Dodatak D - Klasifikacija resursa

Svrha

Svrha pravilnika o klasifikaciji informacijskih resursa je uputiti korisnike na koji način rukovati pojedinim resursom. Budući nije moguće za svaki resurs definirati na koji način se prema njemu odnositi u smislu zaštite, nastao je pojam klasifikacije. Cilj klasifikacije je svrstati svaki resurs u pojedinu klasu ovisno o kriterijima klasifikacije. Klasa resursa jednoznačno određuje na koji način je korisnik dužan koristiti resurs, s kolikom pažnjom i odgovornošću.

Klasifikacija imovine

Vlasnik resursa dužan je prije njegova puštanja u uporabu klasificirati informaciju. Klasifikacija je postupak procjene informacije prema:

  • vrijednosti,
  • osjetljivosti,
  • dostupnosti,
  • tajnosti,
  • važnosti za ZEMRIS,
  • zakonodavnim zahtjevima.

Ovisno o izvršenoj procjeni svakoj imovini dodjeljuje se klasa. ZEMRIS klasificira imovinu prema 3 postojeće klase:

  • Javno dostupno
  • Interna uporaba
  • Povjerljivo

I. Javno dostupno

Klasa javno dostupno predstavlja podatke:

  • čija je uporaba otvorena za sve korisnike,
  • koji nisu tajna,
  • dijeljenje i objavljivanje ovih podataka ni na koji način ne štete ZEMRIS-u ili Fakultetu,
  • ne postoje zakonodavni zahtjevi za "skrivanjem" podataka.

Primjer javnih podataka:

  • obavijesti studentima (npr. o početku nastavne godine..),
  • radovi studenata (seminarski, diplomski..),
  • podaci o fakultetu i sl.

II. Interna uporaba

Interna uporaba označava one podatke prema kojima se zbog zakonodavnih zahtjeva, moralnih obveza, prava privatnosti i sl. mora pažljivo i odgovorno odnositi s ciljem zaštite podataka od neovlaštenog pristupa, modificiranja, kopiranja, prijenosa i ostalih načina zlouporabe. Podaci klasificirani kao interna uporaba namijenjeni su isključivo zaposlenicima zavoda koji imaju legitimno pravo pristupa ovakvim podacima.

Primjeri podataka klase interna uporaba:

  • podaci o zaposlenicima, studentima,
  • podaci ugovora s trećom stranom,
  • interni telefonski imenik,
  • predavanja pojedinih predmeta i sl.

Podaci klase interna uporaba:

  • moraju biti zaštićeni od neovlaštenog pristupa,
  • podaci moraju biti pohranjeni na sigurnim mjestima u smislu fizičke zaštite,
  • ukoliko podaci više nisu potrebni, moraju biti uništeni prema pravilima politike o uklanjanju medija i brisanja informacija.

III. Povjerljivo

Klasa povjerljivo označava podatke koji zbog zakonodavnih zahtjeva, propisa fakulteta ili zbog ugovornih obveza moraju biti strogo zaštićeni. Pristup povjerljivim podacima imaju samo pojedinci koji ih zbog prirode posla moraju koristiti.

Povjerljivi podaci:

  • ukoliko su pohranjeni u elektroničkom formatu, moraju biti zaštićeni jakom lozinkom, pohranjeni na poslužiteljima s jakim sigurnosnim mjerama u svrhu zaštite od gubitka, krađe, neovlaštenog pristupa i razotkrivanja,
  • potrebno je redovito raditi sigurnosne kopije podataka,
  • sigurnosne kopije povjerljivih podataka potrebno je čuvati na mjestima sa strogim sigurnosnim kontrolama,
  • ne smiju biti proslijeđene bez eksplicitnog odobrenja odgovornih osoba,
  • prava pristupa povjerljivim podacima dodjeljuje se isključivo uz odobrenje odgovorne osobe,
  • mediji na kojima su povjerljivi podaci pohranjeni moraju se nalaziti u prostorijama do kojih je pristup omogućen samo ovlaštenim osobama,
  • ako se podaci šalju putem faksa ili elektroničke pošte mora se koristiti protokol i mehanizmi koji podatke štiti od neovlaštenog pregledavanja ili mijenjanja,
  • ukoliko podaci više nisu potrebni, moraju biti uništeni prema pravilima politike o uklanjanju medija i brisanja informacija.

Primjeri povjerljivih resursa:

  • podaci o studentima (JMBG, brojevi kartica i sl.),
  • ocjene studenata,
  • ispitna pitanja i sl.

Pravila klasifikacije

Svi resursi zavoda za elektroniku, mikroelektroniku, računalne i inteligentne sustave (ZEMRIS) moraju zadovoljavati sljedeće kriterije:

  • vlasnik je dužan provesti klasifikaciju resursa prije njegova puštanja u uporabu,
  • svaki resurs (CD, DVD, papirnati dokumenti, web stranice i sl.) mora imati jasno istaknutu oznaku stupnja klasifikacije, osim ukoliko je riječ o javno dostupnim podacima,
  • prije usmenog priopćavanja klasificiranih podataka drugim osobama (koje imaju pravo pristupa tim podacima) obavezno se daje prethodno upozorenje o stupnju njihove klasifikacije,
  • povjerljivi podaci ne smiju se dijeliti ni na koji način (usmeno, pismeno, elektroničkim putem itd.) osobama koje nemaju pravo pristupa tim podacima,
  • svaku uočenu nepravilnost (neovlašteni pristup, mijenjanje, brisanje, dijeljenje informacija i sl.) korisnik je dužan prijaviti odgovornoj osobi,
  • klasificirane podatke dobivene od treće strane potrebno je klasificirati prema pravilima klasifikacije ZEMRIS-a; ukoliko ne postoji mogućnost klasifikacije prema internim pravilima, potrebno je proširiti postojeća pravila u skladu s ukazanim potrebama,
  • odgovorna osoba dužna je uspostaviti metode vođenja evidencije o pristupu povjerljivim podacima.

Klasifikacijske oznake

Klasifikacijska oznaka pojedinog informacijskog sustava trebala bi biti jedinstvena zbog toga što u suprotnome može doći do miješanja nejednakih klasifikacijskih oznaka više informacijskih sustava. Primjer, informacijski sustav A ima klasifikacijsku oznaku 1 za strogo povjerljive podatke. Sustav B s klasifikacijskom oznakom 1 označava javne podatke. Ukoliko medij iz sustava A dopusti korištenje medija (klasificiranim kao 1) korisnicima sustava B, može doći do nesporazuma na način da se strogo povjerljivi podaci koriste kao javni.

Prijedlog klasifikacijskih oznaka ZEMRIS-a:

I. Javno dostupno


II. Interna uporaba


III. Povjerljivo


Klasifikacijske oznake važno je što bolje označiti (npr. različitim bojama, oblicima) i istaknuti ih na uočljivim mjestima kako bi bili sigurni da su ih korisnici uočili (posebno ako je riječ o povjerljivim resursima).