Hlavní navigace

Standard pro kategorizaci bezpečnosti vládních informací a IS

Pavel Vondruška 28. 5. 2003

Opravdu žhavou novinkou řady FIPS PUB (The Federal Information Processing Standards Publication Series), kterou vydává Americký národní institut standardů a technologie NIST (The National Institute of Standards and Technology), je nenápadný, pouze dvanáctistránkový inicializační draft označený FIPS PUB 199. Tento draft nese datum vyhotovení květen 2003 a byl zveřejněn společně s žádostí o veřejnou diskusi 16. 5. 2003 (Federal Register: May 16, 2003, Volume 68, Number 95).

Název tohoto dokumentu je „Standard pro kategorizaci bezpečnosti vládních informací a informačních systémů“ (Standards for Security Categorization of Federal Information and Information Systems). Připomínky a komentáře k tomuto draftu musí být zaslány do 14. 8. 2003 na e-mail adresufips.comments@nist.gov. Potom bude následovat proces zpracovávání a vyhodnocování doručených připomínek, který povede k vyhlášení upraveného standardu. Neodpustím si srovnání s lhůtami pro veřejné připomínky k návrhům standardů, které na svých www stránkách zveřejňuje naše Ministerstvo informatiky, kde např. návrh standardů informační bezpečnosti KI ISVS byl vyvěšen 7. 5. 2003 a připomínky musí být zaslány do konce května).

Dokument „Standard pro kategorizaci bezpečnosti vládních informací a informačních systémů“ je určen pro americké vládní úřady, které jej mají použít ke kategorizaci zpracovávaných informací a informačních systémů. Připomeňme, že se týká pouze oblasti senzitivních informací, které však nejsou utajované. V tomto smyslu nemá podobná kategorie u nás obecné pojmenování. V ČR existují pouze předpisy, které nařizují, jak klasifikovat utajované skutečnosti a příslušné informační systémy, které tato data zpracovávají (zákon č.148/98 O ochraně utajovaných skutečností). Ostatní data zpracovávaná v oblasti veřejné moci nebo v soukromé sféře nejsou nijak oficiálně označena a nijak klasifikována (v ČR se místo pojmu kategorizace dat používá termín klasifikace dat). V případě soukromé sféry zpravidla existuje třídění na základě interní celkové bezpečnostní politiky a není tedy jednotné a není žádným předpisem nebo doporučením upraveno.

Známé systémy, které se dosud používají pro klasifikaci (nebo, slovy předloženého standardu, kategorizaci), jsou „lineární“. Tím míním, že používají hierarchickou strukturu typu:

Vyhrazeno, důvěrné, tajné, přísně tajné (zákon č.148/98 Sb.)
Veřejná data, senzitivní data, chráněná data (takovéto třídění lze nastavit uvnitř organizace např. pomocí pojmenování aktiv v Celkové bezpečnostní politice)
Data kategorie 0, 1, 2
Veřejná data , data jen pro interní potřebu, obchodní tajemství apod.

Předložený draft k veřejné diskusi však zavádí novou, zcela revoluční myšlenku kategorizace dat (alespoň já jsem se s ní zatím nikde nesetkal), která vychází ze dvou odlišných charakteristik.

První charakteristika si všímá, co je u daného dokumentu/infor­mačního systému důležité z hlediska zpracovávaných informací. Předkladatelé (U.S. Department of Commerce, Technology Administration, National Institute of Standards and Technology) vybrali tyto vlastnosti : Důvěrnost, Integritu a Dostupnost.

Pro účely tohoto dokumentu používají tyto pojmy následovně :

Důvěrnost : Opatření zajišťující pouze oprávněný přístup k informacím a chránící proti jejich neoprávněnému zveřejnění, včetně prostředků pro ochranu osobních údajů a ochranu vlastnických práv.

Integrita : Ochrana před nevhodnou modifikací či zničením informace, zahrnuje také otázky autentičnosti a nepopiratelnosti původu informace.

Dostupnost : Opatření zajišťující včasný a spolehlivý přístup k použití informace.

