Klasyfikacja i Ochrona Informacji
Poziomy klasyfikacji, etykietowanie, obsługa nośników i ochrona danych osobowych
1. Schemat Klasyfikacji Informacji
Organizacja stosuje 4-poziomowy schemat klasyfikacji informacji, oparty na potencjalnym wpływie ujawnienia na organizację i osoby trzecie:
| Poziom | Etykieta | Opis | Przykłady | Domyślna ochrona |
|---|---|---|---|---|
| 1 | PUBLICZNE | Informacje przeznaczone do publicznego udostępnienia lub niepoświające ryzyka przy ujawnieniu | Strona www, broszury, ogłoszenia prasowe | Podstawowa (integralność) |
| 2 | WEWNĘTRZNE | Informacje do użytku wewnętrznego, ograniczone ujawnienie nie powoduje poważnych szkód | Procedury wewnętrzne, organy, raporty robocze, e-maile wewnętrzne | Kontrola dostępu, brak szyfrowania wymaganego |
| 3 | POUFNE | Informacje sensytywne – nieuprawnione ujawnienie może narazić organizację lub osoby | Dane klientów, dane osobowe, umowy handlowe, hasła, klucze API, wyniki auditów | Szyfrowanie wymagane, MFA, rejestr dostępów |
| 4 | TAJNE | Informacje krytyczne – ujawnienie może wyrządzić poważne lub nieodwracalne szkody | Klucze kryptograficzne, hasła do kont krytycznych, plany awaryjne, tajemnice przedsiębiorstwa, dane szczególnej kategorii RODO | Szyfrowanie wymagane, silna kontrola dostępu, fizyczna ochrona nośników |
2. Obowiązki Klasyfikacji
- Twórca informacji odpowiada za nadanie początkowej klasyfikacji w momencie tworzenia lub otrzymania informacji.
- Właściciel systemu odpowiada za klasyfikację zbiorów danych przetwarzanych w systemie.
- Klasyfikację należy przejśrzeć przy każdej znaczącej zmianie treści lub kontekstu użycia dokumentu.
- Domyślna klasyfikacja dla nowych dokumentów (brak etykiety): ▸ [WEWNĘTRZNE]nie niższy niż Wewnętrzne.
3. Etykietowanie i Oznaczanie
▸ Organizacja uzupełnia – sposób etykietowania
| Nośnik/format | Metoda etykietowania | Lokalizacja etykiety |
|---|---|---|
| Dokumenty elektroniczne (Office, PDF) | ▸ [nagłówek/stopka / metadata / watermark] | ▸ [stopka każdej strony / tytuł dokumentu] |
| Poczta e-mail | ▸ [temat / nagłówek wiadomości / automatyczne etykietowanie] | ▸ [początek tematu: np. [POUFNE]] |
| Nośniki fizyczne (dyski USB, wydruki) | ▸ [naklejka fizyczna / opis na kopercie] | ▸ [widoczne miejsce na nośniku] |
| Foldery i zasoby sieciowe | ▸ [nazwa folderu / plik README z klasyfikacją] | ▸ |
4. Zasady Postępowania według Poziomów
| Zasada | PUBLICZNE | WEWNĘTRZNE | POUFNE | TAJNE |
|---|---|---|---|---|
| Udostępnianie zewnętrzne | Dozwolone | Wymaga zatwierdzenia | Wymaga NDA + zatwierdzenia zarządu | Niedozwolone bez decyzji zarządu |
| Szyfrowanie w tranzycie | Zalecane | Zalecane | Wymagane (TLS) | Wymagane (end-to-end) |
| Szyfrowanie w spoczynku | Nie wymagane | Zalecane | Wymagane | Wymagane (AES-256+) |
| Drukowanie | Dozwolone | Dozwolone | Wymaga nadzoru, niszczarka | Zakaz lub za zgodą CISO, niszczarka 4-pass |
| Retencja | ▸ [np. 5 lat] | ▸ [np. 5 lat] | ▸ [np. 10 lat]wg wymogów prawnych | ▸ [np. 10 lat lub bezterminowo]wg wymogów prawnych |
| Niszczenie (elektroniczne) | Standardowe usunięcie | Standardowe usunięcie | Bezpieczne usunięcie (shred / wipe) | Kryptograficzne wymazanie + fizyczne zniszczenie nośnika |
5. Dane Osobowe – RODO
⚠️
Dane osobowe stanowią co najmniej poziom POUFNE. Dane szczególnej kategorii (art. 9 RODO: dane zdrowotne, biometryczne, polityczne, światopoglądowe) – TAJNE.
| Typ danych osobowych | Klasyfikacja minimalna | Szczególne wymagania |
|---|---|---|
| Dane zwykłe (imię, e-mail, adres) | POUFNE | Zgodność z RODO, retencja wg celów przetwarzania |
| Dane szczególnej kategorii (art. 9) | TAJNE | Szyfrowanie end-to-end, dostęp tylko niezbędnym osobom |
| Dane uwierzytelniające (hasła, kody) | TAJNE | Tylko jako hash (bcrypt/Argon2) – nigdy plain text |
Retencja danych osobowych: ▸ [wg rejestru czynności przetwarzania (RCP) u DPO]wg RODO i celów przetwarzania.
6. Obsługa Nośników Fizycznych
- Nośniki z danymi POUFNYMI i TAJNYMI muszą być szyfrowane (→ DOC-009).
- Nośniki przeznaczone do wyrzucenia lub przekazania muszą być trwale wyczyszczone (NIST 800-88 lub fizycznie zniszczone).
- Przenoszenie nośników TAJNYCH poza siedzibę: wymaga ▸ [pisemnego zatwierdzenia CISO].
- Nośniki gubione lub skradzione: natychmiastowe zgłoszenie do CISO → procedura incydentu (DOC-005).
7. Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ DD.MM.RRRR | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-010 Klasyfikacja i Ochrona Informacji | v1.0 | NIS2/KSC