Hlavní navigace

Standard pro kategorizaci bezpečnosti vládních informací a IS

Pavel Vondruška

Opravdu žhavou novinkou řady FIPS PUB (The Federal Information Processing Standards Publication Series), kterou vydává Americký národní institut standardů a technologie NIST (The National Institute of Standards and Technology), je nenápadný, pouze dvanáctistránkový inicializační draft označený FIPS PUB 199. Tento draft nese datum vyhotovení květen 2003 a byl zveřejněn společně s žádostí o veřejnou diskusi 16. 5. 2003 (Federal Register: May 16, 2003, Volume 68, Number 95).

Název tohoto dokumentu je „Standard pro kategorizaci bezpečnosti vládních informací a informačních systémů“ (Standards for Security Categorization of Federal Information and Information Systems). Připomínky a komentáře k tomuto draftu musí být zaslány do 14. 8. 2003 na e-mail adresufips.comments@nist.gov. Potom bude následovat proces zpracovávání a vyhodnocování doručených připomínek, který povede k vyhlášení upraveného standardu. Neodpustím si srovnání s lhůtami pro veřejné připomínky k návrhům standardů, které na svých www stránkách zveřejňuje naše Ministerstvo informatiky, kde např. návrh standardů informační bezpečnosti KI ISVS byl vyvěšen 7. 5. 2003 a připomínky musí být zaslány do konce května).

Dokument „Standard pro kategorizaci bezpečnosti vládních informací a informačních systémů“ je určen pro americké vládní úřady, které jej mají použít ke kategorizaci zpracovávaných informací a informačních systémů. Připomeňme, že se týká pouze oblasti senzitivních informací, které však nejsou utajované. V tomto smyslu nemá podobná kategorie u nás obecné pojmenování. V ČR existují pouze předpisy, které nařizují, jak klasifikovat utajované skutečnosti a příslušné informační systémy, které tato data zpracovávají (zákon č.148/98 O ochraně utajovaných skutečností). Ostatní data zpracovávaná v oblasti veřejné moci nebo v soukromé sféře nejsou nijak oficiálně označena a nijak klasifikována (v ČR se místo pojmu kategorizace dat používá termín klasifikace dat). V případě soukromé sféry zpravidla existuje třídění na základě interní celkové bezpečnostní politiky a není tedy jednotné a není žádným předpisem nebo doporučením upraveno.

Známé systémy, které se dosud používají pro klasifikaci (nebo, slovy předloženého standardu, kategorizaci), jsou „lineární“. Tím míním, že používají hierarchickou strukturu typu:

Vyhrazeno, důvěrné, tajné, přísně tajné (zákon č.148/98 Sb.)
Veřejná data, senzitivní data, chráněná data (takovéto třídění lze nastavit uvnitř organizace např. pomocí pojmenování aktiv v Celkové bezpečnostní politice)
Data kategorie 0, 1, 2
Veřejná data , data jen pro interní potřebu, obchodní tajemství apod.

Předložený draft k veřejné diskusi však zavádí novou, zcela revoluční myšlenku kategorizace dat (alespoň já jsem se s ní zatím nikde nesetkal), která vychází ze dvou odlišných charakteristik.

První charakteristika si všímá, co je u daného dokumentu/infor­mačního systému důležité z hlediska zpracovávaných informací. Předkladatelé (U.S. Department of Commerce, Technology Administration, National Institute of Standards and Technology) vybrali tyto vlastnosti : Důvěrnost, Integritu a Dostupnost.

Pro účely tohoto dokumentu používají tyto pojmy následovně :

Důvěrnost : Opatření zajišťující pouze oprávněný přístup k informacím a chránící proti jejich neoprávněnému zveřejnění, včetně prostředků pro ochranu osobních údajů a ochranu vlastnických práv.

Integrita : Ochrana před nevhodnou modifikací či zničením informace, zahrnuje také otázky autentičnosti a nepopiratelnosti původu informace.

