NIS2: Víte, jaká data máte a jak je klasifikovat?

Bez systému na označování různých typů firemních dat nelze zajistit spolehlivou ochranu důvěrných informací. Klasifikace informací je navíc v řadě odvětví vyžadována legislativou nebo platnými normami – včetně směrnice NIS2.

Klasifikace informací znamená odstupňování úrovně utajení firemních dokumentů na základě jejich důvěrnosti. Pro každý stupeň (kategorii) informací jsou definována pravidla pro zacházení s těmito dokumenty a současně jsou určeny osoby, které s nimi mohou nakládat. Každý dokument nebo sada dat má díky klasifikaci označení, na základě kterého se zařadí do příslušné kategorie a aplikují se na něj příslušná pravidla. Zavedení klasifikace a ochrany firemních informací je jedním ze základních kroků řízení informační bezpečnosti a dat, protože přispívá k lepšímu zabezpečení důvěrných informací. V některých odvětvích (typicky v automobilovém průmyslu, oboru finančních a právních služeb a mnoha dalších) je klasifikace informací vyžadována i normativně nebo smluvně. Klasifikace dat je také nezbytným předpokladem pro splnění požadavku na zvýšenou ochranu osobních dat podle GDPR. Osobní data mají často vlastní kategorii důvěrnosti, nebo bývají zařazena do nejvyšší kategorie utajení. Klasifikace informací je také jedno z témat nového zákona o kybernetické bezpečnosti a směrnice NIS2, respektive Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.

Nastavení systému klasifikace informací má pro organizaci hned několik zásadních přínosů:

1. Ochrana citlivých informací

Klasifikace a následná ochrana dat umožňuje rozlišovat a identifikovat citlivé informace, jako jsou osobní údaje zákazníků a finanční údaje nebo strategické plány podniku, a umožňuje zajistit, že tato důvěrná data budou přístupná pouze oprávněným osobám. Tím se výrazně snižuje riziko úniku nebo zneužití citlivých informací.

Data dnes patří k nejcennějším aktivům firem, které současně nesou za jejich zpracování a uchovávání odpovědnost. Přestože někdy může být obtížné (především v nevýrobních podnicích) finančně ohodnotit nebo změřit možnou ztrátu, plynoucí z úniku citlivých dat, je nutné počítat minimálně se ztrátou reputace a důvěry zákazníků. Následkem ztráty zákazníků a podílu na trhu pak může být i zrušení podnikání.

2. Dodržování předpisů, normativů a smluvních ujednání

Mnoho průmyslových odvětví a konkrétních oborů podnikání má velmi přísné předpisy a normy, které vyžadují ochranu určitých typů dat (výrobní plány, patenty, osobní data atd.). Klasifikace a ochrana informací pomáhají firmám plnit tyto požadavky a minimalizovat riziko sankcí nebo právních postihů.

Současně ale prakticky vždy platí, že nasazení klasifikace informací pouze z donucení, pro splnění zákonných požadavků, vede k polovičatému řešení, které neplní svůj účel. Pouhé označování (tagování) dokumentů, bez nasazení příslušného technického řešení pro zabezpečení dokumentů, nevede k potřebnému zvýšení ochrany citlivých informací.

3. Zlepšení úrovně interní bezpečnosti

Úroveň důvěrnosti dokumentů se během jejich životního cyklu může měnit. Například informace přísně utajované ve fázi příprav, které se posléze stávají veřejnými, jsou zaměstnanci často bez jakéhokoli zabezpečení sdíleny přes Ulož.to a podobné služby. Mnoho citlivých informací, ve kterých spočívá konkurenční výhoda podniku, uniká také na straně subdodavatelů. Řešením je opět klasifikace a technické zabezpečení důvěrných informací – jde o jedinou možnost, jak chránit firemní know-how a obchodní tajemství i mimo firmu.

Identifikace důležitých a citlivých dat pomáhá firmám lépe pochopit, jaké informace potřebují nejvíce chránit. Implementace vhodných bezpečnostních opatření a přístupových omezení umožní minimalizovat hrozby ze strany interních pracovníků nebo neoprávněných osob zvenčí.

4. Optimalizace správy dat

Klasifikace dat pomáhá organizacím lépe pochopit a řídit, jakým způsobem data proudí a jak (a kým) jsou používána. To usnadňuje řízení i správu dat a umožňuje dosáhnout efektivnějšího zpracování a ukládání informací. Klasifikaci dat je navíc možné využít například i při škálování úložných kapacit, definování plánů obnovy po havárii a celkově také při řízení nákladů na ukládání, automatizaci a archivaci.

5. Zvýšení důvěryhodnosti u zákazníků

Organizace, které intenzivně pečují o důvěrná data a poskytují jim odpovídající ochranu, získávají daleko větší důvěru svých zákazníků a prokazují také svoji společenskou odpovědnost. Zavedení klasifikace a ochrany dat potvrzuje závazek k ochraně soukromí a zvyšuje povědomí o kybernetické bezpečnosti.

Na co při klasifikaci dat pamatovat?

Na klasifikaci dokumentů existuje celá řada vyspělých softwarových nástrojů a lze ji nasadit například i pomocí funkcí podnikového řešení Microsoft 365. Při implementaci klasifikace je potřeba pamatovat především na:

• Klasifikaci dat nemá řídit oddělení IT – Řešení musí vycházet z byznysových potřeb a z požadavků oddělení, ve kterém vzniká největší množství dokumentů. Nezbytná je také podpora managementu a určení odborného garanta, odpovídajícího za oběh dokumentů v organizaci.
• Je nutné definovat úrovně a pravidla klasifikace – Organizace musí stanovit metodiku označování dokumentů, včetně úrovní klasifikace, a s pravidly seznámit všechny zaměstnance, kteří dokumenty vytvářejí nebo s nimi pracují.
• Klasifikace není DLP – Samotná klasifikace není řešením prevence ztráty dat (Data Loss Prevention – DLP), ale nezbytným předpokladem jeho zavedení. Klasifikace dokumentů umožňuje automatizaci DLP a efektivní využívání tohoto typu ochrany dat.
• Samotná klasifikace ochranu dat nezajistí – Bez navazujících technických opatření na ochranu dat samotné označení dokumentů nezajistí jejich důvěrnost a integritu.
• Klasifikaci informací nepotřebujeme – Požadavek na technická opatření proti ztrátě citlivých dat vyplývá již z regulace GDPR, a proto je nutné označit přinejmenším osobní data, spravovaná v rámci organizace.