Za druhou charakteristiku vybrali navrhovatelé míru rizika (Level of Risk). Tuto míru rizika zvolili třístupňovou : nízkou (low), průměrnou (moderate), vysokou (high). Pro každý stupeň přesně definovali, co se tím rozumí. Je zde tedy celkem devět definic 1–9, které můžeme formálně sestavit do následující tabulky :

Tabulka č. 436


LEVEL OF RISK

Stupeň rizika


Low

Nízký

Moderate

Střední

High

Vysoký

Confidentiality

Důvěrnost

1

2

3

Integrity

Integrita

4

5

6

Availability

Dostupnost

7

8

9


Tyto definice slovně charakterizují a popisují, co by ztráta příslušné vlastnosti znamenala : např. ohrožení (negativní výsledek) operace, nepříznivý až katastrofický scénář pro operaci, ohrožení lidského života atd. ….

Tuto část, společně s myšlenkou dvouparametrového třídění, považuji za nejdůležitější z celého dokumentu, bude podstatná vzhledem ke správnému roztřídění dokumentů / informačních systémů a předpokládám, že právě k těmto definicím a správnému zatřídění vyjmenovaných dopadů bude nejvíce zaslaných připomínek.

Po zařazení a ohodnocení podle předchozí tabulky bude každý vládní informační systém nebo chráněná informace zařazena do kategorie, která bude popsána příslušným dvouparametrovým systémem.

KATEGORIE = [(důvěrnost, stupeň rizika), (integrita, stupeň rizika), (dostupnost, stupeň rizika)].

CATEGORIZATION = [(confidentiality, RISK-LEVEL), (integrity, RISK-LEVEL), (availability, RISK-LEVEL)].

Výhodou takto navrženého třídění je (i když to nemusí být na první pohled zřejmé) ochrana investic na zabezpečení dat a informačních systémů, ve kterých se tato data zpracovávají. Dá se očekávat, že budou vyvíjeny a vyráběny účelové ochranné prostředky, které zabezpečí ochranu podle takto stanovených požadavků. Dříve používané prostředky (např. hodnocené podle FIPS 140–2 Level 1 až Level 4) musely pro úspěšné vyhodnocení a zařazení do určitého stupně bezpečnosti mít implementovány všechny funkce, které byly na tento stupeň hodnocení požadovány a které ne vždy koncový uživatel skutečně potřeboval nebo využíval.

Dá se očekávat, že toto jemnější třídění umožní implementovat do zařízení funkce, jež koncový uživatel potřebuje k pokrytí hrozeb, které jeho konkrétní informační systém zařazený do výše definované kategorie (např. kategorie (1,1,3) ) skutečně vyžaduje a správce takto zařazeného informačního systému nebude muset platit za funkčnost zařízení, která jeho systém nevyužije. Další výhodou by mohlo být i zkrácení doby hodnocení (evaluace) takovéhoto prostředku, neboť zařízení bude obsahovat jen omezený počet funkcí, a tedy zkrácení cyklu vývoj – hodnocení – výroba – nasazení prostředku. V současnosti se v některých případech vyžaduje, v souladu s příslušnými předpisy, nasazení pouze hodnocených prostředků. Vzhledem k tomu, že tato hodnocení trvají i několik let, stává se, že vyhodnocené prostředky jsou v okamžiku nasazení již zastaralé.

Z výše uvedených důvodů doporučuji věnovat tomuto nenápadnému draftu patřičnou pozornost, neboť by v budoucnu mohl zcela zásadním způsobem ovlivnit sféru klasifikace (kategorizace) informací a informačních systémů, což by mělo přímý dopad (v horizontu několika let) na způsob hodnocení bezpečnosti informačních systémů a kryptografických prostředků.

Draft standardu je dostupný ve formátu PDF.

Našli jste v článku chybu?

29. 5. 2003 10:03

Pavel Vondruška (neregistrovaný)

Pro sefiky v kravatach vyjde povidani koncem leta v DSM (Data Security Management). Toto je spise uvodni aktualni info a odkaz pro lidi, kteri s podobnymi dokumenty umeji a chteji dale pracovat. Specialne lze uplatnit pri psani Bezpecnostni politiky organizace. Prakticky dopad na hodnoceni IS a prostredku vsak bude mit tento standard az za nekolik let. Nicmene doufam, ze vata to neni. Pokud jde o vhodnost umisteni nebo ne, sam jsem ovsem vahal - viz muj predchozi prispevek. S pozdravem Pavel Von…

29. 5. 2003 9:03

Marys (neregistrovaný)

Chi, tak si to tak neber. Musim rict ze tve clanky ve mne vyvolaly nostalgii na strahovsko studentska leta.
:-)


Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET