Odborné články

Šírime povedomie o informačnej bezpečnosti

Úskalia nasadenia klasifikácie informácií

DANIEL CHROMEK, CISA, CISM, CISSP, MBCI, ČLÁNOK UVEREJNENÝ V ČASOPISE DATA SECURITY MANAGEMENT, ČÍSLO 2, 2013


Pri zavádzaní klasifikácie informácií platí do bodky, že úskalia sú schované v detailoch. Častokrát až realizácia projektov ukáže neočakávané dopady dobre zamýšľaných pravidiel na život bežných zamestnancov. V praxi je možné rozdeliť tieto nepríjemné prekvapenia na:

  • rezistenciu zamestnancov („nechceme“),
  • slabú podporu nástrojov („nemôžeme“) a
  • tretie strany („nechcú alebo nemôžu“).  

Rezistencia zamestnancov

Odpor voči všetkému novému je nepísaným pravidlom zavádzania opatrení a klasifikácia informácií nie je výnimkou. O to viac, že pri klasifikácii informácií vyjdú najavo inkonzistencie pri ich ochrane. Pokiaľ sa ide do dôsledkov, je potrebné jednému alebo aj viacerým oddeleniam vysvetliť, že ich pravidlá na ochranu informácií nie sú dostatočné, príp. z nastavenia interných predpisov implicitne vyplýva závažné riziko a nesúlad so zamýšľanými pravidlami. Snahou o vyriešenie týchto problémov sa rezistencia len zvýši. Je vhodné preto mať na pamäti, že cieľom projektu je zavedenie klasifikácie informácií a nie ošetrenie všetkých identifikovaných rizík alebo nedostatkov pri ochrane informácií.

Druhý veľmi dôležitý prvok zavedenia klasifikácie informácií do praxe je komunikácia. Je potrebné komunikovať na všetkých úrovniach organizácie, pričom je vhodné zdôrazniť posolstvá:

  • klasifikácia informácií je nástroj pre vás“ – riadiaci zamestnanci dostanú do rúk nástroj na konzistentnú ochranu svojich informácií v rámci organizácie aj mimo nej. Bežní zamestnanci dostanú do rúk „kuchárku“, ako sa majú správať k zvereným informáciám.
  • „cieľom nie je vytvoriť pravidlá proti bežnému fungovaniu, ale naopak podporujúce bežné fungovanie“ – pokiaľ vašim kolegom zavedením klasifikácie informácií sťažíte prácu, tak pravidlá dodržiavať nebudú a nenájdete podporu ani u riadiacich pracovníkov.
  • „my sme tu pre vás“ a poskytneme vám potrebnú podporu na to, aby ste klasifikáciu informácií mohli využívať bez problémov.


Pokiaľ nepresvedčíte vašich kolegov, že klasifikácia informácií je pre nich pomôckou, slúžiacou na ochranu ich informácií a ich samotných, a nie prekážkou, tak ostane len v polohe smerníc a politík.

Vhodné je pri zavádzaní klasifikácie informácií poznať fungovanie interných procesov. Pokiaľ si riadiaci pracovník v klasifikačných pravidlách alebo postupoch nájde riešenie svojho problému so spracovaním informácií, je jednoduchšie presvedčiť ho aj o význame ostatných pravidiel a klasifikácie ako celku.
 

Slabá podpora nástrojov

Prelomenie odporu zo strany zamestnancov ide ruka v ruke s poskytnutím vhodných nástrojov. Typicky ide o nástroje na šifrovanie, bezpečné mazanie dát, DLP a pod.. Nástroje by mali byť pre užívateľov čo najviac transparentné a pokiaľ sa nedá vyhnúť interakcii s užívateľom, je potrebné, aby zamestnanci boli dobre preškolení na používanie nástroja a informovaní o dôvodoch jeho zavedenia.

