do příslušných oddělení.

4.9.2 Clark-Wilson model Utajení informací nemusí být pro organizace stěžejní vlastností „bezpečných informací“. Podle výzkumu firem Deloitte & Touche a Ernst & Young, kteří se dotázali pěti set manažerů (Obrázek 25), je pro ně důležitější dostupnost a integrita informací než utajení. Chtějí, aby potřebné informace byly ihned dostupné. Pokud znamená implementace přístupových zabezpečení ztížení přístupu, je podnikovým procesům spíše na škodu. Jiní manažeři si zase myslí, Obrázek 25: Vlastnosti informace Zdroj: [ISS1] že informace mají především odrážet realitu, tedy opatření by měla spíše zajistit, že informace jsou korektní. Řízení přístupu k nekorektním informacím nemá pro podnik velký smysl. Proto v komerční sféře mají význam i jiné modely, dávající důraz na věcný obsah informací. Model Clark-Wilson, publikovaný v r. 1987, poskytl model informační bezpečnosti, který se spíše než na zajištění důvěrnosti klasifikovaných informací zaměřil na zajištění toho, že finanční transakce jsou prováděny v souladu se specifikovanou politikou organizace, tj. s ohledem na integritu [CW1]. Model formalizuje pohled na data a operace nad daty při zachování integrity, ale i pojmy jako auditní záznam a řízení přístupu. [CTVR] vidí u komerčních systémů větší nebezpečí od vlastních pracovníků a užívá vertikální pohled na informace.

34

Legislativa na toto pamatuje (viz 3.1.5.1) a zdůrazňuje, že nestačí prověření na nějaký stupeň bezpečnosti, ale je třeba i opodstatněný důvod se s konkrétní informací seznámit. Tento princip se ale dodržuje spíše jen u informací klasifikovaných nejvyšším stupněm utajení.

- 69 -


Rozhodnutí

Volba způsobu realizace

Jindřich Hlaváč

5. Praktické informací

užití

klasifikace

V této kapitole se pokusím předvést konkrétní praktické příklady ohledně klasifikace informací. Začneme formalizovaným procesem.

5.1 Proces klasifikace informací Smlouva Zadání projektu

Sestavení týmu

Seznam členů hlavního a podpůrného týmu

Definice typů informací

Hodnotící tabulky

Specifikace tříd

Klasifikační schéma Reklasifikace

Řazení do tříd

KLASIFIKOVANÁ INFORMACE

Obrázek 26: Proces klasifikace

Tento proces je součástí širšího procesu řešení informační bezpečnosti (viz zejména část 3.1.2). Přímo proces klasifikace informací lze zřejmě zařadit do analýzy rizik čili bezpečnostní analýzy. Na obrázku vlevo (Obrázek 26) jsem naznačil proces klasifikace tak, jak byl v předchozích částech popsán. Jednotlivé části procesu jsem rozdělil na činnosti (obdélníky) a stavy (kosočtverce). Stavy jsou vyjádřeny pomocí dokumentů, což je také výstup z předchozí činnosti. Způsob, jak se jednotlivé kroky realizují, jsem popsal v předchozí kapitole. Na počátku procesu je rozhodnutí, že ke klasifikaci informací a tvorbě klasifikační politiky dojde. Vstupem do procesu předcházejícímu rozhodnutí může být informační strategie firmy nebo spíše studie bezpečnosti (úvodní analýza, úvodní studie), z nichž záměr vypracovat klasifikační politiku vychází. Nejdříve se rozhodne, jak se bude projekt realizovat, zda vlastními silami nebo externě. I to by mělo být obsahem již zmíněné informační strategie, zda podnik bude spoléhat na vlastní síly či informatiku vytěsní (outsourcing). Zde se pouze přihlédne k aktuálním podmínkám ve firmě a rozsahu projektu. Výstupem je buď smlouva s externím dodavatelem či písemné zadání projektu (viz část 4.1), jehož součástí musí být dohodnuté typy dokumentace (uživatelská - manuály pro typové uživatele, projekční – metodika procesu, provozní – bezp. standardy), návrh a realizace opatření (fyzická, organizační, personální). Na základě rozhodnutí o způsobu realizace dojde k sestavení týmu. S vlastními zaměstnanci je třeba počítat i v případě externího řešení – viz část 4.2. Výstupem je seznam členů hlavního i podpůrného týmu, určení vedoucího týmu a dalších rolí. Poté dojde k analýze toků a obsahu informací ve firmě, na jejímž základě se definují typy informací (viz část 4.3.1). Výstupem jsou pomocné hodnotící tabulky, které pomohou ke specifikaci tříd (viz část 4.3.2). Výstupem je klasifikační schéma (viz část 4.4), tzn. informace o tom, jaké třídy citlivosti ve firmě použijeme. Důležité je určení principů při řazení informaci do tříd (viz část 4.5).

- 70 -


Jindřich Hlaváč

Výstupem kroku řazení do tříd je zařazená, tedy klasifikovaná, informace. Jelikož její význam se v čase mění, je třeba informace pravidelně reklasifikovat (viz část 4.6), což znázorňuje zpětná šipka v diagramu. Několikrát zmíněná klasifikační politika je na stejném diagramu (Obrázek 26) zobrazena nepřímo. Jde totiž o sumu uvedených kroků, které dohromady zahrnují mechanismus tvorby tříd, dělení do tříd, a reklasifikaci. Do klasifikační politiky ještě patří definice nakládání s informacemi (viz část 4.7), zajištění přístupu a ochrany (viz část 4.8), řešení incidentů a způsob řešení chyb.

Klasifikační politika

Proces klasifikace informací

Odpovídající uložení informace

Klasifikovaná informace

Bezpečnostní modely

Nastavení pravidel přístupu

Obrázek 27: Celkový pohled na proces klasifikace informací

5.2 Řízení přístupu k systému Celkově řešení ohledně klasifikace informací vypadá tak, jak je naznačeno na diagramu (Obrázek 27). Výsledkem procesu klasifikace informací je klasifikovaná informace, přičemž následuje její uložení (dle pravidel v klasifikační politice) a nastavení přístupových pravidel (na základě aplikace bezpečnostních modelů). Nastavením pravidel je míněna realizace bezpečnostních opatření definovaných v klasifikační (a obecně i bezpečnostní) politice, např. definice přístupových práv v operačním systému. Dílem jsem se o tom již zmínil v části 4.8. Z hlediska bezpečnostního (informačního) systému by ale nemělo mít vliv, o jaký typ žadatele o informace jde. Tímto žadatelem může být stejně člověk jako jiná aplikace, záleží jen na tom, zda prokáže oprávnění s takovou informací pracovat. Zde je zřejmý význam klasifikace informací jako předpoklad pro efektivní řízení přístupu k systému. Co se týče přístupových opatření, je potřeba se trochu oprostit od teorie a zjistit, co je vůbec reálné zavést do praxe - co umožňuje třeba informační systém (někdy toho věru není mnoho), je-li např. reálné bránit administrátorům v přístupu k datům (segregace oprávnění). Pokud uživatelům zakážete něco např. posílat e-mailem, musíte jim nabídnout alternativu. Je potřeba také zohlednit papírové zpracování a řadu dalších faktorů. Navržená opatření zcela jistě uživatelům život nezjednoduší, měla by být ovšem v praxi použitelná a aplikovatelná [MIK]. Největší roli hraje používaný informační systém a jeho možnosti (Windows, Lotus Notes, VMS, různé Unixy, SAP, Oracle, Informix a v neposlední řadě vlastní aplikace). Těch řešení je spousta, lze využít vlastnosti OS (doménové účty, ACL, profily, vztahy důvěry, adresářové služby...) nebo nadstavby (RACF a různé systémy single sign on), většinou ruku v ruce s důvěryhodnější autentizací [KOM].

- 71 -


Jindřich Hlaváč

5.3 Metodika MDIS a klasifikace informací 5.3.1 Stručná charakteristika MDIS Vývoj podnikového informačního systému je složitý proces, který vyžaduje systematický přístup. Ten zajišťují nejrůznější metodiky vývoje IS. Jednou z nich je metodika MDIS (Multidimensional Development of Information System), která je od 90. let vyvíjena na katedře informačních technologií Vysoké školy ekonomické v Praze. Metodika se od jiných (např. SSADM či Oracle CASE Method) liší tím, že nepředepisuje detailně jednotlivé kroky při realizaci projektu, ale klade důraz na to, jak strukturovat práci, co by se mělo řešit v jednotlivých fázích vývoje IS/IT a o čem v jednotlivých fázích přemýšlet [VOR]. Z názvu je patrné, že si metodika všímá při vývoji IS více dimenzí. Můžeme je rozdělit na dvě skupiny. První reprezentuje úrovně integrace, použitou úroveň abstrakce a časovou dimenzi řešení. Tato dimenze se promítá do jednotlivých fází vývoje IS/IT – globální podniková strategie (GST), informační strategie (IST), úvodní studie (US), globální analýza a návrh (GAN), detailní analýza a návrh (DAN), implementace (IM), zavádění (ZA), provoz a údržba (PU). V každé fázi vývoje IS/IT se aplikuje druhá skupina tzv. obsahových dimenzí: informační/datová (inf), procesní/funkční (pro), ekonomická/finanční (eko), organizační/legislativní (org), pracovní/sociální/etická (pra), softwarová (sw), hardwarová (hw), metodická (met), dokumentační (dok) a manažerská (mng). Cílem multidimensionality řešení IS/IT je neopomenout žádný faktor, který ovlivňuje úspěšnost tvorby, zavedení, provozování a dalšího rozvoje IS/IT. MDIS pracuje s dvěma logickými pohledy na IS/IT – uživatelským a řešitelským. Při řešení IS/IT je totiž nutné vycházet z uživatelských pohledů a ty postupně transformovat v řešitelské. Tím se realizují uživatelské požadavky na IS a také se prověřují z hlediska reálnosti a konzistence. Mezi uživatelské pohledy patří pohled vrcholového vedení podniku (má dlouhodobý strategický charakter a dle něj IS musí podpořit dosažení cílů podniku, umožnit získat konkurenční výhodu, optimalizovat podnikové procesy) a pohled koncových uživatelů (uživatel očekává především podporu řešení problémů, za jejichž řešení je zodpovědné funkční místo, které zastává). Jiný pohled koncových uživatelů různého typu je na funkce IS při komunikaci s IS. Ty jsou podstatné proto, že se z nich odvozuje návrh průběhu komunikace IS s uživatelem. Řešitelské pohledy metodika MDIS nazývá dimenzemi řešení IS/IT. Jejich účelem je transformovat uživatelské požadavky nejprve do logického návrhu (ten je nezávislý na technicko-programovém prostředí) a pak do fyzického návrhu, který již ohled na použité platformy bere. Dimenze jsou rozděleny do výše uvedených dvou skupin – časová dimenze řešení a obsahové dimenze. Z hlediska časových dimenzí první dvě fáze reprezentují strategickou úroveň řízení IS/IT: globální strategie podniku (GST) a informační strategie (IST). Z metodického hlediska každá strategie obsahuje tři části: analýzu dosavadního stavu, model budoucího stavu a plán transformace mezi těmito stavy. GST určuje hlavní směry a priority rozvoje podniku. Na ní navazuje IST, jejímž cílem je navrhnout celkovou koncepci IS/IT a navrhnout jednotlivé kroky realizace této koncepce. Projekty, které definovala IST se obvykle realizují v šesti fázích – US, GAN, DAN, IM, ZA, PU (viz výše). Nazývají se fáze životního cyklu projektu, protože se obvykle po určité době cyklicky opakují (z fáze PU do US dochází poté, co nové požadavky na příslušnou část IS/IT již nejsou realizovatelné pouhou údržbou, ale je třeba provést zásadní inovaci této části). Podrobný popis těchto fází najde čtenář ve [VOR]. Dimenze obsahové jsou inf, pro, eko, org, pra, sw, hw a metodicko-organizační jsou met, dok a mng – viz výše. Také zde odkazuji na [VOR], protože detailní popis MDIS není obsahem této práce. V každé fázi řešení je informační systém analyzován a navrhován z hlediska všech dimenzí a jejich vzájemných vazeb. Fáze se liší pouze úrovní podrobnosti analýzy a návrhu (význam dimenzí se v různých fázích liší).

- 72 -


Jindřich Hlaváč

5.3.2 Začlenění procesu klasifikace informací do metodiky MDIS Klasifikace informací by se měla promítnout i do metodik vývoje IS. Ukážeme si to např. na MDIS. Zatímco bezpečnost informací obecně se uvažuje zejména na strategické úrovni (GST, IST), klasifikace informací by se měla odrazit ve všech fázích životního cyklu projektu v různých obsahových dimenzích35. Zdůrazním tedy některé aspekty procesu klasifikace informací ve vztahu k jednotlivým obsahovým dimenzím. Samozřejmě nás bude zajímat zejména dimenze (inf), která se zabývá typy informací, obsahem a strukturou datové základny podniku a jejím uložením. Řešení informační dimenze by tak mělo napomoci k definici typů informací, tvorbě klasifikačního schématu a poté respektovat vzniklé klasifikační třídy. Funkční a procesní dimenze (pro) je zaměřena procesy probíhající ve firmě a možnost jejich podpory funkcemi IS. Funkční pohled na IS/IT je statický a popisuje hierarchický rozklad funkcí IS. Procesní pohled na IS/IT zajímá dynamika chování podniku při výskytu různých událostí. Na ty podnik reaguje procesem, který je reprezentován sítí činností a funkcí. Činnost představuje akci, která není podporována pomocí IS/IT (manuální činnost, práce stroje apod.), zatímco funkce označuje akci podporovanou či kompletně zajišťovanou informačním systémem. Proces klasifikace informací by měl být funkcemi IS podporován minimálně v podobě podpory automatizovaného nakládání informací na základě pravidel definovaných v klasifikační politice. Dále je velmi důležitá podpora řízení přístupu k informacím. Také dimenze (org) je významná – podnikové aplikace musí respektovat legislativu země, kde podnik působí a podnikové normy a směrnice. Informační systém by měl navíc podporovat užívání standardů a norem (např. ISO, ČSN). Náplní organizační dimenze je i definování útvarů, odpovědností a pravomocí jejich pracovníků apod. Tvorba klasifikační politiky si vyžádá změny v podnikových směrnicích a definuje nová práva a povinnosti pracovníků. Tvorba klasifikační politiky nebo zavádění informační bezpečnosti obecně má vliv i na dimenzi (pra), která se zabývá definováním struktury pracovníků podniku (počet, kvalifikace..), potřeb rekvalifikace a školení pracovníků atd. V této souvislosti je třeba pamatovat zejména na školení, které tvoří důležitou součást procesu zavádění informační bezpečnosti a bez něj by celá politika neměla konkrétní dopad a smysl. Softwarová dimenze (sw) zahrnuje mj. definici architektury programového systému, tj. určení typů, parametrů a vzájemných vazeb jednotlivých komponent programového vybavení. Jak je ukázáno na schématu (Obrázek 27), je součástí celkového procesu klasifikace informací také nastavení pravidel přístupu, což se realizuje především změnou parametrů příslušného softwaru (informační systém obecně, operační systém, síťové produkty apod.). Hardwarová dimenze (hw), překvapivě, zahrnuje určení hardwarové architektury IS/IT, tj. typy, konfigurace a počty počítačů, periférií, komunikačních sítí a dalšího vybavení. Součástí ochrany a řízení přístupu k informacím jsou i fyzické prostředky – např. čtečky čipových karet, hardwarové klíče, biometrické snímače, ale i prozaické zámky a trezory – a ty by měly být definovány zde. Ekonomická dimenze (eko) zahrnuje finanční náklady tvorby a provozu IS/IT a přínosy podniku z užití IS/IT. Klíčové je určit, které podnikové aktivity mají být prioritně podpořeny funkcemi IS, aby se dosáhlo maximálního ekonomického efektu. Klasifikace informací (pokud se s ní počítá již při plánování IS/IT, tj. na strategické úrovni) je jen jeden z řady informatických projektů a jako takový je součástí řízení jako jakýkoliv jiný projekt, tj. je třeba analyzovat náklady a přínosy a vyčlenit zdroje. Výše uvedených sedm obsahových dimenzí je řešeno v každé části vývoje IS/IT (časové dimenze), ale aby řešení bylo konzistentní, není možné řešit jednotlivé dimenze nezávisle na sobě, ale je třeba analyzovat také všechny vzájemné vztahy – více viz [VOR]. Například přístup k informaci je určen

35

Podrobný popis dimenzí nalezne čtenář v [VOR], já je zde jen stručně popisuji pro utvoření základní představy o metodice MDIS a pro znázornění doporučení úprav dimenzí vzhledem ke klasifikaci informací.

- 73 -


Jindřich Hlaváč

náplní funkčního místa (pro, org), kvalifikací a prověřením zaměstnance (pra) a příslušnými prostředky (sw, hw). Metodicko-organizační dimenze (met), (dok) a (mng) neříkají jako ty předchozí „co se řeší“, ale „jak a s čím se řeší“. Metodická dimenze (met) určuje metody a s nimi související techniky a nástroje používané v jednotlivých fázích vývoje IS/IT pro návrh, analýzu, implementaci a provoz IS/IT. Zde by bylo možné využít výše popsaný postup klasifikace informací a příslušné principy (kapitola 4 a část 5.1). Dokumentační dimenze (dok) určuje, jaké dokumenty vznikají v průběhu řešení a provozu IS, jaký mají obsah a jak na sebe navazují. Hlavním dokumentem procesu klasifikace informací je přirozeně klasifikační politika. Dalšími dokumenty jsou např. ty popsané v části 5.1. Nicméně dokumenty vzniklé při řešení IS by měly být samy o sobě klasifikovány, protože obsahují citlivé firemní informace (o procesech, datech, funkčních místech, zabezpečení apod.). Řídící dimenze (mng) určuje postup při řešení jednotlivých fází vývoje IS/IT a dále pravidla a organizaci tvorby a provozu IS/IT (kdo, co a kdy má vykonat; kdo odpovídá za kvalitu a včasnost dané práce; jaké finanční a další zdroje jsou třeba apod.). Dimenze vlastně odráží řízení projektu v dané části (viz 4.1).

