Η διεργασία της ταξινόμησης των πληροφοριών, αποτελεί το πρώτο βήμα μιας προσπάθειας που θα διασφαλίσει ότι οι κρισιμότερες πληροφορίες έχουν το υψηλότερο δυνατό επίπεδο προστασίας.
Η σημερινή ψηφιακή πραγματικότητα χαρακτηρίζεται από την έντονη ανταλλαγή και διαθεσιμότητα των δεδομένων. Τόσο τα εταιρικά, όσο και τα προσωπικά δεδομένα, είναι δυνητικά διαθέσιμα σε ένα παγκόσμιο κοινό, όπως ποτέ πριν. Όσο και να θέλουμε να εγγυηθούμε ή να προσπαθήσουμε να εγγυηθούμε ότι τα εταιρικά και προσωπικά δεδομένα προστατεύονται επαρκώς, γνωρίζουμε πολύ καλά ότι κάτι τέτοιο δεν υφίσταται. Για το λόγο αυτό χρειάζεται να επικεντρωθούμε σε ένα αποτελεσματικό τρόπο διαχείρισης των σχετικών κινδύνων, που αφορούν στα κρίσιμα για κάθε Οργανισμό δεδομένα και πληροφορίες.
Η ταξινόμηση των δεδομένων και ο αντίστοιχος προσδιορισμών των ευθυνών των ιδιοκτητών τους, αποτελούν σημαντικό βήμα προκειμένου να διασφαλιστεί ότι η κρισιμότητα των πληροφοριών αναγνωρίζεται και είναι όσο πιο κοντά στη πραγματικότητα γίνεται.
Οι πληροφορίες ποικίλλουν σε επίπεδα ευαισθησίας και της κρισιμότητας. Ορισμένες πληροφορίες έχουν ανάγκη ιδιαίτερης προστασίας και διαχείρισης. Ένα πλαίσιο ταξινόμησης πληροφοριών πρέπει να χρησιμοποιείται για να καθορίσει μια σειρά κατάλληλων επιπέδων προστασίας και να επικοινωνήσει το τρόπο διαχείρισης των πληροφοριών που κατατάσσονται σε κάθε ένα από τα επίπεδα ταξινόμησης.
Η ταξινόμηση των πληροφοριών βοηθά στο προσδιορισμό των κατάλληλων μέτρων προστασίας και στην υλοποίηση αυτών με το πιο οικονομικά αποδοτικό τρόπο. Με αυτόν τον τρόπο βοηθά στην αποτελεσματική προστασία των πληροφοριών και γενικότερα των πληροφοριακών πόρων, από ακούσια λάθη και στοχευμένες επιθέσεις. Επιπρόσθετα, η διαμόρφωση ενός πλαισίου ταξινόμησης των εταιρικών πληροφοριών, καταδεικνύει τη δέσμευση του εκάστοτε Οργανισμού για κανονιστική συμμόρφωση.
Στο πλαίσιο της εφαρμογής των δικλείδων ασφάλειας που αφορούν στη προστασία των πληροφοριών και των προσωπικών δεδομένων (έτσι όπως υποδεικνύονται από τα διάφορα πρότυπα της ασφάλειας πληροφοριών) το πρώτο βήμα αφορά στην αναγνώριση των πληροφοριών που επεξεργάζονται από τον Οργανισμό και στο προσδιορισμό της αρνητικής επίδρασης για ολόκληρο τον Οργανισμό, στην περίπτωση παραβίασης των εμπιστευτικότητας και ακεραιότητας των εν λόγω πληροφοριών. Πληροφορίες όπου και αν αυτές βρίσκονται, σε εφαρμογές, σε χαρτί, σε ηλεκτρονικά αρχεία επιχειρηματικές διαδικασίες, συμβάσεις και ούτω καθεξής.
Έχοντας κάνει τη παραπάνω άσκηση, ο προσδιορισμός των αναγκαίων δικλείδων ασφάλειας αλλά και οι ανάγκες χρηματοδότησης, μπορούν εύκολα να προσδιοριστούν.
Η διεργασία της ταξινόμησης των πληροφοριών είναι μια πολύπλοκη και εξελικτική διαδικασία, διότι οι Οργανισμοί συνεχώς εξελίσσονται & μεταβάλλονται. Διαδικασίες, πληροφορικά συστήματα και υπηρεσίες εξελίσσονται και μαζί τους μεταβάλλονται και οι παράμετροι που αφορούν στη ταξινόμηση των πληροφοριών. Ταυτόχρονα νέοι τύποι πληροφοριών προστίθενται και άλλοι παύουν να υφίστανται. Ωστόσο, ένα καλά διαμορφωμένο πρόγραμμα ταξινόμησης μπορεί να βοηθήσει στο περιορισμό του κινδύνου και των αρνητικών επιπτώσεων σε περίπτωση παραβίασης της ασφάλειας των πληροφοριών.
Σκοπός του συγκεκριμένου άρθρου είναι να προσεγγίσει τη διεργασία της ταξινόμησης των πληροφοριών και να περιγράψει τις διαδικασίες που την αποτελούν:
. Ανάπτυξη ενός πλαισίου ταξινόμησης πληροφοριών
. Προσδιορισμός των διαφορετικών τύπων πηλοφοριών και απόδοση του ορθού επιπέδου ταξινόμησης.
. Διατήρηση και εφαρμογή του πλαισίου ταξινόμησης σε συνεχή βάση
Ο ρόλος της ταξινόμησης
Οι οργανισμοί αντιμετωπίζουν μια ολοένα αυξανόμενη πρόκληση αναφορικά με τη προστασία των κρίσιμων εταιρικών πληροφοριών, όπως η πνευματική ιδιοκτησία, προσωπικά δεδομένα, κρίσιμες εταιρικές πληροφορίες και πληροφορίες πελατών.
Η συντριπτική πλειοψηφία αυτών των πληροφοριών είναι αδόμητη και εμπεριέχεται σε μηνύματα ηλεκτρονικού ταχυδρομείου, έγγραφα, σαρωμένες εικόνες και απλά αρχεία κειμένου. Η αύξηση των αδόμητων δεδομένων είναι αδυσώπητη και σύμφωνα με την Gartner προβλέπεται ότι, από το 2015, το 80% του συνόλου των επιχειρηματικών πληροφοριών θα είναι αδόμητα. Στην συγκεκριμένη ψηφιακή πραγματικότητα χρειάζεται να αναγνωριστούν και να ελεγχθούν οι πληροφορίες που έχουν αξία για τον εκάστοτε Οργανισμό.
Το πρώτο συστατικό της διαμόρφωσης ενός πλαισίου ταξινόμησης είναι η διαμόρφωση ενός σχήματος, μιας ιεραρχίας σύμφωνα με την οποία θα ταξινομήσουμε – κατηγοριοποιήσουμε τις πληροφορίες. Ταυτόχρονα χρειάζεται να προσδιορίσουμε και το τρόπο με τον οποίο θα χαρακτηρίζονται (αποτύπωσης του επιπέδου διαβάθμισης) οι ψηφιακές & μη πληροφορίες. Το τρόπο με τον οποίο θα αποτυπώνεται το επίπεδο διαβάθμισης έτσι ώστε να το αναγνωρίζει ο χρήστης της πληροφορίας.
Κατά τον καθορισμό ενός τέτοιου σχήματος είναι σημαντικό να λάβουμε υπ όψη τις ανάγκες ολόκληρου του οργανισμού και όχι μόνο μία συγκεκριμένης ομάδα ή συγκεκριμένους τύπους πληροφοριών. Σκοπός είναι να διαμορφωθεί το σχήμα ταξινόμησης έτσι ώστε να καλύπτει τις ανάγκες ολόκληρου του Οργανισμού και αντικατοπτρίζει την κρισιμότητα και την αξία των εταιρικών πληροφοριών.
Η διεργασία της ταξινόμησης των πληροφοριών, ξεκινά από τον εκάστοτε ιδιοκτήτη των εταιρικών πληροφοριών, ο οποίος αρχικά προσδιορίζει τη φύση και την αξία των πληροφοριών. Στη συνέχεια, επιλέγει το επίπεδο ταξινόμησης και εφαρμόζει το κατάλληλο τρόπο σήμανσης της πληροφορίας.