Je potrebné poskytnúť zamestnancom nástroje na súlad so všetkými pravidlami, ktoré od nich klasifikácia informácií vyžaduje. Pokiaľ sa pravidlo ponechá len vo forme ustanovenia v riadiacom akte, môžu nastať dva problémy:

  • Ignorácia pravidla napr. je požadované šifrovanie dát pri ich vynesení mimo priestorov organizácie, ale nie je implementované šifrovanie diskov – zamestnanci iniciatívne nebudú šifrovať dáta sami.
  • Výklad pravidla „po svojom“ s následnými kontraproduktívnymi dôsledkami – napr. pri snahe o zašifrovanie dát zamestnanec nevhodným nástrojom alebo postupom dáta poškodí, zabudne heslo k zašifrovaným dátam, alebo zavlečie do pracovného počítača škodlivý softvér.


Tak ako ste ciele klasifikácie rozmenili na klasifikačné pravidlá, je potrebné klasifikačné pravidlá rozmeniť na organizačné, technické a personálne opatrenia, ktoré naplníte použitím konkrétne stanovených nástrojov. Tento proces je málokedy priamočiary a je pri ňom potrebné prehodnocovať, či zavedenie nástroja alebo pravidla v organizácii je efektívne a eliminuje zamýšľané bezpečnostné riziká. Napr. ochranu citlivých dát pred odpočúvaním pri prenose cez internet, môžete dosiahnuť povinným šifrovaním komunikácie obsahujúcej citlivé dáta, alebo aj zákazom zasielania citlivých dát napr. elektronickou poštou.

Organizačné nástroje by mali zahŕňať detailné a zrozumiteľné návody na:

  • zaradenie informácií do jednotlivých klasifikačných tried,
  • označovanie interných aj externých dokumentov klasifikačnými značkami a
  • spôsob manipulácie s klasifikovanými informáciami.


Pri implementácii technických nástrojov je potrebné dať si pozor na nasledovné skutočnosti:

  • Klasifikácia informácií môže byť robená napr. len z pohľadu dôvernosti informácii, to však neznamená, že informácie, ktoré sú verejné prístupné sú bezcenné a nemá zmysel ich chrániť. Príkladom môže byť verejne dostupný web, ktorého integrita je kľúčová pre zachovanie reputácie organizácie. Vhodné je preto komplexne posúdiť klasifikáciu informácií z každého pohľadu – napr. dostupnosť, dôvernosť, integrita, nepopierateľnosť, retencia,… a pravidlá a opatrenia navrhovať až na základe komplexného posúdenia.
  • Ochrana dôvernosti neznamená vždy jednoduché zašifrovanie dát. Niekedy je jednoduchšie zmeniť proces alebo spôsob komunikácie, ako snažiť sa aplikovať šifrovanie na existujúci stav. Napr. organizácia môže zasielať reporty s citlivými dátami elektronickou poštou svojim externým obchodným zástupcom. Vzhľadom na heterogénnosť prostredia je jednoduchšie zmeniť systém fungovania na zaviesť napr. reportovací portál, na ktorý budú pristupovať šifrovaným protokolom. 
  • Nástroje na podporu klasifikácie sa nesmú obrátiť voči užívateľovi. Opäť, dobrý príklad je zabudnuté heslo na dešifrovanie disku. Pokiaľ užívateľ vie, že zamestnanci IT mu vedia pomôcť, aj keď má práve dôležitú obchodnú prezentáciu u klienta a zabudol heslo, bude ochotnejší spolupracovať pri zavedení šifrovania diskov. Pokiaľ na dôvažok zavediete spolu so šifrovaním diskov aj zálohovanie počítačov a vysvetlíte mu, že pri strate zariadenia stratil iba hardvér, nikto sa k dátam nedostane a za pol dňa môže znova pracovať, ako pred tým, zavedenie opatrenia privíta.
  • Nástroje na podporu klasifikácie nepotrebujú len užívatelia ale aj IT a ďalší špecifickí užívatelia. Oddelenie IT zabezpečuje špecifické úlohy, ktoré vyžadujú špecifické nástroje. Dobrým príkladom je nasadenie softvéru na prepisovanie diskov alebo disk schreddera na fyzickú likvidáciu pevných diskov pri vyraďovaní hardvéru.


Pri zavádzaní akýchkoľvek opatrení do praxe je potrebné vynaložiť úsilie aj na tréning relevantného personálu, aby ste prelomili neochotu používať nástroje a umožnili využiť naplno ich potenciál.

Zavedením nástrojov podporujúcich klasifikáciu informácií budete postupne znižovať expozíciu organizácie voči riziku. Je potrebné mať na pamäti, že riziko nie je možné efektívne znižovať do nekonečna a v nejakom bode je potrebné riziko akceptovať. 

Tretie strany

Zavedenie akýchkoľvek opatrení v rámci vašej organizácie je pomerne jednoduchá záležitosť oproti stavu, kedy je potrebné zavádzať tieto alebo ekvivalentné opatrenia voči tretej strane. Podľa povahy obchodného alebo iného vzťahu vašej organizácie s treťou stranou môže byť aplikovanie pravidiel a opatrení klasifikácie informácií rôzne komplikované, až nemožné. Nemá zmysel napr. snažiť sa vynucovať akékoľvek pravidlá napr. voči štátnej správe alebo sociálnej poisťovni - pokiaľ takéto organizácie zadefinujú napr. spôsob výmeny informácií, je na ostatných organizáciách, aby tieto pravidlá dodržiavali.

Základom vzťahu s treťou stranou je zmluva. V rámci zmluvného vzťahu je potrebné definovať:

  • čo vaša organizácia chápe pod klasifikovanými informáciami 
  • minimálne pravidlá pre ich ochranu v závislosti od klasifikačnej triedy
  • dokedy je ich potrebné chrániť 
  • čo robiť v prípade, ak jedna zo zmluvných strán zistí, že ich neochránila
  • sankcie za porušenie dohodnutých pravidiel


Tieto ustanovenia je vhodné vložiť ako súčasť dohody o mlčanlivosti (ďalej len „NDA“). Dôvodom je nie len odporúčanie ISO 27002 v časti 6.1.5 Confidentiality agreements, ale aj to, že organizácie sú zvyknuté podpisovať NDA. Snaha donútiť tretiu stranu podpísať samostatnú dohodu definujúcu pravidlá pre ochranu informácií minimálne vzbudí pozornosť alebo odpor k dodatočným pravidlám.

Pokiaľ ste sa s treťou stranou dohodli na pravidlách, je potrebné dohodnúť sa na konkrétnych nástrojoch. Vzhľadom rôznorodosť prostredí je vhodné spoliehať sa v čo najväčšej miere na riešenia opierajúce sa o medzinárodné štandardy. Teda ak ste napr. vo vašej organizácii zaviedli vlastný kryptosystém na ochranu citlivých dát, je pravdepodobné, že tretia strana nebude súhlasiť s jeho využitím. 

Záverom

Zavedenie klasifikácie informácií je program úzko prepojený s riadením rizík a budovaním bezpečnostného povedomia. Je to beh na dlhú trať a závisí od organizácie, jej kultúry a rizikového apetítu, aké tempo zvolí. Pokiaľ bezpečnostný manažér „prepáli štart“, môže sa stať, že do stanoveného cieľa nedobehne alebo dobehne „s bolesťami“. Kľúčom k úspechu je dobre zvládnutá komunikačná stratégia a cit pre výber pravidiel a opatrení podľa potrieb organizácie a jej zamestnancov, pretože klasifikácia informácií má byť pre nich pomocou a nie príťažou.



Daniel Chromek, CISA, CISM, CISSP, MBCI
autor pracuje ako konzultant bezpečnosti IS spoločnosti ESET, spol. s r.o.

 

Úskalia nasadenia klasifikácie informácií

DANIEL CHROMEK, CISA, CISM, CISSP, MBCI, ČLÁNOK UVEREJNENÝ V ČASOPISE DATA SECURITY MANAGEMENT, ČÍSLO 2, 2013


Pri zavádzaní klasifikácie informácií platí do bodky, že úskalia sú schované v detailoch. Častokrát až realizácia projektov ukáže neočakávané dopady dobre zamýšľaných pravidiel na život bežných zamestnancov. V praxi je možné rozdeliť tieto nepríjemné prekvapenia na:

  • rezistenciu zamestnancov („nechceme“),
  • slabú podporu nástrojov („nemôžeme“) a
  • tretie strany („nechcú alebo nemôžu“).  

Rezistencia zamestnancov

Odpor voči všetkému novému je nepísaným pravidlom zavádzania opatrení a klasifikácia informácií nie je výnimkou. O to viac, že pri klasifikácii informácií vyjdú najavo inkonzistencie pri ich ochrane. Pokiaľ sa ide do dôsledkov, je potrebné jednému alebo aj viacerým oddeleniam vysvetliť, že ich pravidlá na ochranu informácií nie sú dostatočné, príp. z nastavenia interných predpisov implicitne vyplýva závažné riziko a nesúlad so zamýšľanými pravidlami. Snahou o vyriešenie týchto problémov sa rezistencia len zvýši. Je vhodné preto mať na pamäti, že cieľom projektu je zavedenie klasifikácie informácií a nie ošetrenie všetkých identifikovaných rizík alebo nedostatkov pri ochrane informácií.

Druhý veľmi dôležitý prvok zavedenia klasifikácie informácií do praxe je komunikácia. Je potrebné komunikovať na všetkých úrovniach organizácie, pričom je vhodné zdôrazniť posolstvá:

  • klasifikácia informácií je nástroj pre vás“ – riadiaci zamestnanci dostanú do rúk nástroj na konzistentnú ochranu svojich informácií v rámci organizácie aj mimo nej. Bežní zamestnanci dostanú do rúk „kuchárku“, ako sa majú správať k zvereným informáciám.
  • „cieľom nie je vytvoriť pravidlá proti bežnému fungovaniu, ale naopak podporujúce bežné fungovanie“ – pokiaľ vašim kolegom zavedením klasifikácie informácií sťažíte prácu, tak pravidlá dodržiavať nebudú a nenájdete podporu ani u riadiacich pracovníkov.
  • „my sme tu pre vás“ a poskytneme vám potrebnú podporu na to, aby ste klasifikáciu informácií mohli využívať bez problémov.


Pokiaľ nepresvedčíte vašich kolegov, že klasifikácia informácií je pre nich pomôckou, slúžiacou na ochranu ich informácií a ich samotných, a nie prekážkou, tak ostane len v polohe smerníc a politík.

Vhodné je pri zavádzaní klasifikácie informácií poznať fungovanie interných procesov. Pokiaľ si riadiaci pracovník v klasifikačných pravidlách alebo postupoch nájde riešenie svojho problému so spracovaním informácií, je jednoduchšie presvedčiť ho aj o význame ostatných pravidiel a klasifikácie ako celku.
 

Slabá podpora nástrojov

Prelomenie odporu zo strany zamestnancov ide ruka v ruke s poskytnutím vhodných nástrojov. Typicky ide o nástroje na šifrovanie, bezpečné mazanie dát, DLP a pod.. Nástroje by mali byť pre užívateľov čo najviac transparentné a pokiaľ sa nedá vyhnúť interakcii s užívateľom, je potrebné, aby zamestnanci boli dobre preškolení na používanie nástroja a informovaní o dôvodoch jeho zavedenia.

Je potrebné poskytnúť zamestnancom nástroje na súlad so všetkými pravidlami, ktoré od nich klasifikácia informácií vyžaduje. Pokiaľ sa pravidlo ponechá len vo forme ustanovenia v riadiacom akte, môžu nastať dva problémy:

  • Ignorácia pravidla napr. je požadované šifrovanie dát pri ich vynesení mimo priestorov organizácie, ale nie je implementované šifrovanie diskov – zamestnanci iniciatívne nebudú šifrovať dáta sami.
  • Výklad pravidla „po svojom“ s následnými kontraproduktívnymi dôsledkami – napr. pri snahe o zašifrovanie dát zamestnanec nevhodným nástrojom alebo postupom dáta poškodí, zabudne heslo k zašifrovaným dátam, alebo zavlečie do pracovného počítača škodlivý softvér.


Tak ako ste ciele klasifikácie rozmenili na klasifikačné pravidlá, je potrebné klasifikačné pravidlá rozmeniť na organizačné, technické a personálne opatrenia, ktoré naplníte použitím konkrétne stanovených nástrojov. Tento proces je málokedy priamočiary a je pri ňom potrebné prehodnocovať, či zavedenie nástroja alebo pravidla v organizácii je efektívne a eliminuje zamýšľané bezpečnostné riziká. Napr. ochranu citlivých dát pred odpočúvaním pri prenose cez internet, môžete dosiahnuť povinným šifrovaním komunikácie obsahujúcej citlivé dáta, alebo aj zákazom zasielania citlivých dát napr. elektronickou poštou.

Organizačné nástroje by mali zahŕňať detailné a zrozumiteľné návody na:

  • zaradenie informácií do jednotlivých klasifikačných tried,
  • označovanie interných aj externých dokumentov klasifikačnými značkami a
  • spôsob manipulácie s klasifikovanými informáciami.


Pri implementácii technických nástrojov je potrebné dať si pozor na nasledovné skutočnosti:

  • Klasifikácia informácií môže byť robená napr. len z pohľadu dôvernosti informácii, to však neznamená, že informácie, ktoré sú verejné prístupné sú bezcenné a nemá zmysel ich chrániť. Príkladom môže byť verejne dostupný web, ktorého integrita je kľúčová pre zachovanie reputácie organizácie. Vhodné je preto komplexne posúdiť klasifikáciu informácií z každého pohľadu – napr. dostupnosť, dôvernosť, integrita, nepopierateľnosť, retencia,… a pravidlá a opatrenia navrhovať až na základe komplexného posúdenia.
  • Ochrana dôvernosti neznamená vždy jednoduché zašifrovanie dát. Niekedy je jednoduchšie zmeniť proces alebo spôsob komunikácie, ako snažiť sa aplikovať šifrovanie na existujúci stav. Napr. organizácia môže zasielať reporty s citlivými dátami elektronickou poštou svojim externým obchodným zástupcom. Vzhľadom na heterogénnosť prostredia je jednoduchšie zmeniť systém fungovania na zaviesť napr. reportovací portál, na ktorý budú pristupovať šifrovaným protokolom. 
  • Nástroje na podporu klasifikácie sa nesmú obrátiť voči užívateľovi. Opäť, dobrý príklad je zabudnuté heslo na dešifrovanie disku. Pokiaľ užívateľ vie, že zamestnanci IT mu vedia pomôcť, aj keď má práve dôležitú obchodnú prezentáciu u klienta a zabudol heslo, bude ochotnejší spolupracovať pri zavedení šifrovania diskov. Pokiaľ na dôvažok zavediete spolu so šifrovaním diskov aj zálohovanie počítačov a vysvetlíte mu, že pri strate zariadenia stratil iba hardvér, nikto sa k dátam nedostane a za pol dňa môže znova pracovať, ako pred tým, zavedenie opatrenia privíta.
  • Nástroje na podporu klasifikácie nepotrebujú len užívatelia ale aj IT a ďalší špecifickí užívatelia. Oddelenie IT zabezpečuje špecifické úlohy, ktoré vyžadujú špecifické nástroje. Dobrým príkladom je nasadenie softvéru na prepisovanie diskov alebo disk schreddera na fyzickú likvidáciu pevných diskov pri vyraďovaní hardvéru.