- 74 -


Jindřich Hlaváč

5.4 Konkrétní přístupy k řešení klasifikace informací 5.4.1 Česká praxe Principy a proces popsaný v předchozích částech této práce je inspirován zejména zahraniční literaturou s jistými úpravami pro české prostředí. Že uvedené principy tvorby klasifikační politiky nejsou scestné mi potvrdil formou emailu např. Mgr. Karel Miko z firmy DCIT s.r.o. (dále jen [MIK]): My při našich projektech postupujeme podle naší metodiky, kdy provádíme identifikaci informačních aktiv a jejich následné ocenění z hlediska důvěrnosti/dostupnosti/integrity/zničení - vždy se v rámci interview ptáme jaký by byl dopad (např. zničení či vyzrazení informace) a jaká je pravděpodobnost, že k tomu dojde. U obojího používáme jakousi kvalitativní stupnici "N-nízka, S-středí, V-vysoká" (příp. mezistupně). Poté co získáme přehled o informačních aktivech ve společnosti (obvykle je jich několik desítek, ve velkém prostředí něco přes sto) jsou na základě výše uvedeného hodnocení aktiva rozdělena do kategorií jednak podle důvěrnosti, ale rovněž podle dostupnosti. Co se týče počtů a názvů kategorií, tak ten se liší v závislosti na prostředí (v podstatě v každém prostředí může být jiný). Třídy podle důvěrnosti mohou být například (asi nejjednodušší varianta): Citlivé (určené pro omezený, definovaný okruh lidí), Interní a Veřejné. Důležité je, že Interní je jakási defaultní kategorie, do které spadne vše co není označeno jako Citlivé nebo Veřejné, nicméně příslušnost do kategorie Interní nedává libovolnému zaměstnanci právo na přístup k takové informace, ovšem pokud se k ní už dostane není to považováno za bezpečnostní incident. U kategorie Veřejné je např. důležité, že pokud je informace zveřejněna přestože nepatří do této kategorie (což se může stát), neopravňuje to nikoho tuto informaci opakovaně zveřejňovat pouze na základě faktu, že "už stejně zveřejněna byla". V praxi bývá kategorií často víc než tři: např. "striktně interní", "osobní údaje" (dle zákona 101), "utajované skutečnosti" (dle zákona 148) apod. Hodně to záleží na zažitých zvyklostech a praxi v podniku. Při návrhu tříd důvěrnosti je klíčové mít na paměti proč se informační aktiva rozdělují. Obvykle je vhodné nadefinovat nějaké hrubé parametry typu informace typu Citlivé nebudou posílány nešifrované, nebudou ukládány tam a tam, papírové verze budou výhradně v trezorech apod. Takové vodítko dá lidem relativně hmatatelnou představu, kam kterou informaci zařadit. Pokud jde o klasifikaci podle dostupnosti, používáme: Kritické, Zásadní, Běžné a Ostatní (jen pokud je třeba 4 kategorie). Kategorie se liší požadovanou dostupností, která je specifikována akceptovatelnou dobou výpadku. Ing. Radek Komanický z firmy Infosec s.r.o. (dále jen [KOM]) zase napsal: Klasifikace musí vždy vycházet z konkrétních potřeb a prostředí organizace, proto probíhá analýza rizik. Klíčovým prvkem jsou vlastníci informací, kteří stanoví jejich zařazení a případně doplňující opatření. A zde již nastává problém, neboť u centrálních databázových systémů, o datových skladech nemluvě, se informace špatně rozdělují. Lze pak vyjít buď z procesů řízení, organizační struktury nebo funkcí aplikace. Opatření, jak s jednotlivými kategoriemi nakládat, je spousta, ty se zase většinou realizují lépe u centrálních systémů dělaných na míru, než u kancelářských jako je MS Office (označování výstupů apod.). Problém je rovněž v tom, že manipulace s klasifikovanými informacemi vždy znamená určitou administrativní zátěž, proto se toto opatření špatně prosazuje do praxe. Příkladem klasického klasifikačního schématu je zákon o ochraně utajovaných skutečností (148/1998 Sb.). Tento "vojenský" přístup je však pro komerční organizace nepoužitelný. Navíc se týká jediného hlediska, kterým je důvěrnost. Už neřeší klasifikaci z hlediska dostupnosti a integrity! Zkušenosti dokazují, že komerční organizace má většinu informací stejně citlivou z hlediska důvěrnosti, ty jsou určeny pro vlastní potřebu a musí být chráněny opatřeními alespoň na úrovni "dobré praxe" (systém bezpečnostních opatření platný obecně pro všechna aktiva organizace). Menší část je určena ke zveřejnění, to však musí probíhat pouze určeným způsobem (tiskový mluvčí ...). A nakonec část

- 75 -


Jindřich Hlaváč

informací je důvěrná, ta musí být chráněna režimovými opatřeními i za cenu náročnější manipulace s nimi (ukládání do trezoru, spisová služba apod.). Klasifikace z hlediska dostupnosti musí být provedena pro účely plánování kontinuity hlavních činností. Klasifikace z hlediska integrity se týká zejména průkaznosti informací používaných pro rozhodování. Například se týká označení původu a zdroje informace (jméno autora, Internet, ...), zajištění nepopiratelnosti (elektronický podpis) atd. Rovněž mohou být informace (data) chráněny přímo v systému, avšak implementovat dodatečná opatření (např. kontrolní součty) do systémů je dost náročné. Navíc bezpečnost systému musí být řešena již při jeho vývoji, tak by to tam už mělo být.

5.4.2 Ukázka ze zahraniční praxe Na následujících řádcích uvedu příklady klasifikačních politik použitých v zahraničních firmách, tak jak je zaznamenal [ISS1]. Zajímavý je přiložený komentář o tom, co je v nich dobře nebo špatně.

Příklad 1 Cíl: Zajistit, aby informační aktiva byla odpovídajícím způsobem ochráněna. Politika: Klasifikace informací by měla napomoci určit požadavky a priority pro odpovídající zajištění bezpečnosti. Informace mají různý stupeň citlivosti a kritičnosti. Některé položky mohou požadovat zvýšenou úroveň zabezpečení nebo zvláštní nakládání. Klasifikační politika by měla definovat úrovně bezpečnosti a zdůraznit uživatelům nutnost zvláštního zacházení. Komentář: Toto je existující klasifikační politika pro řídící pracovníky státní správy. Poskytuje ovšem příliš málo informací, zejména uživatelům.

Příklad 2 Klasifikované informace jsou data vzniklá v organizaci s určitými náklady, které přinášejí nějakou konkurenční výhodu ve svém oboru a organizace si je přeje chránit před prozrazením. Nadefinovat vhodně ochranu informací je složitý úkol a tak je dobré při tvorbě klasifikačního schématu mít na paměti tyto čtyři body: 1. Informace musí mít pro organizaci (nebo její konkurenty) hodnotu a poskytuje tedy prokazatelnou konkurenční výhodu. 2. Na pořízení informace se vynakládají určité náklady (investice, plat zaměstnanců apod.). 3. Informace je něčím jedinečná, obecně není známa ve svém oboru nebo není jednoduché ji získat (např. je výsledkem složitého výpočtu či postupu). 4. Informace musí být uchována v tajnosti vně i uvnitř organizace, s přiměřenou ochranou proti prozrazení. Neoprávněný přístup k takovým informacím je pak možné získat jen díky nerespektování či zanedbání stanovených pravidel nebo s použitím ilegálních prostředků. Definice tříd Přísně tajné (tajné, vysoce důvěrné) - Top Secret ( Secret, Highly Confidential): •

poskytuje organizaci velmi významnou kompetitivní výhodu,

•

je takové povahy, že její neoprávněné vyzrazení by organizaci způsobilo velmi vážnou újmu,

•

obsahuje obchodní strategie nebo hlavní cíle (např. globální strategie firmy),

•

je nezbytná pro technický nebo finanční úspěch výrobku.

Příklady:

- 76 -


Jindřich Hlaváč

konkrétní provozní plány, marketingové strategie,

popisy jedinečných součástek nebo materiálů, záměry v oblasti vývoje technologií, nové technologie a výzkum,

obsahuje obchodní strategie a hlavní cíle (např. globální strategie firmy).

Důvěrné (citlivé, osobní, privilegované) - Confidential (Sensitive, Personal, Privileged): •

poskytuje organizaci významnou kompetitivní výhodu,

•

je takové povahy, že její neoprávněné vyzrazení by organizaci způsobilo vážnou újmu,

•

obsahuje cíle na taktické úrovni,

•

je vysoce důležité pro technický nebo finanční úspěch produktu.

Příklady:

výše konsolidovaných příjmů, nákladů, zisku nebo jiných finančních výsledků,

operační plány, marketingové studie,

popisy jedinečných součástek nebo materiálů, záměry v oblasti vývoje technologií, nové technologické studie a výzkum,

požadavky trhu, technologie, výrobní plány, výše tržeb.

Vyhrazené - Restricted (Internal Use): •

vnitrofiremní informace, které nejsou veřejné, ale zároveň nesplňují kritéria pro zařazení do vyšší třídy,

•

informace určené zaměstnancům sloužící k provozu firmy.

Příklady:

obchodní informace,

organizační postupy, standardy a procedury,

vnitrofiremní oznámení.

Veřejné (neklasifikované) - Public (Unclassified): •

informace, které vzhledem k jejich obsahu nevyžadují zvláštní ochranu,

•

informace které vznikly za účelem zveřejnění (pomocí autorizovaných firemních kanálů).

Příklady:

informace na WWW stránkách firmy nebo jinak on-line přístupné,

interní korespondence, memoranda a dokumentace nevyžadující zvláštní kontrolu,

zveřejněná podniková oznámení (např. tiskové zprávy).

Komentář: Politika v úvodu zdůrazňuje nutnost konkurenční výhody. Nejsou zmíněny osobní informace zaměstnanců ani zákazníků, které patří do kategorie Důvěrné. Nezabývá se ani rozsahem působnosti (týká se jen informací z počítače nebo všech?). Nejsou definované odpovědnosti zaměstnanců. Není zřejmý podíl vedení na klasifikaci informací a není jasné, co očekávají od zaměstnanců. Chybí řešení přestupků.