Εκτός από την εμφανή σήμανση, το σχήμα ταξινόμησης πρέπει να περιλαμβάνει και τη σήμανση των μεταδεδομένων (metadata) η οποία μπορεί να χρησιμοποιηθεί από τα πληροφοριακά συστήματα και τους τεχνικές δικλείδες ασφάλειας.
Η υιοθέτηση μιας επαναλαμβανόμενης διεργασίας που αφορά στη ταξινόμηση των επιχειρηματικών πληροφοριών, μπορεί να μεγιστοποιήσει την ευαισθητοποίηση των χρηστών όσον αφορά στις υποχρεώσεις τους σχετικά με τη διαχείριση και προστασία των εταιρικών πληροφοριών. Επιπρόσθετα, βοηθά στο προσδιορισμό των τεχνικών δικλείδων ασφάλειας, οι οποίες χρειάζονται προκειμένου να προστατευτούν οι εταιρικές πληροφορίες με βάση το επίπεδο ταξινόμησής τους.
Η διεργασία της ταξινόμησης των εταιρικών πληροφοριών
Βήμα 1: Προσδιορισμός των διαφορετικών τύπων πληροφοριών που πρέπει να προστατευτούν
Ο στόχος του συγκεκριμένου βήματος είναι να προσδιορίσει τους διάφορους τύπους πληροφοριών που υπάρχουν στον Οργανισμό και να ταυτοποιήσει τις πήγες που τις παράγουν. Επίσης να προσδιορίσει που βρίσκεται αποθηκευμένη η πληροφορία, πια πορεία ακολουθεί, ποιοι τη διαχειρίζονται, ποιοι είναι υπεύθυνοι προστασία της πληροφορίας και ποιοι χρειάζεται να έχουν πρόσβαση στη εν λόγο πληροφορία.
Στη συνέχεια οι πληροφορίες ομαδοποιούνται εστί ώστε να είναι ευκολότερη η ταξινόμησή του. Οι παραπάνω διαδικασία διενεργείται κάνοντας χρήση ερωτηματολογίων και συλλέγοντας πληροφορίες μέσω συνεντεύξεων με τους ιδιότητες των πληροφοριών.
Βήμα 2: Προσδιορισμός του σχήματος ταξινόμησης πληροφοριών
Το κάθε επίπεδο ταξινόμησης πρέπει να αντικατοπτρίζει τις απαιτήσεις προστασίας των πληροφοριών που απευθύνεται. Οι πληροφορίες πρέπει να ομαδοποιούνται ανάλογα με το επίπεδο του κινδύνου που τις αφορά, κάνοντας χρήση ενός συστήματος ταξινόμησης πληροφοριών ή όπως συνηθίζεται να λέγεται ενός σχήματος ταξινόμησης πληροφοριών. Τρεις ή τέσσερις βαθμίδες ή κατηγορίες ταξινόμησης, αποτελούν ένα επαρκές σχήμα. Περισσότερες από τέσσερις βαθμίδες μπορεί να οδηγήσουν σε μία πολύπλοκη κατηγοριοποίηση των πληροφοριών που είναι ανεξέλεγκτη στην πράξη. Το σύστημα ταξινόμησης πρέπει να είναι προσαρμοσμένο στις ανάγκες του εκάστοτε Οργανισμού, και να έχει λάβει υπ όψιν του τόσο τους επιχειρηματικούς στόχους του Οργανισμού, τις απαιτήσεις ασφάλειας πληροφοριών, καθώς και τις ανάγκες για νομική και κανονιστική συμμόρφωση.
