Политика классификации государственной информации (GSCP) — это система классификации конфиденциальных правительственных данных в Соединенном Королевстве .
Исторически правительственная защитная маркировка использовалась государственными органами Великобритании; она делит данные на UNCLASSIFIED, PROTECT, RESTRICTED, CONFIDENTIAL, SECRET и TOP SECRET. Эта система была разработана для записей на бумажных носителях; ее нелегко адаптировать к современной правительственной работе, и она не так широко понятна. [1]
GSCP использует три уровня классификации: ОФИЦИАЛЬНЫЙ, СЕКРЕТНЫЙ и СОВЕРШЕННО СЕКРЕТНЫЙ. [2] Это проще, чем старая модель, и нет прямой связи между старой и новой классификациями. «Несекретно» намеренно опущено в новой модели. Государственные органы не должны автоматически отмечать существующие данные, поэтому могут быть случаи, когда организации, работающие по новой системе, по-прежнему обрабатывают некоторые данные, помеченные в соответствии со старой системой.
Владельцы информационных активов продолжают нести ответственность за информацию. Новая политика не определяет конкретные требования к безопасности ИТ – ИТ-системы должны быть построены и использованы в соответствии с существующими рекомендациями CESG . [3]
Все, кто работает с государственными органами, включая подрядчиков и поставщиков, несут ответственность за защиту информации, с которой они работают, независимо от того, имеет ли она защитную маркировку.
Агрегация не приводит к автоматическому повышению защитной маркировки. Например, база данных с тысячами записей, которые по отдельности являются ОФИЦИАЛЬНЫМИ, не должна перемаркироваться как СЕКРЕТНАЯ база данных. Вместо этого владельцы информации должны принимать решения о контроле на основе оценки риска и должны учитывать, что представляет собой агрегированная информация, кому и как должен быть предоставлен к ней доступ.
ОФИЦИАЛЬНЫЙ включает в себя большинство данных государственного сектора, включая широкий спектр информации о повседневной деятельности правительства. Он не подвержен каким-либо особым рискам. Персональные данные обычно являются ОФИЦИАЛЬНЫМИ. [4] Данные должны быть защищены средствами контроля, основанными на передовой коммерческой практике, а не на дорогостоящих, сложных специальных технологиях и бюрократии. Нет необходимости отмечать каждый документ как «ОФИЦИАЛЬНЫЙ» — подразумевается, что это значение по умолчанию для правительственных документов. [5]
Организации могут добавлять «дескрипторы», чтобы выделить определенные типы официальных данных, например, коммерчески конфиденциальную информацию о контрактах или дипломатические данные, которые не должны быть видны нанятым на месте сотрудникам посольства. Эти дескрипторы автоматически не требуют специального контроля. «ОФИЦИАЛЬНЫЙ» обычно включает в себя виды данных, которые ранее были НЕСЕКРЕТНЫМИ, ОГРАНИЧЕННЫМИ или КОНФИДЕНЦИАЛЬНЫМИ; но это может варьироваться.
Модель угроз для ОФИЦИАЛЬНЫХ данных похожа на типичные крупные организации частного сектора; она предполагает, что отдельные хакеры, группы давления, преступники и журналисты-расследователи могут попытаться получить информацию. Модель угроз не гарантирует защиту от очень постоянных и квалифицированных атак, например, со стороны организованных преступных групп или иностранных правительств; они возможны, но обычные меры контроля сделают их более сложными, а гораздо более строгие меры контроля будут несоразмерными. Люди, имеющие регулярный доступ к ОФИЦИАЛЬНОЙ информации, должны подвергаться проверке BPSS .
OFFICIAL может включать данные, на которые распространяются отдельные нормативные требования, такие как Закон о защите данных (персональные данные) или PCI DSS (платежи по картам).
OFFICIAL-SENSITIVE — это дополнительное предостережение для ОФИЦИАЛЬНЫХ данных, где особенно важно обеспечить соблюдение правил необходимости знать . Документы OFFICIAL-SENSITIVE должны быть помечены, но они не обязательно отслеживаются.
Это не классификация. [6] «Конфиденциально» — это предостережение об обращении с небольшим подмножеством информации, помеченной как ОФИЦИАЛЬНАЯ, которая требует особого обращения со стороны персонала.