- 77 -


Jindřich Hlaváč

Příklad 3 Informace, s kterými se pracuje nebo se ukládají (např. v počítačích, kartotéce, pracovním stole nebo i ve faxu či hlasové schránce) musí být chráněny před neautorizovaným přístupem, změnou, odhalením a zničením. Ne všechny informace jsou ovšem stejné. Segmentace nebo klasifikace informací do tříd je důležitý základ pro zjišťování hodnoty informací a definici příslušných mechanismů potřebných k uchování těchto hodnot. Kromě tří výše uvedených klasifikačních stupňů mohou organizace definovat další podtřídy pro optimální klasifikaci a ochranu svých informací. Ochrana informací musí být komplexní. Přísná kontrola přístupu bývá aplikována například na data uložená v mainframech, ale ne již u kancelářských pracovních stanic. Odpovídající ochrana by měla být aplikována na všechna místa, ať již jde o mainframe, server, pracovní stanici, kartotéku, stolní zásuvku, odpadkový koš nebo e-mail. Definice opatření a odpovědností popsané níže představují minimální úroveň ochrany, která by měla být aplikována napříč organizací. Jednotlivé organizace mohou upravit podrobnosti podle konkrétních potřeb implementace klasifikace informací. Politika: Vlastník informace musí informace klasifikovat do jedné ze tří tříd: důvěrné, vnitřní užití, veřejné. (Confidential, Internal Use, or Public). Důvěrné jsou informace, které pokud by byly vyzrazeny, by mohly: •

narušit soukromí jednotlivců,

•

snížit konkurenční výhodu firmy,

•

způsobit firmě újmu.

Příklady:

osobní záznamy (jméno, identifikační číslo36, datum narození, stav, adresa, telefon, mzda, výkonové ohodnocení, životopis atd.),

údaje o zákaznících (jméno, identifikační číslo, adresa, telefon, platební morálka atd.),

údaje o akcionářích (jméno, identifikační číslo, adresa, telefon, počet akcií atd.),

údaje o obchodnících (jméno, adresa, tvorba cen ve firmě atd.),

záznamy zdravotního pojištění (včetně lékařských a psychologických záznamů),

operační plány, marketingové plány a strategie,

výše konsolidovaných příjmů, nákladů, zisku nebo jiných finančních výsledků, které se nezveřejňují,

popisy jedinečných součástek nebo materiálů, záměry v oblasti vývoje technologií, nové technologie a výzkum, které se nezveřejňují,

podnikové strategie a směrnice,

hlavní změny v podnikové organizační struktuře,

informace, jejichž interpretace a použití vyžaduje zvláštní dovednosti nebo školení.

36

Identifikačním číslem bývá v zahraničí číslo sociálního pojištění, u nás u organizací IČO, DIČ, u fyzických osob rodné číslo. Stále častěji, vzhledem k aplikaci zákona o ochraně osobních údajů č. 101/2000 Sb., se však používají „neutrální“ identifikační čísla.

- 78 -


Jindřich Hlaváč

Jestli ale některá z těchto informací existuje volně ve veřejných zdrojích, firma nemá důvod je ochraňovat před zveřejněním. Vnitřní užití - Internal Use jsou informace klasifikované pro vnitřní užití, které potřebují zaměstnanci firmy ke své práci. Příklady:

provozní informace a zprávy,

informace jiné firmy (na základě smlouvy) vyhrazené jen k vnitřnímu užití,

podnikový telefonní seznam,

firemní postupy, standardy, procedury,

vnitropodniková oznámení.

Veřejné - Public informace vznikly za účelem zveřejnění (pomocí autorizovaných firemních kanálů). Nejsou citlivé a nevyžadují zvláštní ochranu. Příklady:

výroční zpráva firmy,

informace záměrně vytvářené pro veřejnost jako podnikové zpravodaje, letáky, propagační materiály a inzeráty.

Komentář: Příklady 2 a 3 jsou si velmi podobné, tato zvýrazňuje roli vlastníka informace, ale nedefinuje jej. Problém zůstává s řešením přestupků a také rozsah působnosti politiky je nejasný.

Příklad 4 Informace jako firemní aktivum nabývá různých podob: jsou vytvářeny elektronicky, napsány, tištěny, nafilmovány a uloženy. Uchování informací 1. Každá organizace musí uchovávat informace potřebné ke svému podnikání. 2. Každá organizační jednotka by měla ustavit a spravovat plán nakládání se záznamy ve shodě s platnými zákony, nařízeními, standardy a prováděcími předpisy. Ten by měl být kompatibilní s podnikovými cíli. Ochrana informací 1. Informace musí být chráněny podle jejich citlivosti, kritičnosti a hodnoty bez ohledu na to, na jakém médiu jsou uloženy, zda jsou zpracovány ručně nebo automatizovaně nebo v závislosti na metodách jejich distribuce. 2. Zaměstnanci jsou odpovědni za ochranu firemních informací před neautorizovaným přístupem, modifikací, zničením nebo odhalením a to ať k incidentu dojde úmyslně nebo náhodou. Ochraně firemních informací napomůže stanovení zodpovědnosti zaměstnanců na třech úrovních: vlastník, správce a uživatel. a) Vlastník: Management organizační jednotky, kde informace vznikla nebo jednotky, kde je původní (první) uživatel informace. Vlastnící jsou odpovědni za: i) určení klasifikační třídy všech informací v jejich org. jednotce,

- 79 -


Jindřich Hlaváč

ii) definování příslušných zabezpečení pro zajištění důvěrnosti, integrity a dostupnosti inf., iii) kontrolovat zabezpečení, zda jsou správně implementována, iv) autorizovat přístup těm, kteří mají oprávněnou potřebu s informací pracovat, v) odejmout přístup těm, kteří již nemají oprávněnou potřebu informací pracovat. b) Správce: Vlastníkem určení zaměstnanci zodpovědní za správu zabezpečení zavedených vlastníkem. c) Uživatel: Zaměstnanci autorizovaní vlastníkem informace k přístupu a užívání vlastníkem zavedených zabezpečení. 3. Vedení firmy by mělo jmenovat koordinátora pro ochranu firemních informací, který bude vést projekt ochrany informací. Zajistí příslušnou klasifikaci a informuje zaměstnance o významu ochrany informací a prováděcích metodách. Koordinátor je zodpovědný vedení společnosti (případně vedení IT). Klasifikace informací K zajištění řádné ochrany firemních informací by měl vlastník klasifikovat informace do jedné z následujících tříd: 1) Veřejné (public) – informace, které vznikly za účelem zveřejnění (pomocí autorizovaných firemních kanálů). Nejsou citlivé a nevyžadují zvláštní ochranu. 2) Důvěrné (Confidential) – informace, které by po zveřejnění mohly narušit soukromí jednotlivců, snížit konkurenční výhodu firmy nebo způsobit společnosti výraznou škodu. 3) Vnitřní užití (Internal Use) – informace určené pro zaměstnance při své práci. Většina informací by měla být klasifikována tímto stupněm. Komentář: Jádrem politiky je věta „informace jsou firemním aktivem a majetkem firmy“. Rozsah politiky je přes různé formy informací. Odpovědnosti jsou dobře stanoveny. Jediným nedostatkem zůstává zajištění dodržování předpisů, tj. řešení přestupků.

- 80 -


Jindřich Hlaváč

5.5 Klasifikace webového obsahu Jedním z příkladů konkrétního využití klasifikace informací pro řízení přístupu k informacím je hodnocení obsahu webových stránek. Přínosy internetu se zabývá většina prací a nikdo o jeho širokém využití nepochybuje. Pokud se zmiňuje nějaký negativní vliv internetu, tak většinou jde o „závadnost“ obsahu www stránek. Stejně jako v televizi a filmovém průmyslu je pro web ožehavá otázka zobrazování násilí a dětské pornografie. U televize i filmu (ale nakonec i u počítačových her) existuje povinnost distributora označit dílo tak, aby bylo zřejmé pro jakou věkovou skupinu je určeno. Bude něco takového i na internetu? Hodnocením obsahu se zabývá např. asociace ICRA37 (Internet Content Rating Association; www.icra.org). Jejím cílem je vyvinout, implementovat a řídit dobrovolný samohodnotící systém, který by ochraňoval především děti před potenciálně škodlivým obsahem internetových stránek za současného zachování svobody slova na internetu. Dosáhnout toho chce systémem označování obsahu. Potřebuje ale spolupráci tvůrců webových stránek. Ten vyplní jednoduchý dotazník a ICRA podle něj vygeneruje nálepku (label), kterou autor na své stránky vloží ve formě HTML kódu (příklad je uveden na konci této části). Celý proces probíhá přímo na stránkách ICRA a je jednoduchý a rychlý. Potom mohou uživatelé, např. rodiče, použít filtrovací software pro řízení přístupu k WWW stránkám (např. Microsoft Internet Explorer's Content Advisor38) na základě takových nálepek. Ukázka „Poradce hodnocením obsahu“ MS Internet Exploreru 6.0 CZ je na obrázku (Obrázek 28). Můžete zde nastavit co má hodnotící služba RSACi dovolit k prohlédnutí. Lze určit míru „škodlivosti“ v jednotlivých kategoriích, povolit či zakázat jednotlivá URL (schválené servery) nebo dokonce Obrázek 28: MS IE Content Advisor (Poradce hodnocením obsahu) zamítnout přístup ke všem stránkám, které neobsahují hodnocení dle ICRA (nálepku). Nastavení je chráněno heslem.

37

Tato nevýdělečná nezávislá asociace je podporována firmami: AOL, BT, Cable & Wireless, IBM, Microsoft a Bertelsmannovou nadací. Původně působila pod zkratkou RSAC (viz příloha B) , ke změně došlo na jaře 1999.

38

Rozdělení obsahu do tříd této aplikace je možné vidět v systémovém adresáři Windows v textovém souboru Rsaci.rat nebo Icra.rat. Příbuzný soubor Ratings.pol již obsahuje konkrétní nastavení Advisoru a není proto jednoduše čitelný.

- 81 -


Jindřich Hlaváč

Na následujícím obrázku (Obrázek 29) je vidět, co se stane při pokusu o přístup k nepovolené webové stránce. ICRA nechce působit jako cenzor a neříká, které stránky máte vidět nebo ne. Nabízí objektivní systém známkování, který mohou a nemusí autoři a uživatelé akceptovat. Více informací o této organizaci viz [ICRA]. Existují i další asociace jako je například SafeSurf (http://www.safesurf.net/) nebo Entertainment Software Rating Board39, která se ovšem zabývá spíše hodnocením zábavního průmyslu. Systém řízení přístupu k obsahu www stránek není užitečný jen pro domácí brouzdání, ale lze jej použít Obrázek 29: Zakázaný přístup k obsahu Zdroj: MS IE i ve školách, družinách, knihovnách, prostě všude, kde je nevhodné zpřístupnit veškerý obsah internetu. Dostává se ke slovu i ve firmách. Aplikuje se, aby zaměstnanci věnovali čas opravdu jen své práci. Administrátoři v tomto případě ale nevyužívají přímo systému ICRA, ale blokují některé domény a adresy nebo naopak nechají povolené jen některé domény (případně jen intranet) pomocí síťových prostředků (nastavení proxy serverů apod.).

Příklad vygenerované nálepky (labelu) systémem ICRA: <meta http-equiv="pics-label" content='(pics-1.1 "http://www.icra.org/ratingsv02.html" comment "ICRAonline v2.0" l gen true for "http://harry.crolink.cz" r (nz 1 vz 1 lz 1 oz 1 cz 1) "http://www.rsac.org/ratingsv01.html" l gen true for "http://harry.crolink.cz" r (n 0 s 0 v 0 l 0))'> <meta http-equiv="content-type" content="text/html; charset=iso-8859-2"> <meta http-equiv="content-language" content="cs"> <meta name="robots" content="index,follow">

Label se umístí do přední části HTML dokumentu – tagu a autor stránek má hotovo, zbytek je na uživatelích, aby si vhodně nastavili software pro filtrování obsahu.

39

Oficiální adresa http://www.esrb.net/ momentálně není přístupná, funkční je alespoň příbuzná http://www.media-awareness.ca/eng/indus/games/esrb.htm.

- 82 -


Jindřich Hlaváč

5.6 Náklady, přínosy, důvody a význam klasifikace O významu klasifikace informací by čtenář neměl již na tomto místě práce pochybovat. Přesto v krátkosti shrnu nejdůležitější důvody realizace klasifikace informací a doplním je o úvahu nad náklady a přínosy tohoto procesu. Informační bezpečnost Nosným základem práce je informační bezpečnost a proto tímto aspektem začnu. Jak již bylo mnohokrát řečeno, firemní informace jsou hodnotnými aktivy, které je potřeba chránit, tj. zajistit jejich dostupnost, integritu a důvěrnost. Na všechny tyto složky má provedená klasifikace vliv! Dostupnost je determinována zařazením informace do klasifikační třídy, pověřením pracovníka a zejména nastavenými právy k přístupu. Integrita neboli správnost je zase podpořena zřetelným označením informace a také jednoznačně určeným vlastníkem informace. Zajištění důvěrnosti je nejviditelnějším důsledkem klasifikace informací vzhledem k definovanému zacházení s informacemi v klasifikační politice a následně také v bezpečnostních standardech. Informační zabezpečení chrání stabilitu organizace tím, že minimalizuje nebezpečí úniku dat z IS způsobeného vnějším narušitelem. Představme si například situaci, kdy konkurence monitoruje zasílání nabídek e-mailem zákazníkům. Sama pak vytváří výhodnější nabídky a způsobí tak výrazné oslabení organizace na trhu. Klasifikace informací se stala nedílnou součástí řešení informační bezpečnosti ve velkých firmách a firmách, které pracují s utajovanými skutečnostmi. Firmy mohou být donuceny informace klasifikovat proto, že nakládají s informacemi, které spadají pod kontrolu státní moci. Tím se dostáváme k dalšímu důvodu, což je „nutnost“. Nezbytnost provedení klasifikace informací Organizaci může začít vnější okolí „nutit“ klasifikovat informace. Toto okolí představují různí partneři – obchodní firmy či stát. Pokud chce zůstat jejich obchodním partnerem, musí se klasifikací informací zabývat. Z různých důvodů: při přípravě a realizaci společného podnikání (joint venture), které zahrnuje výměnu citlivých informací, jako jsou strategie, marketingové, výrobní a podobné plány, při sestavování smluv, kdy dochází k výměně citlivých informací, při jednáních s jinými organizacemi, třeba v případech, kdy dochází k rozdělování, slučování či akvizicím, při jednání se státní správou, která zabezpečení požaduje. Nebo naopak - pokud předáváme citlivé informace jiné organizaci, měli bychom se ujistit, že rozumí potřebě jejich ochrany a dokáže ji zajistit. Smlouva mezi partnery by měla obsahovat klausule o zabezpečení citlivých informací. Samozřejmostí by mělo být odpovídající zajištění bezpečnosti informací u firem, které se živí sběrem a zpracováním údajů. Oba výše uvedené důvody můžeme spojit do jednoho, podíváme-li se ještě jednou na výzkum [PSIB]. Dle něj největší vliv na prosazování informační bezpečnosti má propojování informačních systémů směrem mimo organizaci. Význam tohoto faktoru se oproti roku 1999 zvýšil a potvrdilo jej 55 %, resp. 59 % (v roce 2001) dotázaných. Významný je i legislativní tlak v ČR, který jako důvod uvedlo jen 14 % respondentů v roce 1999 a již 23 % o dva roky později. Požadavky investorů, akcionářů, vlastníků a zákazníků považuje za důležitý vliv na prosazování IB jen kolem 12 % dotázaných, ale předpokládám, že v zahraničí a u firem se zahraniční účastí bude trend tohoto vlivu rostoucí.

- 83 -


Jindřich Hlaváč

Image Ve světle uvedených čísel se může zdát, že zlepšení image firmy rozhodně klasifikace informací nepřinese. Že tomu tak úplně není, mi potvrdil [KOM]: „Podstatnou výhodou informační bezpečnosti v současné době je, že patří k firemní kultuře a řešení v souladu s mezinárodními normami může být konkurenční výhodou. Konkrétně v bankách je rovněž předmětem externího auditu a tedy nepochybně ovlivňuje rating.“ Image firmy se tvoří mnoha způsoby – především kvalitou svého produktu (služby), známostí své obchodní značky, charitativní činností, sponzoringem apod. Řada firem si třeba i WWW stránky pořizuje jen z důvodu prestiže, protože nedokáží ocenit jejich přínosnost (i když naštěstí většina je již využívá jako efektivního obchodně-informačního kanálu). Pokud je rozsah webové prezentace větší, může nastat problém s udržováním. Velké množství (často dynamicky generovaných) informací může způsobit, že se na internet dostanou informace, které tam být neměly. Například ceník, který nebyl zkontrolován a obsahuje vyčíslený rabat firmy nebo zápis z jednání obchodních partnerů, který se extranetem či sítí VPN omylem dostal k jiné firmě. Image firmy a důvěra zákazníků jsou spojené nádoby. Není důležitá jen ochrana vlastních strategických informací, ale i informace svých zákazníků, s jejichž odhalením může lehce dojít ke ztrátě důvěry zákazníků, partnerů a významnému poškození image organizace. Stejně jako například certifikáty jakosti řady ISO 9000 lze jasnou bezpečnostní politiku prezentovat jako konkurenční výhodu. V očích zákazníků pak bude firma působit důvěryhodněji, klienti budou vědět, že je zde dobře postaráno o ochranu např. obchodního tajemství. Přínosy vs. náklady Vedení firem při rozhodování o investicích vždy porovnává náklady s očekávanými výnosy. Za rozhodnutím o koupi nové výrobní linky je mnoho práce a výpočtů o návratnosti investice. Nicméně výsledkem je reálný odhad nákladů a výnosů a představa, že linka se do pěti let zaplatí. V případě investice do zabezpečení IS/IT bývají zřejmé především náklady, přínosy nejsou jasně měřitelné. K tvorbě zabezpečení jsou třeba (jako kdekoliv jinde) zdroje: personální, finanční, technické a čas. Je třeba platit mzdy zaměstnancům a/nebo práci externích odborníků. Čas strávený zaměstnanci firmy na bezpečnostním projektu musí být kompenzován jinými zdroji. Organizační změny, školení, instalace bezpečnostních opatření, pozastavení provozu, nedostupnost serverů v případě bezpečnostního incidentu – to komplikuje business firmy a zhoršuje (dočasně) její výsledky. Přímé náklady jsou tedy dobře měřitelné, horší již je kvantifikace újmy v případě ztráty důvěry zákazníků, příležitosti apod. Samotné zavedení klasifikace není nijak zvlášť nákladné, náklady vzniknou až sekundárně zavedením opatření - např. šifrovací SW nebo opatření na likvidaci datových médií, označování informací apod. (na začátku navíc není zřejmé jak budou tato opatření navržena). S měřitelností je problém především v tom, že pokud firma nějak systematicky zavádí bezpečnost, tak zcela jistě nemá takové monitorovací mechanismy, aby se dal porovnat dřívější a budoucí stav, např. co do počtu detekovaných bezpečnostních incidentů nebo výpadků klíčových systémů. [MIK] Přínosy jsou špatně vyjádřitelné. Hodnotu informace určuje její vlastník, ale až případná její ztráta ukáže, kolik firmu stojí doopravdy. Navíc nelze kalkulovat tak, že sečtu hodnotu zabezpečených informací a zjistím přínosy, to je nesmysl. Přínos je v nižším riziku, že dojde k bezpečnostnímu incidentu. To lze kvantifikovat například nižším pojistným, které stanoví pojišťovna při uzavírání pojistné smlouvy. Přínosem může být průhlednější organizační struktura s lépe stanovenými zodpovědnostmi, protože se při analýze zjistilo, že některé stupně či pozice jsou zbytečné, dublují se nebo naopak chybí. To může vést k pružnějšímu toku dokumentů nebo lépe nastaveným podnikovým procesům. Význam změn by podtrhl současně provedený BPR.