Βήμα 3: Προσδιορισμός των απαιτήσεων προστασίας – χειρισμού των πληροφοριών για κάθε βαθμίδα ταξινόμησης
Για κάθε κατηγορία πληροφοριών, προσδιορίζονται οι απαιτήσεις προστασίας και χειρισμού. Για να γίνει αυτό, αποτελεσματικά, χρησιμοποιούνται σα βάση, η πολιτική ασφάλειας του Οργανισμού, καθώς και τα αποτελέσματα τις πιο πρόσφατης αξιολόγηση κινδύνων. Οι απαιτήσεις προστασίας και χειρισμού πρέπει επίσης να έχει λάβουν υπ όψιν τους τόσο τους επιχειρηματικούς στόχους του Οργανισμού, τις απαιτήσεις ασφάλειας πληροφοριών, καθώς και τις ανάγκες για νομική και κανονιστική συμμόρφωση.
Βήμα 4: Ταξινόμηση Πληροφορίες & Σήμανση
Στο στάδιο αυτό, το επίπεδο ταξινόμησης της κάθε πληροφορίας, αλλά και η αποτύπωσή του με τη μορφή σήμανσης, πρέπει να εφαρμοστεί.
Η συγκεκριμένη διεργασία γίνεται με την ευθηνή των ιδιοκτητών των πληροφοριών, οι οποίοι θα πρέπει να ταξινομήσουν τις πληροφορίες που κατέχουν.
Η διεργασία χρίζει κεντρικής διαχείρισης κατά την οποία χρειάζεται να :
. Κοινοποιηθεί το σύστημα ταξινόμησης των πληροφοριών και χειρισμού σύστημα στους ιδιοκτήτες των πληροφοριών μέσω, μέσω εκπαιδευτικών συναντήσεων.
. Προετοιμασία και να κοινοποίηση ειδικών φορμών και εργαλείων ταξινόμησης των πληροφοριών.
. Συλλογή και επεξεργασία των στοιχείων και προετοιμασία της τελικής ταξινόμησης πληροφορίες.
. Πρόταση και επίβλεψη της εφαρμογής ενός συστήματος σήμανσης και αποτύπωσης του επιπέδου ταξινόμησης σε ψηφιακές και μη πληροφορίες.
Βήμα 5: Προσδιορισμός των ελλείψεων που σχετίζονται με τις απαιτήσεις χειρισμού υιοθέτησε πληροφορίες
Έχοντας ολοκληρώσει τη διεργασία της ταξινόμησης των πληροφοριών, είναι η κατάλληλη στιγμή να διερευνήσουμε τα κενά σε σχέση με τη διαχείριση των πληροφοριών. Να προσδιορίσουμε δηλαδή, τις διάφορες μεταξύ του υφιστάμενου τρόπου προστασίας και χειρισμού των πληροφοριών σε σχέση με τις απαιτήσεις προστασίας έτσι όπως προσδιορίζονται στο σχήμα ταξινόμησης.
Συντήρηση και εξέλιξη
Αμέσως μετά την ολοκλήρωση της διεργασίας ταξινόμησης, ξεκινά και η διαδικασία συντήρησής της, με σκοπό τη συνεχή εναρμόνισή της με το υφιστάμενο τεχνικό και επιχειρηματικό περιβάλλον. Οι ακόλουθες εργασίες συντήρησης, είναι οι απολύτως απαραίτητες προκειμένου το οικοδόμημα της ταξινόμησης να εξελίσσεται και να έχει πάντα εφαρμογή στον Οργανισμό.
Η διεργασία της ταξινόμησης χρειάζεται να επαναλαμβάνεται κατ’ ελάχιστο κάθε χρόνο ή όποτε οι αλλαγές στον Οργανισμό το επιτάσσουν.
Χρειάζεται να προσδιορισθούν οι συνθήκες που θα επιτάσσουν τη μεμονωμένη επαν-αξιολόγηση του επιπέδου ταξινόμησης των πληροφοριών. Η συγκεκριμένη διαδικασία θα εκκινείτε από τους ιδιοκτήτες των πληροφοριών μιας και αυτοί γνωρίζουν καλύτερα τις αλλαγές που αφορούν στις πληροφορίες που διαχειρίζονται.
Στη διαδικασία επαναξιολόγησης πρέπει να συμμετέχει και ο τομέας Πληροφορικής ο οποίος γνωρίζει τις τεχνικές δικλείδες ασφάλειας που πρέπει να εφαρμοσθούν.
