Die Dokumentenklassierung wird oft als Synonym von Informationsklassifizierung angesehen. Es handelt sich jedoch um zwei unterschiedliche Konzepte, zwischen denen eine Beziehung besteht. Die Dokumentenklassifizierung ist ein Bestandteil der Informationsklassifizierung, die wiederum der Oberbegriff ist. Unternehmen, die sich nach ISO/IEC 27001 zertifizieren, oder ein ISMS nach 27001 aufbauen möchten, haben die Herausforderungen die Maßnahme der Klassifizierung A.8.2 des Anhanges A umzusetzen. Doch eine sinnvolle Umsetzung der Klassifizierung ist in der Praxis nicht immer einfach.
Der Inhalt im Überblick
Ziel der Informationsklassifizierung
Wie definiert im Control A.8.2 des Anhanges A der ISO/IEC 27001 ist das Ziel der Informationsklassifizierung sicherzustellen, dass
„Information ein angemessenes Schutzniveau entsprechend ihrer Bedeutung für die Organisation erhält.“
In diesem Control steckt die Anforderung, dass Unternehmen ihren Informationen angemessenes Schutzniveau bieten müssen. Dabei ist zu berücksichtigen, dass unterschiedliche Informationen verschiedene Wertigkeiten für das Unternehmen haben.
Die Umsetzungsschritte des Controls A.8.2. beinhaltet 3 wesentliche Maßnahmen:
- A.8.2.1 Klassifizierung von Informationen,
- A.8.2.2 Kennzeichnung von Informationen und
- A.8.2.3 Handhabung von Werten.
Klassifizierung von Dokumenten – aber wie?
Mit der Maßnahme A.8.2.1 möchte die Norm erreichen, dass Informationen gemäß deren externen und internen Anforderungen klassifiziert werden, wobei die Klassifizierungsstufe aus gesetzlichen Anforderungen, oder dem Wert bzw. der Kritikalität abgeleitet werden müssen. Die Einstufung des Dokumentes beginnt mit einer Analyse. Es muss geprüft werden, ob das Dokument schützenswerte/ schutzbedürftige Informationen enthält. Danach kann das Dokument klassifiziert werden, damit es auch entsprechend seiner Klassifizierung geschützt werden kann. Dokumente sind Teil der Unternehmenswerte. Um sie schützen zu können, muss bekannt sein, welche Werte vorhanden sind und wo diese sich befinden. In der ISO 27001 wird dies im Control 8.1 als Inventarisierung der Werte beschrieben. Eine angemessene Durchführung der Risikobeurteilung ermöglicht eine Kategorisierung von Informationen nach ihrem Wert bzw. dem Grad ihrer Vertraulichkeit.
Diese Kategorisierung ist entscheidend für die Ermittlung des Schutzbedarfs und die Ableitung von Sicherheitsmaßnahmen. Die Klassifizierung von Informationen muss drei wesentliche Elemente berücksichtigen: die Klassifizierungskriterien, die Vertraulichkeitsstufe und die Re-Klassifizierung.
Klassifizierungskriterien
Das Klassifizierungsschema lässt sich aufgrund der Vertraulichkeit definieren. Der Schutz der Vertraulichkeit ist das am weitesten verbreitete Schutzziel in Organisationen. Es ist aber ebenso möglich, dass ein Unternehmen seine Informationen auf Basis der Verfügbarkeit und der Integrität klassifiziert. Es gibt Informationen, die nicht unbedingt besonders schutzbedürftig sind, die aber besonders zuverlässig verfügbar sein müssen. Die Vertraulichkeitsstufen können auf Basis folgender Kriterien festgelegt werden:
- Wert der Information
basierend auf den in der Risikoeinschätzung festgestellten Auswirkungen - Sensibilität und Kritikalität der Information
basierend auf dem für jede Information während der Risikoeinschätzung kalkulierten höchsten Risiko - Rechtliche und vertragliche Verpflichtungen
basierend auf der Liste gesetzlicher, amtlicher, vertraglicher und anderer Verpflichtungen - Personenbezug
basierend auf der Art der personenbezogenen Daten und möglichen Auswirkungen für die betroffene Person, wenn es zu einer Verletzung der Rechte kommt
Welche Vertraulichkeitsstufen sind sinnvoll?