- 84 -


Jindřich Hlaváč

Prostým srovnáním výkonových i kvalitativních ukazatelů z doby před a po implementaci bezpečnostních prvků lze málokdy zjistit, zda v dlouhodobém horizontu se dosáhlo lepších hospodářských výsledků. Organizace sama si musí uvědomit (někdy to trvá) do jaké míry je na informačním systému závislá a jak cenné informace zpracovává (know-how, účetní informace, podnikatelské záměry, informace chráněné ze zákona apod.). To je mimo jiné cílem ocenění aktiv (informací). Náklady na klasifikaci jsou navíc relativně nízké, většina opatření je administrativních. No a nakonec jsou i formální metody. Příkladem je Annual Loss Expectancy, která se týká především havarijního plánování, ale je dost obecná. Navíc každá větší firma už nějaký ten problém zažila a časem zjistí, že nejefektivnější řešení je koncepční [KOM]. Prohlášení o zabezpečení informací ve společnosti však není jen marketingovým výkřikem budujícím lepší image firmy, ale i pobídkou pro případné partnery, že v této firmě budou jejich informace v bezpečí. Často jde o nutnost, chce-li firma spolupracovat se státním sektorem a získat veřejné zakázky.

Na závěr bych uvedl jeden konkrétní (dalo by se říci i úsměvný, kdyby se nejednalo o Parlament ČR) příklad chybného nakládání s informacemi, ke kterému došlo v Poslanecké sněmovně ČR (viz [CW1]). Návrh zákona existoval ve dvou podobách – listinné (v trezoru) a elektronické (v počítači). Pro jednání parlamentu byla vytištěna elektronická verze. Přestože se při ukládání verze nelišily, předkládaný návrh se lišil od oficiálně připravené a odsouhlasené verze. Obsluha počítače neoprávněně změnila elektronickou formu návrhu zákona. Přišlo se na to. Jde o ukázkový případ porušení několika zásad bezpečnostní politiky: obsluha počítače nebyla dostatečně prověřena (nebo spíš operátor vůbec neměl mít oprávnění takto do zpracování zasahovat) a nebyla provedena a implementována klasifikace informací, protože s dokumentem na počítači nebylo zacházeno na úrovni odpovídající jeho citlivosti.

- 85 -


Jindřich Hlaváč

6. Závěr Cílem práce bylo specifikovat proces klasifikace informací a zjistit jak ovlivňuje přístup k (informačnímu) systému, resp. k informacím v něm uložených. Aby jej mohlo být dosaženo, bylo třeba zasadit proces klasifikace informací do širšího kontextu. Proto jsem stručně popsal problematiku zajištění informační bezpečnosti ve firmách (část 3.1), jehož součástí klasifikace informací je, se zvláštním důrazem na legislativní úpravu u nás i v zahraničí. Také jsem se zastavil nad důležitým atributem, který klasifikaci ovlivňuje, což je cena informace (část 3.2). Následně jsem popsal principy, podle kterých se klasifikace informací provádí (kapitola 4). V další části (5.1) jsem již specifikoval samotný proces klasifikace a zmínil se o jeho vlivu na řízení přístupu k systému (5.2). Na závěr jsem uvedl příklady užití klasifikace informací ve vztahu k metodice vývoje informačního systému MDIS a klasifikaci webového obsahu. Výsledný pohled na klasifikaci informací je komplexní – byly uvedeny různé náhledy na problematiku, je zasazena do kontextu řešení informační bezpečnosti, popsán její proces, principy i příklady. Klasifikace informací je důležitým prostředkem pro kvalifikované řízení informační bezpečnosti a řešení přístupu k systému. Přínosem je zejména uspořádání problematiky klasifikace informací, v českém prostředí zřejmě jediné, přehled naší i zahraniční právní úpravy a definice samotného procesu klasifikace informací.

- 86 -


Jindřich Hlaváč

7. Informační zdroje 7.1 Literatura [CTVR] ČTVRTEČKA Miloš. Bezpečnost informací. Diplomová práce, KIT, VŠE. 1998. [CW1] HŐNIGOVÁ Alena, PRAČKE Vladimír. Seriál o bezpečnosti a informačním soukromí Klasifikace informací, část 21. Computerworld 31/1997. [INFB] kolektiv autorů. Informační bezpečnost – příručka manažera. Tate International, s. r. o., 2001. 132 s. ISSN 1211-8737. [ITNET] PŘIKRYLOVÁ Olga, seriál Bezpečnost podnikových informací – Analýza rizik, časopis ITNET 7-8/2001, ISSN 1212-6780. [KOL] kolektiv autorů. Informatika pro ekonomy. 1.vyd. Praha : VŠE, 1993. 181 s. ISBN 80-7079052-0. [KOL2] kolektiv autorů. Informatika pro ekonomy. 1.vyd. Praha : VŠE, 2001. 223 s. ISBN 80-2450161-9. [KOL3] kolektiv autorů. Malá československá encyklopedie. III. svazek I-L. 1. vyd. Praha : ACADEMIA, 1986. 912 s. číslo 02/76 - 0572 - 21-058-86. [KOS] KOSEK, Jiří. XML pro každého. 1.vyd. Praha : Grada Publishing, 2000. 164 s. ISBN 80-7169860-1 .

[PSIB] Průzkum stavu informační bezpečnosti v ČR 2001; PSIB ’01, PricewaterhouseCoopers, DSM – data security management, NBÚ. [RAU] RAUCH, Jan. Metody zpracování informací I. 1.vyd. Praha : VŠE, 1994. 55 s. ISBN 80-7079353-8.

[RAU2] RAUCH, Jan. Metody zpracování informací II. 1.vyd. Praha : VŠE, 1996. 88 s. ISBN 80-7079870-X.

[ROD] RODRYČOVÁ, Danuše, STAŠA, Pavel. Bezpečnost informací jako podmínka prosperity firmy. 1. vyd. Praha : Grada Publishing, 2000. 144 s. ISBN 80-7169-144-5. [SKL] SKLENÁK, Vilém a kol. Data, informace, znalosti a Internet. 1.vyd. Praha : C.H.Beck, 2001. 507 s. ISBN 80-7179-409-0. [TOM] TOMAN, Prokop. Teorie informace I. 1. vyd. Praha : VŠE, 1993. 85 s. ISBN 80-7079-627-8 [VOR] VOŘÍŠEK, Jiří. Strategické řízení informačního systému a systémová integrace. 1.vyd. (dotisk) Praha : Management Press, 1999. 324 s. ISBN 80-85943-40-9. Plné znění zákonů ČR ze systému EPIS (zdroj: Chip CD 4/2002).

- 87 -


Jindřich Hlaváč

7.2 Internetové zdroje [BIS] Hanáček Petr a Staudek Jan - Bezpečnost informačních systémů, metodická příručka zabezpečování produktů a systémů budovaných na bázi inf. technologií; ISBN 80-238-5400-3; http://www.usiscr.cz/ascii/cz/dokumenty/domaci/bezpecnost.html http://www.usiscr.cz/ascii/cz/dokumenty/domaci/bezp_doc.zip [BOS] BENEŠ, Tonda. Bezpečnost v operačních systémech http://www.kolej.mff.cuni.cz/prednes/oi0a.html [CSI] Computer Security Issues & Trends, Spring 2001 – 2001 CSI/FBI Computer Crime and Security Survey; http://www.gocsi.com/pdfs/fbi/FBIsurvey.pdf [CW] „Bezpečnost pro všechny, soukromí pro každého“ - Seriál o bezpečnosti a informačním soukromí, Computerworld 1997-98; http://www.cw.cz/ [DTI] DTI – Protecting business information – Keeping it confidential; http://www.dti.gov.uk/cii/datasecurity/keepingitconfidential/index.shtml [GAL1] GÁLA, Libor. Přednáška o bezpečnosti IS/IT; http://nb1.vse.cz/~gala/ib/pr1.zip [ICRA] FAQ k iniciativě ICRA; http://www.icra.org/_en/faq/answers/ [INFS] Information Security – Industry Survey 2001; www.infosecuritymag.com/articles/october01/survey.shtml [ISS1] PELTIER, Thomas R. - Information classification; Information Systems Security, Fall98, Vol. 7 Issue 3, ISSN 1065-898X.40 [ISS2] WHITE, Gregory a FISH, Eric – Government-based Security Standards; Information Systems Security, Fall97, Vol. 6 Issue 3, ISSN 1065-898X. [ISS3] PARKER, Donn B. – The Classification of Information to protect it from loss; Information Systems Security, Summer96, Vol. 5 Issue 2, ISSN 1065-898X. [ISSM] Bryan E. Lakey - Information System Security for Managers; prezentace „Mgr-crs.ppt“. [KOM] Ing. Radek Komanický, Infosec s.r.o. [MIK] Mgr. Karel Miko, manažer divize konzultačních služeb, DCIT s.r.o. [PEL1] PELTIER, Thomas R. – Tools of Information Security, Chapter 18; Auerbach Publications Inc. (http://www.auerbach-publications.com). [PEL2] PELTIER, Thomas R. – Information Handling, Chapter 17; Auerbach Publications Inc. (http://www.auerbach-publications.com). [PWC] PricewatrhouseCoopers – Průzkum stavu informační bezpečnosti v ČR 2001; http://www.dsm.tate.cz/seige.ppt [VAL] Charles Oppenheim, Joan Stenson and Richard M. S. Wilson - Valuing information assets in UK companies; [VAL2] Ralph Spencer Poore - Valuing Information Assets for Security Risk Management; [VAL3] Moody D., Walsh P. - Measuring The Value Of Information: An Asset Valuation Approach; http://www.dama.org.au/melbourne/ValueOfInformation.pdf