«Очень конфиденциальная информация», которая может (например) серьезно навредить национальной обороне или расследованию преступлений. Данные следует помечать как СЕКРЕТНЫЕ только в том случае, если старший владелец информационных рисков (должность на уровне правления в организации) согласен с тем, что они имеют большое влияние и что данные должны быть защищены от очень способных злоумышленников. Хотя для защиты данных могут использоваться некоторые специальные технологии, все еще делается сильный акцент на повторном использовании коммерческих инструментов безопасности.
СЕКРЕТНО — это большой шаг вперед по сравнению с ОФИЦИАЛЬНО; государственные органы предостерегаются от излишней осторожности и применения более строгих правил, когда было бы достаточно ОФИЦИАЛЬНО.
Лица, имеющие постоянный доступ к СЕКРЕТНОЙ информации, как правило, должны иметь допуск SC . СЕКРЕТНЫЕ данные часто могут быть освобождены от раскрытия FOIA .
Данные с исключительно высоким уровнем воздействия; компрометация будет иметь очень серьезные последствия – например, множество смертей. Это требует чрезвычайно высокого уровня защиты, и ожидается, что средства контроля будут аналогичны тем, которые используются для существующих данных «Совершенно секретно», включая продукты, одобренные CESG. Очень небольшой риск может быть допущен в TOP SECRET, хотя ни одна деятельность не является полностью безрисковой. [7]
Люди, имеющие постоянный доступ к СОВЕРШЕННО СЕКРЕТНОЙ информации, как правило, должны иметь допуск DV . Предполагается, что СОВЕРШЕННО СЕКРЕТНАЯ информация не подлежит раскрытию в соответствии с FOIA . Раскрытие такой информации считается превышающим порог для судебного преследования по Закону о государственной тайне . [8]
Специальные инструкции по обращению — это дополнительные маркировки, которые используются вместе с маркировкой классификации для указания характера или источника ее содержания, ограничения доступа к определенным группам и/или для обозначения необходимости в усиленных мерах обращения. В дополнение к абзацу в начале документа специальные инструкции по обращению включают дескрипторы, кодовые слова, префиксы и национальные предостережения. [2]
ДЕСКРИПТОР используется с классификацией безопасности для идентификации определенных категорий конфиденциальной информации и указывает на необходимость мер предосторожности, основанных на здравом смысле, для ограничения доступа. Обычные дескрипторы — «КОММЕРЧЕСКИЙ», «LOCSEN» и «ПЕРСОНАЛЬНЫЙ». [2]
Кодовое слово — это одно слово, выраженное ЗАГЛАВНЫМИ буквами, которое следует классификации безопасности для обеспечения безопасности определенного актива или события. Обычно они применяются только к СЕКРЕТНЫМ и СОВЕРШЕННО СЕКРЕТНЫМ активам. [2]
Префикс UK добавляется к классификации безопасности всех активов, отправляемых иностранным правительствам или международным организациям. Этот префикс обозначает Великобританию как страну происхождения и что перед любым возможным раскрытием информации следует проконсультироваться с британским правительством. [2]
Национальные предостережения следуют за классификацией безопасности. Если явно не указано иное, информация, имеющая национальное предостережение, не отправляется иностранным правительствам, зарубежным подрядчикам, международным организациям или не раскрывается иностранным гражданам. [2] Пример
За исключением британских посольств и дипломатических миссий или подразделений или учреждений служб, активы, имеющие национальную оговорку UK EYES ONLY, не отправляются за границу. [2]
Согласно предыдущей модели GPMS, выбор классификации касается только конфиденциальности данных. Однако в отличие от старой модели, которую она заменяет, GSCP не рассматривает последствия компрометации как основной фактор, а вместо этого основывается на возможностях и мотивации потенциальных субъектов угрозы (злоумышленников) и приемлемости этого риска для бизнеса.
Если в область данных, подлежащих классификации, входит способный и мотивированный злоумышленник, такой как Служба внешней разведки или Серьезная и организованная преступность, бизнес должен неявно принять этот риск, чтобы классифицировать данные как ОФИЦИАЛЬНЫЕ. Если они не принимают или не могут принять этот риск, они должны, по крайней мере, изначально считать данные СЕКРЕТНЫМИ, хотя позднее их можно будет понизить до ОФИЦИАЛЬНЫХ или повысить до СОВЕРШЕННО СЕКРЕТНЫХ, когда также будут рассмотрены последствия компрометации.
