8.

Poglavlje: Klasifikacija informacija

U ovom poglavlju naučit ćete:

0 Osnovne koncepte klasifikcaije

informacija

0 Proces klasifikacije informacija

 SIGURNOST INFORMACIJSKIH SUSTAVA

8.1 Uvod
U informacijskom dobu (engl. lnformation Age) u kojem živimo, jasno je da poslovanje većine
organizacija ovisi upravo o informacijama kojima raspolažu . Informacije su najvrjedniji resursi
brojnim organizacijama. Financijski izvještaji, planovi akvizicija, podaci o klijentima, ugovori i sl.
samo su neki primjeri informacija od strateške važnosti za organizaciju. U digitalnom dobu , kada
se poslovanje temelji na informacijsko-komunikacijskim tehnologijama, digitalizirane informacije
čine oslonac modernog poslovanja , bilo da se radi o informacijama u bazama podataka,
aplikacijama ili ostalim tipovima informacijskih sustava .

Sve informacije u nekoj organizaciji nisu jednako vrijedne, odnosno osjetljive .

Osjetljiva informacija je svaka informacija čiji razotkrivanje neovlaštenim osobama , privremeni ili
trajni gubitak ili neovlaštena modifikacija mogu nanijeti štetu poslovanju organizacije.
Ako organizacija primijeni iste mjere zaštite nad svim informacijama, postoji mogućnost da neke
informacije neće biti adekvatno zaštićene (tj . da „generičke" mjere zaštite nisu dovoljne), a da će
neke informacije imati nepotrebno visok stupanj zaštite iako nisu od značaja za organizaciju .

Upravo u tome leži potreba za klasificiranjem informacija - da bi se adekvatne kontrole primijenile

na informacije u skladu s njihovom poslovnom vrijednošću .

8.2 Osnovni koncepti

8.2.1 Vlasnik informacije
Sve informacije trebaju imati svoje vlasnike. Pod pojmom „vlasnik" podrazumijeva se osoba
odgovorna za klasifikaciju i zaštitu informacija. Vlasnik informacije je odgovoran :
• za klasifikaciju informacije u skladu s njezinom vrijednošću s obzirom na povjerljivost,
integritet i raspoloživost
• za primjenu mehanizama zaštite nad informacijom u skladu s njezinom klasifikacijom
• za periodičku reviziju klasifikacije informacije jer se osjetljivost informacije mijenja u
skladu s promjenama u poslovnim procesima, zakonskim i regulatornim propisima,
promjenama u ugovorima i sl.
• za odobravanje prava pristupa informaciji
• za prikladno označavanje klasifikacije informacije kako bi se osiguralo da je klasifikacija
vidljiva svima kojima je informacija dostupna.

8.2.2 Kategorije klasifikacije

Povjerljivost, integritet i raspoloživost informacija ključni su elementi za zaštitu informacija i
informacijsku sigurnost uopće.
Međutim , mnoge organizacije prilikom klasifikacije informacija u obzir uzimaju isključivo
povjerljivost informacija. Osnovni razlog je u tome što je znatno jednostavnije zaštititi informacije
od neovlaštenog uvida nego još k tome osigurati i njihovu dostupnost i integritet, odnosno
cjelovitost.

lako je klasifikacija informacija koja uzima u obzir i integritet i dostupnost informacija znatno veći
izazov za organizacije, korisnost takvog pristupa je višestruka. Najbolji klasifikacijski sustav se
postiže uzimanjem u obzir sve tri kategorije klasifikacije: povjerljivost, integritet i raspoloživost. U
praksi povjerljivost i integritet najčešće čine jednu kategoriju, jer su kontrole koje se primjenjuju
gotovo istovjetne i ta kategorija najčešće se naziva „osjetljivost" (engl. sensitivity) . Raspoloživost
informacija čini drugu kategoriju koja se često naziva i „kritičnost" (engl. criticality) .

tel: 01 2222 182, e-mail : info@racunarstvo.hr www.racunarstvo.hr

JiMUM 8. POGLAVLJE: KLASIFIKACIJA INFORMACIJA

• autentikacija je naJcesca kontrola za povjerljivost koja osigurava provjeru identiteta