40

Uvedené články vydané v časopise Information Systems Security jsem našel v online plnotextové databázi (přístupné z počítačové sítě VŠE) Business Source Premier (systém EBSCO) nebo přímo u vydavatele, kterým je Auerbach Publications Inc. (http://www.auerbach-publications.com).

- 88 -


Jindřich Hlaváč

[WWW1] International Standard ISO/IEC 17799:2000, Information Security Management, Code of Practice for Information Security Management FAQ; http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf. [WWW2] CanCERT | Library | International, Regional, Shared-Interest and National Communities; http://www.cancert.ca/Library/All_Standards.php [WWW3] INFOSEC: Evaluation Criteria: ITSEM; http://www.cordis.lu/infosec/src/itsem.htm

Seznam tabulek Tabulka 1 – Vztah mezi třídami ITSEC a TCSEC Tabulka 2 – Vztah mezi více třídami

Zdroj: [ISS2] ..................................................... 42

Zdroj: [ISS2].......................................................................... 44

Tabulka 3 - Hodnotící tabulka A

Zdroj: [ISS1] ................................................................................ 54

Tabulka 4 - Hodnotící tabulka B

Zdroj: [ISS1] ............................................................................ 54

Tabulka 5 – Užívaná označení tříd

Zdroj: [GAL1]....................................................................... 56

Tabulka 6 - Třídy klasifikovaných informací

Zdroj: [GAL1] ........................................................ 57

Tabulka 7 - Matice nakládání s informacemi

Zdroj: [ISS1] ........................................................... 62

- 89 -


Jindřich Hlaváč

Seznam obrázků Obrázek 1: Ukládání a vyhledávání dokumentů Obrázek 2: Obecné schéma

Zdroj: [SKL]........................................................... 9

Zdroj: [ROD]...................................................................................... 16

Obrázek 3: Analýza nákladů a přínosů

Zdroj: [GAL1].................................................................... 17

Obrázek 4 : Schéma řešení bezpečnosti

Zdroj: [ROD].................................................................... 18

Obrázek 5: Bezpečnostní projekt Obrázek 6: Kontinualita procesu

Zdroj: [ROD] ............................................................................ 21 řešení IB

Obrázek 7: Respondenti dle oboru Obrázek 8: Typy ohrožení

Zdroj: [ROD] ............................................................. 22

Zdroj: [PSIB]............................................................................. 23

Zdroj: [GAL1] ...................................................................................... 23

Obrázek 9: Typy bezpečnostních incidentů

Zdroj: [PSIB]............................................................. 24

Obrázek 10: Dopad bezpečnostních incidentů

Zdroj: [PSIB]......................................................... 24

Obrázek 11: Průměrné přímé a nepřímé dopady

Zdroj: [PSIB] ..................................................... 25

Obrázek 12: Největší hrozby z hlediska bezpečnosti Obrázek 13: Incidenty související s internetem

Zdroj: [PSIB] ....................................................... 26

Obrázek 14: Největší překážky prosazování IB v ČR Obrázek 15: Vnitrofiremní incidenty

Zdroj: [PSIB]................................................ 25 Zdroj: [PSIB] ............................................... 27

Zdroj: [INFS].......................................................................... 28

Obrázek 16: Incidenty způsobené externími faktory

Zdroj: [INFS]................................................. 29

Obrázek 17: Typy útoků a zneužití detekovaných v posledních 12 měsících v procentech ................. 30 Obrázek 18: Finanční ztráty podle typu útoků a zneužití v dolarech .................................................... 31 Obrázek 19: Kolik respondentů přiznává finanční ztráty (dle typu útoku) Obrázek 20: Typy napadení WWW stránek

Zdroj: [CSI] ............................................................ 33

Obrázek 21: Zákonná úprava ochrany utajovaných skutečností Obrázek 22: Vliv zákonů na informační bezpečnost v organizaci Obrázek 23: Aplikace bezpečnostního modelu

Zdroj: [CSI].................. 32

Zdroj: [ROD]................................ 34 Zdroj: [PSIB]............................ 39

Zdroj: [INFB] ....................................................... 67

Obrázek 24: Hierarchické členění informaci......................................................................................... 68 Obrázek 25: Vlastnosti informace

Zdroj: [ISS1] ............................................................................... 69

Obrázek 26: Proces klasifikace ............................................................................................................. 70 Obrázek 27: Celkový pohled na proces klasifikace informací.............................................................. 71 Obrázek 28: MS IE Content Advisor (Poradce hodnocením obsahu)................................................... 81 Obrázek 29: Zakázaný přístup k obsahu

Zdroj: MS IE .................................................................... 82

Poznámka: omluvte sníženou kvalitu některých obrázků, která je způsobena skenováním a nedostatečným prostorem na stránce o velikosti A4.

- 90 -


Jindřich Hlaváč

Přílohy

A – Terminologický slovník klasifikace informací – v užším slova smyslu jde o proces dělení informací do tříd dle klasifikačního kritéria, kdy výsledkem je klasifikovaná informace. V širším pojetí jde o proces, který zahrnuje přípravu projektu klasifikace, tvorbu týmů, analýzu typů informací ve firmě, jejich ohodnocení, tvorbu klasifikačního schématu a samotné dělení do tříd. reklasifikace informací – proces, kdy dochází k revizi zařazení informace a případně ke změně klasifikačního stupně informace; mělo by k němu docházet periodicky s ohledem na vývoj kritičnosti informace v čase (mění se její význam, rizika i působící hrozby). deklasifikace informací – zařazení informace do třídy nižšího klasifikačního stupně, zvláštní případ reklasifikace informace.

- 91 -


Jindřich Hlaváč

B – Význam zkratek 41

BSI (British Standards Institution) – britská instituce pro standardy CC - (Common Criteria)42, Evaluation Criteria for IT Security – „Běžná kritéria“ pro hodnocení zabezpečení IT; norma ISO/IEC 15408. CRAMM (UK Government’s Risk Analysis and Management Method)43 – metodika řízení a analýzy rizik CTCPEC (Canadian Trusted Computer Product Evaluation Criteria)44 - kanadská kritéria pro hodnocení bezpečnosti informačních systémů FC (Federal Criteria for IT) – federální kritéria; záměrem bylo vytvoření národního standard pro USA vylepšením TCSEC. Postupem času se transformovalo do CC. FIPS (Federal Information Processing Standard) – federální (USA) standard pro zpracování informací; např. FIPS 140-1 představuje Bezpečnostní požadavky na kryptografické moduly. GASSP (Generally Accepted System Security Principles) – všeobecně přijímané principy zabezpečení systémů GMITS (Guidelines for the Management of IT Security) – směrnice pro řízení IT bezpečnosti; příslušná norma je ISO/IEC 13335. ICRA (Internet Content Rating Association)45 – asociace pro hodnocení internetového obsahu; hodnocení je zpětně kompatibilní s nahrazeným systémem RSAC. ICT (Information and Communication Technology) – informační a komunikační technologie IEC – viz ISO/IEC ISBN (International Standard Book Number) – mezinárodně platné identifikační číslo knihy. Je složeno ze čtyř čísel oddělených pomlčkami. Např. ISBN 80-85623-22-6. První skupina cifer určuje skupinu vydavatelů, např. 0 je pro publikace v angličtině (USA, UK, Kanada..), 2 ve francouzštině, 3 němčině, 80 česky nebo slovensky. Druhé číslo určuje vydavatele v rámci skupiny, třetí číslo jednoznhačně identifikuje knihu v rámci vydavatele. Poslední cifra je kontrolní číslo. ISMS (Information Security Management System) – systém řízení informační bezpečnosti ISO/IEC (International Organization for Standardization / International Electrotechnical Commission)46 – mezinárodní organizace pro standardizaci (založená v roce 1947) a mezinárodní elektrotechnická komise. Patří mezi čtyři organizace, které jediné mohou přijímat tzv. základní normy s celosvětovou působností – vedle IEC a ISO jsou to ITU a UN/CEFACT47.