Смысл этого подхода и бинарный характер определения того, является ли риск со стороны способных и мотивированных злоумышленников приемлемым или нет, означают, что данные не могут легко передаваться через GSCP линейным образом, как это было через GPMS.
Эту сложность часто упускают из виду владельцы информационных активов, ранее привыкшие к строго иерархической многоуровневой восходящей структуре GPMS (например, НЕСЕКРЕТНО, ЗАЩИЩЕНО, ОГРАНИЧЕННО, КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО).
Напротив, данные GSCP начинаются с классификации «ОФИЦИАЛЬНО» или «СЕКРЕТНО» в зависимости от характера угрозы и ее приемлемости для бизнеса, а затем соответственно повышаются или понижаются в зависимости от последствий компрометации.
Таким образом, ОФИЦИАЛЬНЫЕ данные могут получить статус СОВЕРШЕННО СЕКРЕТНЫХ, но не могут стать СЕКРЕТНЫМИ, если ранее принятый риск для способного злоумышленника не будет пересмотрен.
Уровень секретности данных может быть понижен до ОФИЦИАЛЬНЫХ, если невозможно предсказать серьезных последствий потенциального нарушения, или же уровень секретности может быть повышен до СОВЕРШЕННО СЕКРЕТНЫХ, если могут возникнуть серьезные последствия.
Уровни воздействия также учитывают целостность и доступность, однако система уровней воздействия на бизнес (BIL) CESG также пересматривается и в большинстве практических контекстов уже не применяется.
Таким образом, теперь уже не действует принцип, согласно которому чем серьезнее последствия нарушения конфиденциальности данных, тем выше классификация, поскольку данные с высоким уровнем воздействия (включая материалы, которые могут представлять угрозу для жизни) по-прежнему могут классифицироваться как ОФИЦИАЛЬНЫЕ, если владелец соответствующего бизнеса считает, что нет необходимости защищать их от злоумышленника, имеющего возможности Службы внешней разведки или организованной преступности.
И наоборот, некоторые данные с гораздо менее значимыми последствиями (например, текущие расследования полиции в отношении преступной группировки или разведывательная информация, касающаяся возможных судебных преследований), но в отношении которых бизнес не примет компромисса со стороны такого злоумышленника, могут быть классифицированы как СЕКРЕТНЫЕ.
Руководство, выпущенное в апреле 2014 года при внедрении GSCP и все еще доступное в источниках Gov.UK [9], предполагало, что информационные системы правительства Великобритании будут продолжать аккредитоваться, как и прежде, обычно с использованием Стандарта обеспечения информации CESG 1 и 2. Однако с мая 2014 года это постепенно отменялось в заявлениях блогов GDS и NCSC, а сам стандарт IS1 и 2 больше не поддерживается и не является обязательным. Аккредитация также была в значительной степени заменена альтернативными моделями обеспечения, согласованными с различными коммерческими практиками.
В отчете NAO «Защита информации в государственных органах» (сентябрь 2016 г.) содержится определенная критика перехода к этой модели и принятия GSCP в целом [10]
Существующие опубликованные руководства по-прежнему предполагают, что носители информации, содержащие данные правительства Великобритании, должны быть уничтожены или очищены в соответствии с политикой HMG IA № 5 , однако терминология в этом руководстве и других материалах не была полностью обновлена для отражения изменений с защитной маркировки GPMS на классификацию GSCP, и, как таковая, ее ценность в качестве опубликованного стандарта теперь, возможно, несколько снизилась.
Более высокие классификации по-прежнему требуют более строгой проверки персонала .
Политика правительственной классификации секретности была завершена и опубликована в декабре 2012 года; со временем были разработаны дополнительные руководства и вспомогательные процессы. Политика вступила в силу 2 апреля 2014 года. Процедуры государственных закупок учитывали новую политику с 21 октября 2023 года, чтобы новые требования безопасности могли быть учтены в контрактах, заключаемых с этой даты. [11]