korisnika koji želi pristupiti informaciji
• pristup utemeljen na ulogama (engl. role based access) - osigurava da se
informacijama pristupa u skladu s poslovnim potrebama definiranima za pojedina radna
mjesta
• enkripcija - osigurava da neovlaštene osobe ne ostvare uvid u informacije
• tehničke kontrole poput antivirusnih sustava, backupa informacija, mrežne segregacije i
sl.
Primjer sigurnosnih kontrola za pojedine razine klasifikacije dan je u tablici (uzimajući u obzir
životni ciklus informacije).
Klasifikacija Javno Povjeri iivo Tajno Vrlo tajno
Uvid Informacija Samo osobama Samo osobama Samo osobama koje
na uvid ovlaštenima od koje je ovlastio je ovlastio vlasnik
dostupna strane vlasnika vlasnik informacije informacije
svima informacije
Pohrana Nema Zaštićena od uvida Zaštićena od uvida Zaštićena od uvida
(elektroničke ograničenja neovlaštenih osoba neovlaštenih osoba neovlaštenih osoba
informacije) (autentikacija i (autentikacija i (autentikacija i
autorizacija), autorizacija), autorizacija,
zaštićena od zaštićena od enkripcija),
gubitka (backup) gubitka zaštićena od gubitka
(backup) (backup mediji
pohranjeni na
udaljenoj lokaciji)
Pohrana Nema U ormaru pod U ormaru pod U sefu
(papirnate ograničenja ključem ključem
informacije)
Elektronička Nema Informacija treba Informacija treba Informacija treba biti
distribucija ograničenja biti poslana samo biti poslana samo poslana samo
autoriziranom autoriziranom autoriziranom
primatelju primatelju, poruka primatelju za što je
korištenjem treba biti kriptirana potrebno ovlaštenje
elektroničke pošte vlasnika informacije,
poruka treba biti
kripti rana
Distribucija Nema Preporučenom Osobna dostava Osobna dostava
papirnatih ograničenja poštom,
informacija korištenjem
kurirskih službi
Odlaganje Nema Pohrana na Pohrana na Pohrana na
(elektroničke ograničenja elektroničke medije, elektroničke elektroničke medije,
informacije) odlaganje u sef medije, odlaganje odlaganje u sef na
u sef udaljenoj lokaciji
Odlaganje Nema Mikrofilmiranje i Mikrofilmiranje i Mikrofilmiranje i
(papirnate ograničenja pohrana u sef pohrana u sef pohrana u sef na
informacije) udaljenoj lokaciji
Uništenje Nema Sigurnim brisanjem Sigurnim brisanjem Sigurnim brisanjem
(elektroničke ograničenja
informacije)
Uništenje Nema Provlačenjem kroz Provlačenjem kroz Provlačenjem kroz
(papirnate ograničenja rezač papira rezač papira rezač papira
informacije)

Zagreb llica 242 QMBIAl.!ll.$1ij.i.ifijii.jiiJi!i.4

i1MHM SIGURNOST INFORMACIJSKIH SUSTAVA

8.3.4 Klasificiranje informacija

U ovom koraku trebamo primijeniti klasifikacijske razine na informacije identificirane u prvom
koraku ovog procesa. Za klasifikaciju informacija odgovorni su vlasnici informacija.
Sve klasificirane informacije trebamo prikladno označiti kako bi njihova klasifikacija bila jasno
razumljiva .

Postupci označavanja klasifikacije informacija moraju uključivati informacije u digitalnom

elektroničkom obliku.

Proces koji je prikazan je iterativan i potrebno ga je provoditi periodički . Osim što se kontinuirano
kreiraju nove informacije, mijenjaju se i poslovni procesi i kontrola definirani za pojedinu
klasifikacijsku razinu .

I
1

tel: 01 2222 182, e-mail: info@racunarstvo.hr www.racunarstvo.hr

HNHM 8. POGLAVLJE: KLASIFIKACIJA INFORMACIJA

8.2.3 Ključna pitanja

Proces klasifikacije informacija treba dati odgovor na pitanja navedena u nastavku:
• Koliko razina klasifikacije je prikladno za organizaciju?
• Kako će se informacije identificirati?
• Kako će se klasificirane informacije označavati?
• Kako će se rukovati klasificiranim informacijama?
• Kako će se klasificirane informacije distribuirati?
• Kako će se klasificirane informacije pohranjivati i arhivirati?
• Tko ima pravo pristupa klasificiranim informacijama?
• Koja odobrenja su potrebna za pristup klasificiranim informacijama?
• Tko je vlasnik informacije?
• Na koji način će se klasificirane informacije uništavati kada više ne budu potrebne?
• Koji je životni ciklus klasificiranih informacija (stvaranje, ažuriranje , arhiviranje,
uništavanje)?

8.3 Proces klasifikacije informacija

Proces klasifikacije informacija se sastoji od 4 koraka :
• identifikacija informacija
• definiranje klasifikacijskih razina
• definiranje kontrola (zaštitnih mjera) za pojedine klasifikacijske razine
• klasificiranje informacija.

8.3.1 Identifikacija informacija

Mnoge organizacije imaju inventar, odnosno registar imovine. Međutim, vrlo rijetko organizacije
imaju registar svojih informacija. Prvi korak u procesu klasifikacije informacija je napraviti registar
svih informacija kojima organizacija raspolaže . Obično se identifikacija informacija obavlja kroz
intervjue, upitnike, ankete i slične metode prikupljanja podataka . Kako bi prikupljanje, odnosno
identifikacija informacija bila što kompletnija, treba uključiti sve dijelove organizacije i zaposlenike
koji mogu pomoći pri identifikaciji informacija. To su prvenstveno:
• vlasnici poslovnih procesa
• sistem-administratori
• voditelji poslovnih jedinica organizacije i sl.
U proces identifikacije informacija često trebamo uključiti i pravnu službu (zbog identifikacije
ugovora i sl.) i odjel ljudskih resursa (zbog identifikacije informacija o zaposlenicima) .
Rezultat ove aktivnosti je popis informacija organizacije i high-level opis tih informacija koji sadrži:
• vlasnike informacija
• lokacije na kojima su informacije smještene
• postojeće mjere zaštite nad informacijama
• tipove informacija i sl.
Informacije, radi jednostavnosti, možemo grupirati. Pri tome trebamo voditi računa da grupe
informacija imaju iste karakteristike s obzirom na:
• njihovu lokaciju
• životni ciklus
• skup zaštitnih mjera koji se primjenjuje i sl.
Primjer identifikacije informacija dan je u sljedećoj tablici:

Zagreb - llica 242 Visoka škola za prim i jenjeno računarstvo

l11FfI SIGURNOST INFORMACIJSKIH SUSTAVA

Informacija/ Vlasnik
Lokacija Mjere zaštite Oblik informacije
qrupa informacija informacije
Podaci o klijentima Poslužitelj baze - prijava na sustav Voditelj odjela Elektronički ; baza
podataka - nadzor sustava prodaje podataka
- backup baze
Podaci o Datotečni - podešena prava Voditelj HR Elektronički ,
zaposlenicima poslužitelj pristupa odjela datotečni
poslužitelj
Ugovori s Registrator u - zaključani ormar Voditelj Pisani
klijentima pravnoj službi pravne službe
Financijski podaci Poslužitelj baze - prijava na sustav Voditelj odjela Elektronički; baza
(elektronički) podataka - backup baze financija podataka

8.3.2 Definiranje klasifikacijskih razina

U ovom koraku trebamo donijeti odluku o razinama klasifikacije koje će organizacija usvojiti za
klasifikaciju svojih informacija. Organizacija treba odabrati onoliko razina klasifikacije koliko je
potrebno da bi se sve identificirane informacije klasificirale i prikladno zaštitile . Osim definiranja
klasifikacijskih razina, trebamo što je moguće jasnije opisati što pojedine klasifikacijske razine
znače . Reći da je nešto „povjerljivo" ili „tajno" nije dovoljno, jer je podložno interpretacijama
različitih ljudi. Potrebno je na jednoj visokoj razini objasniti značenje pojedine klasifikacijske razine
da bi osobe odgovorne za klasifikaciju mogle valjano klasificirati informacije s obzirom na njihovu
vrijednost za organizaciju (osjetljivost, kritičnost i sl.)
Primjer definiranja klasifikacijskih razina s obzirom na povjerljivost dan je u sljedećoj tablici.

Klasifikacijska
Opis
razina
Javno Sve informacije namijenjene javnoj
objavi i čija javna objava ne može
nanijeti štetu organizaciji
Povjerljivo Informacije čije otkrivanje
neovlaštenim osobama može imati
štetne posljedice (financijske,
reputaciiske) za orqanizaciju .
Tajno Informacije čije otkrivanje
neovlaštenim osobama može imati
značajne štetne (financijske,
reputacijske ) posljedice za
orqanizaciju.
Vrlo tajno Informacije čije otkrivanje
neovlaštenim osobama može imati
značajne štetne (tržišne ,pravne)
posljedice za orqanizaciju.
Primjer
Informacije na javnim web stranicama,
objave za medije i sl.
Opće informacije o organizaciji, osobne
informacije o zaposlenicima , informacije o
vanjskim partnerima organizacije,
tehničke informacije o ICT sustavima i sl.
Financijske informacije organizacije,
ugovori, informacije o klijentima
Marketinške informacije, informacije o
kritičnim ICT sustavima, financijski
planovi, planovi akvizicija i sl.