Pri zavádzaní akýchkoľvek opatrení do praxe je potrebné vynaložiť úsilie aj na tréning relevantného personálu, aby ste prelomili neochotu používať nástroje a umožnili využiť naplno ich potenciál.

Zavedením nástrojov podporujúcich klasifikáciu informácií budete postupne znižovať expozíciu organizácie voči riziku. Je potrebné mať na pamäti, že riziko nie je možné efektívne znižovať do nekonečna a v nejakom bode je potrebné riziko akceptovať. 

Tretie strany

Zavedenie akýchkoľvek opatrení v rámci vašej organizácie je pomerne jednoduchá záležitosť oproti stavu, kedy je potrebné zavádzať tieto alebo ekvivalentné opatrenia voči tretej strane. Podľa povahy obchodného alebo iného vzťahu vašej organizácie s treťou stranou môže byť aplikovanie pravidiel a opatrení klasifikácie informácií rôzne komplikované, až nemožné. Nemá zmysel napr. snažiť sa vynucovať akékoľvek pravidlá napr. voči štátnej správe alebo sociálnej poisťovni - pokiaľ takéto organizácie zadefinujú napr. spôsob výmeny informácií, je na ostatných organizáciách, aby tieto pravidlá dodržiavali.

Základom vzťahu s treťou stranou je zmluva. V rámci zmluvného vzťahu je potrebné definovať:

  • čo vaša organizácia chápe pod klasifikovanými informáciami 
  • minimálne pravidlá pre ich ochranu v závislosti od klasifikačnej triedy
  • dokedy je ich potrebné chrániť 
  • čo robiť v prípade, ak jedna zo zmluvných strán zistí, že ich neochránila
  • sankcie za porušenie dohodnutých pravidiel


Tieto ustanovenia je vhodné vložiť ako súčasť dohody o mlčanlivosti (ďalej len „NDA“). Dôvodom je nie len odporúčanie ISO 27002 v časti 6.1.5 Confidentiality agreements, ale aj to, že organizácie sú zvyknuté podpisovať NDA. Snaha donútiť tretiu stranu podpísať samostatnú dohodu definujúcu pravidlá pre ochranu informácií minimálne vzbudí pozornosť alebo odpor k dodatočným pravidlám.

Pokiaľ ste sa s treťou stranou dohodli na pravidlách, je potrebné dohodnúť sa na konkrétnych nástrojoch. Vzhľadom rôznorodosť prostredí je vhodné spoliehať sa v čo najväčšej miere na riešenia opierajúce sa o medzinárodné štandardy. Teda ak ste napr. vo vašej organizácii zaviedli vlastný kryptosystém na ochranu citlivých dát, je pravdepodobné, že tretia strana nebude súhlasiť s jeho využitím. 

Záverom

Zavedenie klasifikácie informácií je program úzko prepojený s riadením rizík a budovaním bezpečnostného povedomia. Je to beh na dlhú trať a závisí od organizácie, jej kultúry a rizikového apetítu, aké tempo zvolí. Pokiaľ bezpečnostný manažér „prepáli štart“, môže sa stať, že do stanoveného cieľa nedobehne alebo dobehne „s bolesťami“. Kľúčom k úspechu je dobre zvládnutá komunikačná stratégia a cit pre výber pravidiel a opatrení podľa potrieb organizácie a jej zamestnancov, pretože klasifikácia informácií má byť pre nich pomocou a nie príťažou.



Daniel Chromek, CISA, CISM, CISSP, MBCI
autor pracuje ako konzultant bezpečnosti IS spoločnosti ESET, spol. s r.o.