CIA: Důvěrnost

Důvěrnost je nejčastěji definována jako zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni.

O nežádoucím zpřístupnění (disclosure) určitých informací se v informační bezpečnosti proto hovoří jako o narušení jejich důvěrnosti (confidentiality). Většina společností pracuje se spoustou informací, které je třeba klasifikovat a volba vhodného klasifikační schématu (classification scheme) je proto pro úspěšné zavedení klasifikace informací ve společnosti naprosto zásadní.

confidentiality 
Jednotlivé klasifikační stupně musí být pro všechny zaměstnance srozumitelné, aby jim nečinilo problém dané informaci přidělit odpovídající klasifikační stupeň a podle toho s ní zacházet. Je zřejmé, že příliš mnoho klasifikačních stupňů činí klasifikaci informací obtížnější a nákladnější a naopak příliš málo klasifikačních stupňů může svádět k podceňování hodnoty informací. V praxi se nejčastěji používají dvě klasifikační schémata, přičemž jedno je platné pro státní sektor a druhé se používá v komerční sféře. Jako příklad klasifikačního schématu používaného ve státní sféře se nejčastěji uvádí toto schéma:
  • Top secret (přísně tajné) – nejvyšší stupeň, nežádoucí zpřístupnění těchto informací může mít zcela zničující dopad na národní bezpečnost.
  • Secret (tajné) – nežádoucí zpřístupnění těchto informací může mít značný dopad na národní bezpečnost.
  • Confidential (důvěrné) – nežádoucí zpřístupnění těchto informací může mít významný dopad na národní bezpečnost.
  • Sensitive but unclassified (citlivé ale neklasifikované) – nežádoucí zpřístupnění těchto informací by nemělo mít významný dopad na národní bezpečnost.
  • Unclassified  (neklasifikované) – nejnižší stupeň, nežádoucí zpřístupnění těchto informací by nemělo mít žádný dopad na národní bezpečnost.

Pro snadné zapamatování těchto pěti klasifikačních stupňů je možné použít jako mnemotechnickou pomůcku větu „US Can Stop Terrorism.“, kde velká písmena definují pořadí jednotlivých stupňů od nejnižšího až po nejvyšší. V komerční sféře se však nejčastěji používá těchto čtyř klasifikačních stupňů:

  • Confidential (důvěrné) – nejvyšší stupeň, nežádoucí zpřístupnění těchto informací může mít až zničující dopad na společnost (strategické plány, zdrojové kódy).
  • Private (soukromé) – nežádoucí zpřístupnění těchto informací může mít negativní dopad na společnost (osobní údaje o zaměstnancích a klientech).
  • Sensitive (citlivé) – nežádoucí zpřístupnění těchto informací může mít negativní dopad na společnost (informace o projektech, plánovaných změnách, vývoji cen)
  • Public (veřejné) – nejnižší stupeň, veřejně známé informace, nežádoucí zpřístupnění těchto informací by nemělo nikoho poškodit, a nemělo by mít žádný dopad na společnost (e-mailové adresy, telefonní čísla, jména zaměstnanců).

Je otázka, zda i v tomto případě lze tvrdit, že klasifikační stupně jsou uvedeny od nejvyššího k nejnižšímu, neboť důvěrné i soukromé informace se obvykle v praxi chrání stejným způsobem a tudíž by mohly být označeny i stejným klasifikačním stupněm. Domnívám se, že naprosté většině soukromých subjektů by mohlo vyhovovat následující klasifikační schéma:

  • Veřejné – informace je určena pro širokou veřejnost
  • Interní – informace je určena pouze pro zaměstnance dané společnosti a přístup k ní mají jen zaměstnanci dané společnosti.
  • Důvěrné – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.
  • Soukromé – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.
  • Přísně důvěrné – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.

Nabízí se otázka, zda pět klasifikačních stupňů není pro komerční sféru zbytečně moc a zda důvěrné a soukromé informace opravdu neklasifikovat jen jedním klasifikačním stupněm, což je jistě na delší diskusi stejně jako používání klasifikačních stupňů důvěrné a přísně důvěrné. Podstatné je, že každé informaci, kterou bude společnost vytvářet, zpracovávat nebo uchovávat, musí být přiřazen odpovídající klasifikační stupeň a bez ohledu na klasifikační stupeň by měly být dodržovány určité zásady. Některé společnosti přijaly zásadu, že klasifikační stupeň např. u veřejných informací nebudou uvádět, a tedy že vše, co nebude označeno klasifikačním stupněm, bude automaticky považováno za veřejné. Existuje zde však nezanedbatelné riziko, že někdo opomene klasifikační stupeň uvést a někdo jiný se bude oprávněně domnívat, že se jedná o informaci veřejnou a zveřejní ji. Klasifikační stupeň by proto měl být uveden vždy.

Je zřejmé, že pro zajištění důvěrnosti je nezbytné implementovat vhodná opatření na úrovni fyzické, logické a organizační bezpečnosti, např. že média musí být uložena pod zámkem a stejně tak i dokumenty nesmí být ponechány po odchodu z pracoviště volně na stole, ale musí být uzamčeny. Jedná se o tzv. zásadu prázdného stolu (clear desk policy). Nebo že přísně důvěrné informace v elektronické podobě musí být šifrovány. Další obecnou zásadou bez ohledu na klasifikační stupeň by mělo být, že na dokumentu bude vždy uveden jeho autor, datum vytvoření a na každé straně bude uvedeno číslo stránky a celkový počet stran.

Klasifikační stupeň informace se může a dost často se také v průběhu životního cyklu informace mění. Jako příklad si můžeme uvést informace související s novým produktem nebo službou, kterou se společnost chystá uvést na trh. Tyto informace jsou zpočátku důvěrné – je s nimi seznámen jen úzký okruh osob a vyzrazení těchto informací je nežádoucí. Později, v době kdy je produkt nebo služba dokončena a připravena k uvedení na trh, se tato informace stane interní. Je tomu tak proto, že dost často jsou to právě vlastní zaměstnanci, kteří se s novým produktem nebo službou seznamují jako první ještě dříve, než dojde k oficiálnímu představení širší veřejnosti, aby mohly být odstraněny případné závady, které nebyly v rámci testování produktu nebo služby odhaleny.

V okamžiku, kdy je produkt nebo služba zaměstnanci v praxi prověřena, jsou provedeny případné změny a dojde k uvedení na trh, stává se informace o produktu nebo službě veřejnou a je nanejvýš žádoucí, aby se tato informace dostala k co největšímu počtu potenciálních klientů. Na tomto jednoduchém příkladu vidíme, jak se klasifikační stupeň informace postupně měnil z „důvěrného“ přes „interní“ až na „veřejný“. Je zřejmé, že kritickým bodem je okamžik, kdy dochází ke změně klasifikačního stupně, protože se změnou klasifikačního stupně souvisí úroveň ochrany a tedy i způsob, jak se s informací zachází.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , , , ,


K článku “CIA: Důvěrnost” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: