政府云安全分类混乱狗数字市场列表
公共部门IT买家可以被欺骗,而不是他们对云系统的需求,因为由于他们创造和过程所需的保护水平。
政府安全分类(GSC)于2014年4月出版,国家公共部门数据可以根据国家安全问题的重要性标记为官方,秘密或最高秘密。
被认为是安全守卫的国家安全利益最重要的数据被称为秘密或最高秘密,而公共部门产生的大多数例行信息被归类为官方。
“约有90%的政府信息在官方层中,因为 - 非常诚实 - 没有人真正关心的是,在更广阔的世界中,”托尼理查兹,CTO在网络安全咨询证和前任G-Cloud的安全负责人“,每周告诉电脑。
在官方数据的共享和分配可能需要根据需要的基础上限制为某个杀戮的情况的情况下,被描述为“官方敏感”,以确认需要保留紧密控制的。
“如果你只打印一些只为少数人的眼睛,那么页面顶部和底部会有”官方敏感“的单词,以提醒你不要把它留在你的桌子上或放置它在议会广场中部的废纸篓中,“他说。
“这只是提醒人们不要留下这种类型的材料,因为它只应该向选择少数人展示。”
在GSC策略下,标签未被识别,作为独立数据分类,与官方,秘密和最高秘密相同,但这并未阻止一些G云提供商行为似乎是。
大约4%的G云服务提供商应理解为在其产品标题或服务描述中使用“官方敏感”术语,并且有564个列表,其中包含数字市场中的描述符。
有些人甚至已经消失了到目前为止,在市场上创建单独的产品条目,以获得其产品的官方敏感版本,建议他们被认证与官方敏感数据一起使用。
在踏上这些服务的拖网之后,计算机每周发现许多情况,供应商在官方敏感产品中引用更高的价格,尽管政府没有被识别为数据分类。
理查兹的意见 - 其他计算机每周都说 - 公共部门,它买家可以花费比保护他们的数据所需的更多,因为围绕官方敏感信息如何存储和保护。
例如,可以限制传播和共享作为官方敏感的数据的能力,可以使用访问控制来限制,但购买独立系统以管理它不太可能是必要的。
“以电子方式,[官方敏感]意味着只能授予一小组已知人,这是一个需要知道的人。这就对了。Richards说,这不是一个单独的标记,需要巨大的加密或单独的系统来保护它。“
G-Cloud上市的Contraboration Software Provider Kahootz的John Glover,销售和营销总监John Glover,销售和营销总监呼应,并表示供应商应努力确保其产品本身支持所有公共部门组织的数据保护要求。
“我们经常与国防部和其他客户谈论他们想要的额外安全控制,所以我们可以建立在那里,”他说。“我不希望他们认为他们需要另一个用于官方敏感的系统。”
政府数字服务(GDS)与内阁办公室合作,于2月3日在公共部门AT采购商的目标上发表了一系列在线指导。
因此,它警告公共部门,它买家不寻求被描述为“适合官方敏感”的系统,因为它可能导致他们变得不必要过度配置。
“不要寻求保证,系统是一个对官方敏感的人'。可以处理官方数据的系统可能适合处理敏感信息,“指导说。
“大多数数字系统也将支持技术控制,例如访问控制和审计日志记录。如果您的系统没有技术控制,则需要在存储其信息的位置进行基于风险的决定。“
内阁办事处的指导受到前G-Cloud Lead,Mark Craddock的欢迎,他将每周告诉计算机每周令人困惑,这些官方敏感手段可能导致在公共部门中创建过度复杂的IT系统。
“现在,内阁办公室澄清了这种情况,政府部门和供应商现在可以开始消除基础设施服务的复杂性,”他说。
在计算机每周的后续陈述中,一个内阁办公室发言人表示,虽然它不识别官方敏感作为数据分类,但供应商可以描述他们喜欢的服务。
“供应商可以选择如何描述他们的服务,以反映他们提供给买家的产品。我们审查了任何不准确的服务描述,这些服务描述都是我们的注意力,如有必要,我们与供应商合作更新说明。“
即便如此,Kahootz的格洛弗表示,供应商应该在描述其产品的安全凭证时谨慎行事,并避免过于携带。
“将自己标记为官方敏感,这将是不明智的。您可能会说,一家部门已批准服务的用途,这是官方敏感的,这足够公平,因为他们必须向用户提供这一指导,“他说。
“国防部告诉他们的员工,如果需要向人们提供一些级别的指导,它可以用尽,包括官方敏感的信息。”