Dostupnost : Opatření zajišťující včasný a spolehlivý přístup k použití informace.

Za druhou charakteristiku vybrali navrhovatelé míru rizika (Level of Risk). Tuto míru rizika zvolili třístupňovou : nízkou (low), průměrnou (moderate), vysokou (high). Pro každý stupeň přesně definovali, co se tím rozumí. Je zde tedy celkem devět definic 1–9, které můžeme formálně sestavit do následující tabulky :

Tabulka č. 436


LEVEL OF RISK

Stupeň rizika


Low

Nízký

Moderate

Střední

High

Vysoký

Confidentiality

Důvěrnost

1

2

3

Integrity

Integrita

4

5

6

Availability

Dostupnost

7

8

9


Tyto definice slovně charakterizují a popisují, co by ztráta příslušné vlastnosti znamenala : např. ohrožení (negativní výsledek) operace, nepříznivý až katastrofický scénář pro operaci, ohrožení lidského života atd. ….

Tuto část, společně s myšlenkou dvouparametrového třídění, považuji za nejdůležitější z celého dokumentu, bude podstatná vzhledem ke správnému roztřídění dokumentů / informačních systémů a předpokládám, že právě k těmto definicím a správnému zatřídění vyjmenovaných dopadů bude nejvíce zaslaných připomínek.

Po zařazení a ohodnocení podle předchozí tabulky bude každý vládní informační systém nebo chráněná informace zařazena do kategorie, která bude popsána příslušným dvouparametrovým systémem.

KATEGORIE = [(důvěrnost, stupeň rizika), (integrita, stupeň rizika), (dostupnost, stupeň rizika)].

CATEGORIZATION = [(confidentiality, RISK-LEVEL), (integrity, RISK-LEVEL), (availability, RISK-LEVEL)].

Výhodou takto navrženého třídění je (i když to nemusí být na první pohled zřejmé) ochrana investic na zabezpečení dat a informačních systémů, ve kterých se tato data zpracovávají. Dá se očekávat, že budou vyvíjeny a vyráběny účelové ochranné prostředky, které zabezpečí ochranu podle takto stanovených požadavků. Dříve používané prostředky (např. hodnocené podle FIPS 140–2 Level 1 až Level 4) musely pro úspěšné vyhodnocení a zařazení do určitého stupně bezpečnosti mít implementovány všechny funkce, které byly na tento stupeň hodnocení požadovány a které ne vždy koncový uživatel skutečně potřeboval nebo využíval.

Dá se očekávat, že toto jemnější třídění umožní implementovat do zařízení funkce, jež koncový uživatel potřebuje k pokrytí hrozeb, které jeho konkrétní informační systém zařazený do výše definované kategorie (např. kategorie (1,1,3) ) skutečně vyžaduje a správce takto zařazeného informačního systému nebude muset platit za funkčnost zařízení, která jeho systém nevyužije. Další výhodou by mohlo být i zkrácení doby hodnocení (evaluace) takovéhoto prostředku, neboť zařízení bude obsahovat jen omezený počet funkcí, a tedy zkrácení cyklu vývoj – hodnocení – výroba – nasazení prostředku. V současnosti se v některých případech vyžaduje, v souladu s příslušnými předpisy, nasazení pouze hodnocených prostředků. Vzhledem k tomu, že tato hodnocení trvají i několik let, stává se, že vyhodnocené prostředky jsou v okamžiku nasazení již zastaralé.

Z výše uvedených důvodů doporučuji věnovat tomuto nenápadnému draftu patřičnou pozornost, neboť by v budoucnu mohl zcela zásadním způsobem ovlivnit sféru klasifikace (kategorizace) informací a informačních systémů, což by mělo přímý dopad (v horizontu několika let) na způsob hodnocení bezpečnosti informačních systémů a kryptografických prostředků.

Draft standardu je dostupný ve formátu PDF.

Našli jste v článku chybu?