Dataklassificering: hvad det er, og hvordan man implementerer det

Dataklassificering er en vigtig komponent i ethvert informationssikkerheds-og overholdelsesprogram, især hvis din organisation gemmer store datamængder. Det giver et solidt fundament for din datasikkerhedsstrategi ved at hjælpe dig med at forstå, hvor du gemmer følsomme og regulerede data, både i lokaler og i skyen. Desuden forbedrer dataklassificering brugernes produktivitet og beslutningstagning og reducerer opbevarings-og vedligeholdelsesomkostninger ved at gøre det muligt for dig at fjerne unødvendige data.

i denne artikel lærer du, hvilke fordele dataklassificering tilbyder, hvordan man implementerer det, og hvordan man vælger den rigtige programløsning.

• Nøgledataklassificeringsbetingelser og definitioner
• formål med Dataklassificering
• Dataklassificeringstyper
• eksempler på Dataklassificeringskategorier
• Dataklassificeringsproces
• Sådan vælges en Dataklassificeringsløsning
• ofte stillede spørgsmål

nøgledataklassificeringsbetingelser og definitioner

Dataklassificering er processen med at organisere strukturerede og ustrukturerede Data i definerede kategorier, der repræsenterer forskellige typer data. Standardklassifikationer, der anvendes i datakategorisering, inkluderer:

• Offentlig
• fortrolig
• følsom
• personlig

følsomme data er et generelt udtryk, der repræsenterer data, der er begrænset til brug af bestemte personer eller grupper. Følsomme og fortrolige data bruges ofte om hverandre. Eksempler på følsomme data omfatter intellektuel ejendomsret og forretningshemmeligheder.

Dataklassificering er omklassificering af data for at anvende passende opdateringer, for eksempel baseret på ændringer i juridiske eller kontraktlige forpligtelser, dataforbrug eller værdi eller nye eller reviderede lovgivningsmæssige mandater.

Datamærkning eller mærkning tilføjer metadata til filer, der angiver klassificeringsresultaterne.

formål med Dataklassificering

dataklassificering hjælper dig med at forstå, hvilke typer data du gemmer, og hvor disse data er placeret. Denne intelligens:

• informerer risikostyring, juridisk opdagelse og lovgivningsmæssige overholdelsesprocesser
• hjælper med at prioritere sikkerhedsforanstaltninger
• forbedrer brugerproduktivitet og beslutningstagning ved at strømline søgning og e-opdagelse
• reducerer omkostninger til vedligeholdelse og opbevaring af data ved at identificere duplikerede og uaktuelle data
• hjælper IT-teams med at retfærdiggøre anmodninger om investeringer i datasikkerhed.

fordele ved Dataklassificering

mere bredt hjælper dataklassificering organisationer med at forbedre datasikkerheden og sikre overholdelse af lovgivningen.

datasikkerhed

klassificering er en effektiv måde at beskytte dine værdifulde data på. Ved at identificere de typer data, du gemmer, og identificere, hvor følsomme data befinder sig, er du godt positioneret til:

• Prioriter dine sikkerhedsforanstaltninger ved at justere dine sikkerhedskontroller baseret på datafølsomhed
• forstå, hvem der kan få adgang til, ændre eller slette data
• vurdere risici, såsom forretningsvirkningen af et brud, løsepenge-angreb eller anden trussel

lovgivningsmæssig overholdelse

Compliance-regler kræver, at organisationer beskytter specifikke data, såsom kortholderoplysninger (PCI) DSS) eller personoplysninger om EU-borgere (GDPR). Dataklassificering giver dig mulighed for at identificere den registrerede i henhold til bestemte regler, så du kan anvende de nødvendige kontroller og bestå revisioner.

sådan kan dataklassificering hjælpe dig med at opfylde fælles overholdelsesstandarder:

• GDPR-dataklassificering hjælper dig med at opretholde de registreredes rettigheder, herunder tilfredsstille anmodning om adgang til den registrerede ved at hente sæt dokumenter med data om en given person.
• HIPAA — at vide, hvor alle sundhedsjournaler er gemt, hjælper dig med at implementere sikkerhedskontroller for korrekt databeskyttelse.
• ISO 27001 — klassificering af oplysninger efter værdi og følsomhed hjælper dig med at opfylde kravene til at forhindre uautoriseret videregivelse eller ændring.
• NIST SP 800-53 — kategorisering af data hjælper føderale agenturer med at arkitekt og styre deres IT-systemer korrekt.
• PCI DSS-data klassificering gør det muligt at identificere og sikre forbrugernes finansielle oplysninger, der anvendes i betalingskort

typer af Dataklassificering

• indholdsbaseret klassificering inspicerer og fortolker filer for at identificere følsomme oplysninger.
• kontekstbaseret klassificering ser på applikation, placering, skaberkoder og andre variabler som indirekte indikatorer for følsomme oplysninger.
• brugerbaseret klassificering afhænger af manuel valg af hvert dokument af en person.

eksempler på Dataklassificeringskategorier

eksempel på et grundlæggende Klassificeringsskema

det enkleste skema er Klassificering på tre niveauer:

• offentlige data-Data, der frit kan videregives til offentligheden. Eksempler kan være din virksomheds kontaktoplysninger og cookiepolitik.
• interne data — Data, der har lave sikkerhedskrav, men som ikke er beregnet til offentliggørelse, som markedsundersøgelser.
• begrænsede data — meget følsomme interne data. Offentliggørelse kan påvirke driften negativt og sætte organisationen i økonomisk eller juridisk risiko. Begrænsede data kræver det højeste niveau af sikkerhedsbeskyttelse.

eksempel på en Regeringsklassificeringsordning

regeringsorganer bruger ofte tre niveauer af følsomhed, men giver dem forskellige mærker end anført ovenfor: tophemmelighed, hemmelighed og offentlig. For mere komplekse datastrukturer kan flere niveauer tilføjes. Her er en fem-niveau strategi med eksempler:

• top secret — Cryptologic and communications intelligence
• Secret — Vælg militære planer
• fortroligt — Data, der angiver styrken af jordstyrker
• Sensitive unclassified — Data tagged “kun til officiel brug”
• uklassificeret — Data, der kan offentliggøres med tilladelse

eksempel på kommerciel klassificering

organisationer, der lagrer og behandler kommercielle data, bruger typisk fire niveauer til at klassificere data: tre fortrolige niveauer og et offentligt niveau. Nogle udvider det til et system på fem niveauer med følgende niveauer:

• Sensitive — Intellectual property, PHI
• fortroligt — leverandørkontrakter, medarbejderanmeldelser
• Private — kundenavne eller billeder
• proprietære — organisatoriske processer
• offentlig — Information, der kan videregives til nogen

Dataklassificeringsproces

effektiv informationsklassificering i fem trin

1. Opret en politik for dataklassificering, herunder mål, arbejdsgange, Dataklassificeringsskema, dataejere og håndtering
2. Identificer de følsomme data, du gemmer.
3. Anvend etiketter ved at tagge data.
4. brug resultater til at forbedre sikkerhed og overholdelse.
5. Data er dynamiske, og klassificering er en løbende proces.

opbygning af en effektiv Dataklassificeringspolitik

en dataklassificeringspolitik er et dokument, der indeholder en klassificeringsramme, en liste over ansvar for identifikation af følsomme data og beskrivelser af de forskellige dataklassificeringsniveauer.

en god klassifikationspolitik:

• bruger kriterier, der er ligetil og undgår tvetydighed, men som er generiske nok til at gælde for forskellige datasæt og omstændigheder
• er klar og skrevet på et enkelt sprog
• passer til organisationens forretning
• er begrænset til 3 eller 4 klassificeringsniveauer
• indeholder et kontaktpunkt for afklaring
• etablerer en anmeldelse tidsplan

Sådan vælges en dataklassificeringsløsning

se efter disse funktioner:

• søgning efter sammensatte udtryk — forbedrer nøjagtigheden ved at minimere falske positive og falske negativer.
• indeks — gør det muligt at identificere følsomme udtryk uden at gennemgå dataene igen.
• fleksibel taksonomi manager — gør det nemt at tilføje og ændre vilkår og regler.
• arbejdsprocesser — udfører automatisk specifikke handlinger, når et dokument klassificeres på en bestemt måde. En arbejdsproces kan f.eks. flytte følsomme data væk fra en offentlig del.
• bredde af dækning — understøtter både cloud og lokale datakilder, herunder både strukturerede og ustrukturerede data.

ofte stillede spørgsmål

hvad er formålet med dataklassificering?

dataklassificering sorterer data i kategorier baseret på dets værdi og følsomhed.

Hvorfor er dataklassificering vigtig? Hvilke fordele tilbyder det?

dataklassificering hjælper dig med at prioritere din databeskyttelsesindsats for at forbedre datasikkerheden og overholdelse af lovgivningen. Det forbedrer også brugerproduktiviteten og beslutningstagningen og reducerer omkostningerne ved at gøre det muligt for dig at fjerne unødvendige data.

hvad er almindelige dataklassificeringsniveauer?

Data klassificeres ofte som offentlige, fortrolige, følsomme eller personlige.

hvad er dataklassifikationstyperne?

klassificering kan være indholdsbaseret, kontekstbaseret eller brugerbaseret (manuel).

hvilket program skal jeg bruge til dataklassificering?

se efter dataklassificeringsprogrammer, som det, der tilbydes af:

• bruger sammensat ordsøgning for at sikre nøjagtig klassificering, der minimerer falske positive
• har et indeks, så du kan finde følsomme udtryk uden at gennemgå dine datalagre
• inkluderer en fleksibel taksonomi manager, der giver dig mulighed for at tilpasse dine klassificeringsparametre
• giver arbejdsgange til at automatisere processer såsom migrering af følsomme data fra offentlige aktier
• understøtter både lokale og cloud-indholdskilder, herunder både strukturerede og ustrukturerede data

hvem er ansvarlig for dataklassificering i en organisation?

organisationer udpeger typisk en sikkerheds-og risikostyring, en Databeskyttelseschef, Compliance Committee eller en lignende enhed.

VP for Product Management hos . Ilia er ansvarlig for vores produktvision og-strategi. Han er en anerkendt ekspert inden for informationssikkerhed og et officielt medlem af Forbes Technology Council. Ilia har over 15 års erfaring inden for it-styringsprogrammarkedet. I bloggen fokuserer Ilia på cybersikkerhedstendenser, strategier og risikovurdering.