Η διαδικασία ταξινόμησης πληροφοριών χρειάζεται να αποτελέσει μέρος της διεργασίας για την ανάπτυξη των πληροφοριακών συστημάτων. Με το τρόπο αυτό εξασφαλίζουμε ότι οι νέες κατηγορίες πληροφοριών αλλά και τα συστήματα που τις επεξεργάζονται, προσδιορίζονται εγκαίρως.
Οι εργαζόμενοι του εκάστοτε Οργανισμού, πρέπει να κατανοήσουν τις ευθύνες τους σε σχέση με τη προστασία των εταιρικών πληροφοριών, σε σχέση με το επίπεδο διαβάθμιση τους. Το εκπαιδευτικό πρόγραμμα ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών και τα προγράμματα εκπαίδευσης των νέων εργαζομένων, αποτελούν καλά σημεία για την εν λόγο εκπαίδευση / ενημέρωση.
Loggin off
Η ταξινόμηση των πληροφοριών με κριτήριο τη κρισιμότητα τους, αποτελεί ένα από τα σημαντικότερα βήματα της αποτελεσματικής υλοποίησης των επιταγών της ασφάλειας πληροφοριών. Οι κρίσιμες πληροφορίες προσδιορίζονται και ταξινομούνται με βάση τη κρισιμότητά τους για τον Οργανισμό, σε συνδυασμό με το χαρακτηρισμό του εμπέδου εμπιστευτικότητας και ακεραιότητας.
Η συγκεκριμένη διεργασία πρέπει να περιλαμβάνει στοιχεία όπως:
. Σχήμα ταξινόμησης & διαχείρισης. Τεκμηρίωση της μεθοδολογίας η οποία θα χρησιμοποιείτε, από ποιους θα διενεργείται και κάθε πότε.
. Ιδιοκτησία πληροφοριών. Πολύ σημαντικό μέρος της διεργασίας είναι το σχήμα ιδιοκτησίας των πληροφοριών. Ποιοι δηλαδή είναι οι επιχειρησιακοί ρόλοι οι οποίοι θα χαρακτηρίζουν και θα ταξινομούν τις πληροφορίες.
. Απαιτήσεις προστασίας των πληροφοριών ανά επίπεδο ταξινόμησης. Για Κάθε κατηγορία πληροφορίας προσδιορίζεται το επίπεδο ασφάλειας το οποίο πρέπει να τη διέπει. Προσδιορίζονται οι βασικές απαιτήσεις εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας που αντιστοιχούν στη αξία της πληροφορίας για την εταιρεία.
. Απαιτήσεις ανταλλαγής πληροφοριών μεταξύ εταιρειών. Δικλείδες ασφάλειας που θα χρησιμοποιούνται κατά τη διακίνηση των πληροφοριών εκτός των ορίων της εταιρείας.
. Νομικές & Θεσμικές απαιτήσεις. Συγκεκριμένες απαιτήσεις που προκύπτουν από το υφιστάμενο Νομικό & Θεσμικό πλαίσιο.
. Επαναπροσδιορισμός. Προσδιορισμός του χρονικού διαστήματος κατά το οποίο θα διενεργείται η διαδικασία του Προσδιορισμού & Ταξινόμησης των Εταιρικών Πληροφοριών.
Η ύπαρξη συγκεκριμένου πλαισίου ταξινόμησης πληροφοριών είναι σημαντικό. Χωρίς αυτό υπάρχει ο κίνδυνος της προστασίας όλων των τύπων πληροφοριών με το ίδιο τρόπο. Έτσι αυξάνεται η πιθανότητα υλοποίησης χαμηλού επιπέδου ασφάλειας για κρίσιμες πληροφορίες, καθώς και η υλοποίηση υπέρμετρα υψηλού επιπέδου ασφάλειας για πληροφορίες οι οποίες δεν είναι κρίσιμες για τον Οργανισμό και η παράληψη επαρκούς προστασίας των πραγματικά κρίσιμων εταιρικών πληροφοριών.
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA,
CISM piliopou@me.com