An dieser Stelle ist es wichtig daran zu erinnern, dass es keine Normvorschrift über die Klassifizierungsstufen gibt. Organisationen müssen für ihre Dokumente selbst ein sinnvolles und nachvollziehbares Klassifizierungsschema festlegen, das ihrer Bedeutung entspricht. Deswegen kann die Festlegung des Klassifizierungsschemas von Unternehmen zu Unternehmen sehr unterschiedlich sein und die Kategorien vielfältig. So verwenden manche Unternehmen die Klassifizierung mit 4 Stufen wie zum Beispiel „öffentlich“, „intern“, „vertraulich“, „streng vertraulich“ oder mit 2 Stufen nämlich „öffentlich“ und „intern.“
Aufgrund dieser Vielfalt kann ein Unternehmen, das seine Reise in die Welt der Informationssicherheit beginnt, verunsichert sein und nicht wissen, welche Option es wählen soll. Die Erfahrung aus der Praxis hat gezeigt, dass es sinnvoll, gut handhabbar und am leichtesten ist, mit einer dreistufige Klassifizierung zu beginnen, wie zum Beispiel:„öffentlich“, „intern“ und „vertraulich.“ Sie hat nicht nur den Vorteil, dass sie einfach zu implementieren ist, sondern auch, dass jeder Mitarbeiter sie sich merken kann. Eine 5-Kategorien-Klassifikation hingegen kann manchmal verwirrend und komplex in der Umsetzung sein.
Diese Stufen sind nicht mit dem Schutzbedarfsstufen aus dem BSI-Standard 200-2 zu verwechseln. Die Klassifizierungsstufe definiert welche Benutzer auf das Dokument zugreifen darf, wobei die Schutzklasse ermittelt wie dieses Dokument zu schützen ist.
Dokumentenklassifizierung, eine einmalige Aufgabe?
Die Klassifizierung von Dokumenten ist eine regelmäßige, wiederkehrende Aufgabe. Sie erfolgt initial während des Inventars der Werte. Die Eigentümer von Dokumenten mit der Vertraulichkeitsstufe „vertraulich“ zum Beispiel sollten dann ihre Informationswerte in einen definierten Abstand / Zyklus überprüfen und bewerten, ob die Vertraulichkeitsstufe geändert werden muss. Das Ergebnis der Bewertung kann dann dazu führen, dass die bisherige Vertraulichkeitsstufe verändert und ein Dokument reklassifiziert werden muss.
Kennzeichnung von Informationen
Mit der Kennzeichnung von Informationen soll erreicht werden, dass Benutzer sofort erkennen können, welche Informationsklassifizierungsstufe den jeweiligen Dokumenten tragen. Diese Kennzeichnung muss sowohl digitale Dokumente abdecken als auch ausgedruckte und archivierte Informationen. In der Praxis wird die Klassifizierungsstufe als Kennzeichnung des Dokuments gegeben.
Jedes Dokument im Anwendungsbereich des Informationssicherheitsmanagementsystems (ISMS) muss eindeutig gekennzeichnet sein. Weil das nicht immer vollständig zu leisten ist, wird es innerhalb der Klassifizierung auch einen Wert (üblicherweise ‚intern‘), geben, der für alle nicht gekennzeichnete Dokumente gilt.
Wie erfolgt die Kennzeichnung?
Als „Best Practice Sharing“ können Unternehmen die Kennzeichnung mit Vertraulichkeitsstufen folgendermaßen durchführen:
- Papierdokumente
die Vertraulichkeitsstufe wird in der Fußzeile jeder Seite des Dokuments angegeben; ebenso wird sie auf der Vorderseite des Deckblattes sowie auf dem Aktenordner angegeben, in dem das Dokument abgelegt ist - Elektronische Dokumente
die Vertraulichkeitsstufe wird in der Fußzeile jeder Seite des Dokuments angegeben - Elektronische Post
bei interner Nutzung – die Vertraulichkeitsstufe wird im Betreff oder in der ersten Zeile des E-Mail-Inhaltes angegeben
Der angemessene Umgang mit der Vertraulichkeitsstufe wird durch regelmäßige Sensibilisierungen der Mitarbeiter durch den ISB/DSB erreicht.
Dokumentenklassifizierung ist ein kontinuierlicher Verbesserungsprozess
Die Dokumentenklassifizierung ist ein kontinuierlicher Verbesserungsprozess, der in Unternehmen und Organisationen aktiv praktiziert werden muss, um den dauerhaften Schutz der Informationen sicherzustellen und eine Sicherheitskultur zu etablieren. Dass die Norm jeder Organisation die Möglichkeit bietet, ihre Klassifizierungsstufen selbst zu wählen, ist eine große Chance. Diese Gelegenheit einfache und erfolgreiche Verfahren zu nutzen spart Zeit und gewährleistet Sicherheit – was für ein Vorteil.