Název tohoto dokumentu je „Standard pro kategorizaci bezpečnosti vládních informací a informačních systémů“ (Standards for Security Categorization of Federal Information and Information Systems). Připomínky a komentáře k tomuto draftu musí být zaslány do 14. 8. 2003 na e-mail adresufips.comments@nist.gov. Potom bude následovat proces zpracovávání a vyhodnocování doručených připomínek, který povede k vyhlášení upraveného standardu. Neodpustím si srovnání s lhůtami pro veřejné připomínky k návrhům standardů, které na svých www stránkách zveřejňuje naše Ministerstvo informatiky, kde např. návrh standardů informační bezpečnosti KI ISVS byl vyvěšen 7. 5. 2003 a připomínky musí být zaslány do konce května).
Dokument „Standard pro kategorizaci bezpečnosti vládních informací a informačních systémů“ je určen pro americké vládní úřady, které jej mají použít ke kategorizaci zpracovávaných informací a informačních systémů. Připomeňme, že se týká pouze oblasti senzitivních informací, které však nejsou utajované. V tomto smyslu nemá podobná kategorie u nás obecné pojmenování. V ČR existují pouze předpisy, které nařizují, jak klasifikovat utajované skutečnosti a příslušné informační systémy, které tato data zpracovávají (zákon č.148/98 O ochraně utajovaných skutečností). Ostatní data zpracovávaná v oblasti veřejné moci nebo v soukromé sféře nejsou nijak oficiálně označena a nijak klasifikována (v ČR se místo pojmu kategorizace dat používá termín klasifikace dat). V případě soukromé sféry zpravidla existuje třídění na základě interní celkové bezpečnostní politiky a není tedy jednotné a není žádným předpisem nebo doporučením upraveno.
Známé systémy, které se dosud používají pro klasifikaci (nebo, slovy předloženého standardu, kategorizaci), jsou „lineární“. Tím míním, že používají hierarchickou strukturu typu:
Vyhrazeno, důvěrné, tajné, přísně tajné (zákon č.148/98 Sb.)
Veřejná data, senzitivní data, chráněná data (takovéto třídění lze nastavit uvnitř organizace např. pomocí pojmenování aktiv v Celkové bezpečnostní politice)
Data kategorie 0, 1, 2
Veřejná data , data jen pro interní potřebu, obchodní tajemství apod.
Předložený draft k veřejné diskusi však zavádí novou, zcela revoluční myšlenku kategorizace dat (alespoň já jsem se s ní zatím nikde nesetkal), která vychází ze dvou odlišných charakteristik.
První charakteristika si všímá, co je u daného dokumentu/informačního systému důležité z hlediska zpracovávaných informací. Předkladatelé (U.S. Department of Commerce, Technology Administration, National Institute of Standards and Technology) vybrali tyto vlastnosti : Důvěrnost, Integritu a Dostupnost.
Pro účely tohoto dokumentu používají tyto pojmy následovně :
Důvěrnost : Opatření zajišťující pouze oprávněný přístup k informacím a chránící proti jejich neoprávněnému zveřejnění, včetně prostředků pro ochranu osobních údajů a ochranu vlastnických práv.
Integrita : Ochrana před nevhodnou modifikací či zničením informace, zahrnuje také otázky autentičnosti a nepopiratelnosti původu informace.
Dostupnost : Opatření zajišťující včasný a spolehlivý přístup k použití informace.
Za druhou charakteristiku vybrali navrhovatelé míru rizika (Level of Risk). Tuto míru rizika zvolili třístupňovou : nízkou (low), průměrnou (moderate), vysokou (high). Pro každý stupeň přesně definovali, co se tím rozumí. Je zde tedy celkem devět definic 1–9, které můžeme formálně sestavit do následující tabulky :
|
LEVEL OF RISK Stupeň rizika |
||
|
Low Nízký |
Moderate Střední |
High Vysoký |
Confidentiality Důvěrnost |
1 |
2 |
3 |
Integrity Integrita |
4 |
5 |
6 |
Availability Dostupnost |
7 |
8 |
9 |
Tyto definice slovně charakterizují a popisují, co by ztráta příslušné vlastnosti znamenala : např. ohrožení (negativní výsledek) operace, nepříznivý až katastrofický scénář pro operaci, ohrožení lidského života atd. ….
Tuto část, společně s myšlenkou dvouparametrového třídění, považuji za nejdůležitější z celého dokumentu, bude podstatná vzhledem ke správnému roztřídění dokumentů / informačních systémů a předpokládám, že právě k těmto definicím a správnému zatřídění vyjmenovaných dopadů bude nejvíce zaslaných připomínek.
Po zařazení a ohodnocení podle předchozí tabulky bude každý vládní informační systém nebo chráněná informace zařazena do kategorie, která bude popsána příslušným dvouparametrovým systémem.
KATEGORIE = [(důvěrnost, stupeň rizika), (integrita, stupeň rizika), (dostupnost, stupeň rizika)].
CATEGORIZATION = [(confidentiality, RISK-LEVEL), (integrity, RISK-LEVEL), (availability, RISK-LEVEL)].
Výhodou takto navrženého třídění je (i když to nemusí být na první pohled zřejmé) ochrana investic na zabezpečení dat a informačních systémů, ve kterých se tato data zpracovávají. Dá se očekávat, že budou vyvíjeny a vyráběny účelové ochranné prostředky, které zabezpečí ochranu podle takto stanovených požadavků. Dříve používané prostředky (např. hodnocené podle FIPS 140–2 Level 1 až Level 4) musely pro úspěšné vyhodnocení a zařazení do určitého stupně bezpečnosti mít implementovány všechny funkce, které byly na tento stupeň hodnocení požadovány a které ne vždy koncový uživatel skutečně potřeboval nebo využíval.
Dá se očekávat, že toto jemnější třídění umožní implementovat do zařízení funkce, jež koncový uživatel potřebuje k pokrytí hrozeb, které jeho konkrétní informační systém zařazený do výše definované kategorie (např. kategorie (1,1,3) ) skutečně vyžaduje a správce takto zařazeného informačního systému nebude muset platit za funkčnost zařízení, která jeho systém nevyužije. Další výhodou by mohlo být i zkrácení doby hodnocení (evaluace) takovéhoto prostředku, neboť zařízení bude obsahovat jen omezený počet funkcí, a tedy zkrácení cyklu vývoj – hodnocení – výroba – nasazení prostředku. V současnosti se v některých případech vyžaduje, v souladu s příslušnými předpisy, nasazení pouze hodnocených prostředků. Vzhledem k tomu, že tato hodnocení trvají i několik let, stává se, že vyhodnocené prostředky jsou v okamžiku nasazení již zastaralé.
Z výše uvedených důvodů doporučuji věnovat tomuto nenápadnému draftu patřičnou pozornost, neboť by v budoucnu mohl zcela zásadním způsobem ovlivnit sféru klasifikace (kategorizace) informací a informačních systémů, což by mělo přímý dopad (v horizontu několika let) na způsob hodnocení bezpečnosti informačních systémů a kryptografických prostředků.
Draft standardu je dostupný ve formátu PDF.