ISSA (Information System Security Association) – asociace pro bezpečnost inf. systémů ISSN (International Standard Seriál Number) - jednoznačně určuje časopisy a další periodika. Např. počítačový měsíčník Chip má označení ISSN 1210-0684 a server Živě.cz má ISSN 1212-8554. 41

http://www.bsi-global.com/

42

http://www.commoncriteria.org/ a http://csrc.nist.gov/cc/ a http://www.cse-cst.gc.ca/

43

http://www.crammusergroup.org.uk/ a http://www.insight.co.uk/

44

http://www.army.cz/vtciacr/secupage/orig/ctcpec.txt

45

http://www.icra.org, případně starší http://www.rsac.org/index.shtml

46

http://www.iso.ch/ a http://www.iec.ch/

47

http://www.uncefact.org/

- 92 -


Jindřich Hlaváč

ITC (Information Technology and Communication) – obor informačních technologií a komunikací ITSEC (Information Technology Security Evaluation Criteria)48 – kritéria hodnocení bezpečnosti IT ITSEM (Information Technology Security Evaluation Manual)49 – příručka hodnocení bezpečnosti IT ITU (International Telecommunication Union)50 – mezinárodní telekomunikační unie (ITU je následnický orgán výborů CCITT a CCIR). JTC (Joint Technical Committee) – Společný technický výbor; komise vzniklá pod záštitou ISO/IEC (pod názvem JTC1) pro tvorbu standardů v oblasti informačních technologií. Ty lze samostatně užívat, ale většinou jsou šablonou pro další standardizační práci skupin v rámci ISO/IEC. MDT (Mezinárodní desetinné třízení) – věcný systematický selekční jazyk; jde o universální, hierarchicky uspořádanou třídící soustavu používající desetinnou notaci. Zahrnuje všechny oblasti lidského vědění a používá se pro všechny druhy dokumentů. Vzniklo z Deweyova desetinného třízení (DDT, DDC). Používá 10 hlavních tříd: 0 – Obecnosti, 1 – Filozofie; 2 – Náboženství; 3 – Společenské vědy; 4 – (nyní volná); 5 – Matematika. Přírodní vědy; 6 – Užité vědy. Lékařství. Technika; 7 – Umění. Sport. Hry; 8 – Jazyky. Jazykověda. Krásná literatura. 9 – Zeměpis. Životopisy. Dějiny. Hlavní třídy se dále dělí na deset nebo méně tříd a rekurzivně se postupuje dále. Znak nové třídy se vytvoří připojením jedné cifry ke znaku pro původní třídu. Trojice cifer se oddělují tečkami (např. výroba oceli má znak 666.18). OECD (Organisation for Economic Co-operation and Development)51 – organizace pro ekonomickou spolupráci a rozvoj. OSI (Open Systems Interconnection) – propojení otevřených systémů; standard (referenční model) pro přenos mezi dvěma body v telekomunikační síti. Původně (1983) mělo být detailní specifikací rozhraní, ale nakonec se stalo obecným (referenčním) modelem. Přijato organizací ISO jako doporučení X.200. RSACi (Recreational Software Advisory Council on the internet) – organizace pro hodnocení informačního obsahu v elektronických médiích. Systém RSACi poskytoval zákazníkům informace o míře nahoty, sexu, násilí a vulgarity v počítačových hrách a na internetu. Byl integrován do aplikací Microsoft's Internet Explorer, MicroSystem's Cyber Patrol Software a Netscape Navigator. Na jaře 1999 byl nahrazen systémem a činností asociace ICRA. Sigla – zkratka instituce vlastnící dokument (používá se např. pro meziknihovní výpůjční službu). Signatura – adresa dokumentu v primárním fondu (pro „hmotné“ dokumenty). TCSEC (Trusted Computer System Evaluation Criteria)52 - Kritéria Ministerstva obrany USA pro hodnocení bezpečnosti počítačových systémů, tzv. Oranžová kniha (Orange Book), ta tvoří základ série návazných norem, tzv. Duhová série (Rainbow Series)53. TOE (Target Of Evaluation) - předmět hodnocení, obvykle produkt nebo informační systém. UDC (Universal Decimal Classification) – universální desetinné třízení, česky MDT (mezinárodní desetinné třízení)54. 48 49

http://www.cordis.lu/infosec/src/crit.htm http://www.cordis.lu/infosec/src/crit.htm; http://www.cordis.lu/infosec/src/itsem.htm

50

http://www.itu.int/

51

http://www.oecd.org/

52

http://csrc.nist.gov/secpubs/rainbow/std001.txt

53

http://csrc.nist.gov/secpubs/rainbow/

54

http://www.niss.ac.uk/resource-description/udcbrief.html

- 93 -


Jindřich Hlaváč

C - Klasifikace dokumentů – knihovnický pohled Klasifikace dokumentů začala v oboru, který se písemnými prameny zabýval odjakživa – v knihovnictví. Pro správu velkého množství primárních pramenů (již starověká Alexandrijská knihovna obsahovala 30 tisíc knih a 700 tisíc papyrusových svitků) bylo třeba najít systém, protože jinak by byly tyto prameny nepoužitelné. Vznikl bibliografický záznam, který obsahuje podstatné údaje o primárním pramenu. Aby byl takový záznam univerzální, musí vyhovovat národním i mezinárodním normám. Česká norma (ČSN 01 0195) je určená pro knihovny a další instituce zabývající se uchováváním a šířením textových dokumentů. Bibliografický záznam vypadá asi takto [SKL]: •

Soupisné údaje – autor, název dokumentu, notační znak selekčního jazyka klasifikačního typu, výraz předmětového selekčního jazyka55.

•

Vyčleněné údaje – datum schválení (např. pro výroční zprávy), datum obhajoby (např. pro diplomové práce), datum účinnosti (např. pro normy nebo zákony) a další.

•

Lokační údaje – signatura (tj. adresa dokumentu v primárním fondu), sigla (tj. zkratka instituce vlastnící dokument) a další.

•

Popisné údaje – další údaje o autorech, nakladatelství, vydání (např. pořadí nebo datum), rozsah (počet stran), ISBN, ISSN a další.

•

Charakteristika obsahu – anotace, referát.

•

Služební údaje – přírůstkové číslo, kód zpracovatele a další.

Bibliografický záznam musí obsahovat potřebné údaje pro nejrůznější typy dokumentů. Existuje více forem bibl. záznamů pro různé účely a instituce lišících se svou podrobností. Zabývali jsme se jmenným popisem dokumentu. Krátce ještě k obsahové charakteristice dokumentu. Téma dokumentu lze zachytit v zásadě dvojím způsobem. Prvním je popis obsahu souvislým textem v přirozeném jazyce, obvykle ve formě anotace a referátu. Anotace se stručně zabývá obsahem, určením a formou dokumentu, délka zpravidla do 500 znaků. Referát uvádí navíc i základní informace o obsahu (téma, charakter a cíl práce, použité metody, výsledky, závěry, oblast využití), délka do 2500 znaků, nejčastěji však kolem 1000 znaků. Druhý způsob vychází z použití jednotlivých výrazů přirozeného jazyka. Jedná se potom o věcný selekční jazyk.56 Věcný systematický selekční jazyk byl použit již v katalozích popisující prameny Alexandrijské knihovny ([SKL] uvádí, že měl 120 svazků). Nejdůležitějším takovým jazykem je Mezinárodní desetinné třízení (podrobnosti v příloze B). Věcný předmětový selekční jazyk je tvořen předmětovými hesly. Například Traktory – zemědělství – příručky nebo Německo – dějiny – přehledy. Pro strukturu předmětových hesel platí pevná pravidla,

55

[SKL]: Selekční jazyk je souhrn formalizovaných výrazů pro popis dokumentů. Jejich pomocí se také provádí výběr (selekce) dokumentů. Rozlišují se identifikační a věcné selekční jazyky. Identifikační se týkají údajů pro identifikaci dokumentů (autor, název, ISBN…), věcné jazyky slouží pro vyjádření obsahu dokumentů.

56

[SKL]: Ty se vyvíjely dvěma směry: první pokrývá celou oblast vědění hierarchicky uspořádaným systémem tříd (systematické selekční jazyky), druhý směr vychází z popisu obsahu dokumentu pomocí jednotlivých výrazů přirozeného jazyka (předmětové selekční jazyky).

- 94 -


Jindřich Hlaváč

která navíc závisí na národním jazyku. To je nevýhodou stejně jako složitá pravidla, která je třeba respektovat i při formulaci dotazu. Proto při formulaci dotazu musí asistovat školený pracovník. Nevýhody předmětových hesel nemají klíčová slova, která se volí tak, aby co nejvýstižněji charakterizovala obsah dokumentu. Mohou to být jednotlivá slova i krátká slovní spojení. Ta se používají velice často a lze se s nimi setkat zejména v knihovnických katalozích (např. TINLIB nebo LANius). Prudce rostoucí počet textových dokumentů v elektronické podobě má za důsledek stále větší význam automatické charakteristiky obsahu. Není možné všechny dostupné dokumenty indexovat57 ručně v rozumné době. Dále je třeba vyloučit subjektivní vliv člověka, který dokument indexuje. Jak taková automatická indexace dokumentu probíhá najdete např. v [SKL]. Tato subkapitola nepojednává jen obecně o teorii informace, ale naznačuje také, že pro efektivní vyhledávání textových informačních zdrojů je třeba určité klasifikace – výběr a hodnocení klíčových slov, což je nezbytné pro charakteristiku obsahu dokumentu.

57

Indexování dokumentu znamená totéž co charakteristika obsahu dokumentu.

- 95 -

Vysoká škola ekonomická v Praze

Recommend Documents