8.3.3 Definiranje kontrola za pojedine klasifikacijske razine

Kontrole za zaštitu informacija, sukladno njihovoj klasifikacijskoj razini, mogu se dobiti iz različitih
izvora:
• sigurnosnih politika organizacije
• vlasnika informacija
• voditelja odjela
• regulatornih i ugovornih zahtjeva
• tehničkog osoblja organizacije i sl.
Neke od uobičajenih kontrola za zaštitu informacija su:

tel: 01 2222 182, e-mail: info@racunarstvo.hr 1m.;;;;;;1.m451

 8. POGLAVLJE: KLASIFIKACIJA INFORMACIJA

• autentikacija je najcesca kontrola za povjerljivost koja osigurava provjeru identiteta

korisnika koji želi pristupiti informaciji
• pristup utemeljen na ulogama (engl. role based access) - osigurava da se
informacijama pristupa u skladu s poslovnim potrebama definiranima za pojedina radna
mjesta
• enkripcija - osigurava da neovlaštene osobe ne ostvare uvid u informacije
• tehničke kontrole poput antivirusnih sustava, backupa informacija , mrežne segregacije i
sl.
Primjer sigurnosnih kontrola za pojedine razine klasifikacije dan je u tablici (uzimajući u obzir
životni ciklus informacije).
Klasifikacija Javno Povjerljivo Tajno Vrlo tajno
Uvid Informacija Samo osobama Samo osobama Samo osobama koje
na uvid ovlaštenima od koje je ovlastio je ovlastio vlasnik
dostupna strane vlasnika vlasnik informacije informacije
svima informacije
Pohrana Nema Zaštićena od uvida Zaštićena od uvida Zaštićena od uvida
(elektroničke ograničenja neovlaštenih osoba neovlaštenih osoba neovlaštenih osoba
informacije) (autentikacija i (autentikacija i (autentikacija i
autorizacija), autorizacija), autorizacija,
zaštićena od zaštićena od enkripcija),
gubitka (backup) gubitka zaštićena od gubitka
(backup) (backup mediji
pohranjeni na
udaljenoj lokaciji)
Pohrana Nema U ormaru pod U ormaru pod U sefu
(papirnate ograničenja ključem ključem
informacije)
Elektronička Nema Informacija treba Informacija treba Informacija treba biti
distribucija ograničenja biti poslana samo biti poslana samo poslana samo
autoriziranom autoriziranom autoriziranom
primatelju primatelju , poruka primatelju za što je
korištenjem treba biti kriptirana potrebno ovlaštenje
elektroničke pošte vlasnika informacije,
poruka treba biti
kripti rana
Distribucija Nema Preporučenom Osobna dostava Osobna dostava
papirnatih ograničenja poštom ,
informacija korištenjem
kurirskih službi
Odlaganje Nema Pohrana na Pohrana na Pohrana na
(elektroničke ograničenja elektroničke medije, elektroničke elektroničke medije,
informacije) odlaganje u sef medije, odlaganje odlaganje u sef na
u sef udaljenoj lokaciji
Odlaganje Nema Mikrofilmiranje i Mikrofilmiranje i Mikrofilmiranje i
(papirnate ograničenja pohrana u sef pohrana u sef pohrana u sef na
informacije) udaljenoj lokaciji
Uništenje Nema Sigurnim brisanjem Sigurnim brisanjem Sigurnim brisanjem
(elektroničke ograničenja
informacije)
Uništenje Nema Provlačenjem kroz Provlačenjem kroz Provlačenjem kroz
(papirnate ograničenja rezač papira rezač papira rezač papira
informacije)

Zagreb !lica 242 1:11&4144.iii"iiiijbi4li.(iiiii.i

HMHM SIGURNOST INFORMACIJSKIH SUSTAVA

8.3.4 Klasificiranje informacija

U ovom koraku trebamo primijeniti klasifikacijske razine na informacije identificirane u prvom
koraku ovog procesa. Za klasifikaciju informacija odgovorni su vlasnici informacija.
Sve klasificirane informacije trebamo prikladno označiti kako bi njihova klasifikacija bila jasno
razumljiva.

Postupci označavanja klasifikacije informacija moraju uključivati informacije u digitalnom

elektroničkom obliku.

Proces koji je prikazan je iterativan i potrebno ga je provoditi periodički. Osim što se kontinuirano
kreiraju nove informacije, mijenjaju se i poslovni procesi i kontrola definirani za pojedinu
klasifikacijsku razinu .

tel: 01 2222 182, e-mail: info@racunarstvo.hr www.racunarstvo.hr