Tietojen luokittelu: mitä se on ja miten se toteutetaan

tietojen luokittelu on olennainen osa mitä tahansa tietoturva-ja compliance-ohjelmaa, varsinkin jos organisaatiosi tallentaa suuria määriä tietoa. Se luo vankan perustan tietoturvastrategiallesi auttamalla sinua ymmärtämään, missä säilytät arkaluonteisia ja säänneltyjä tietoja sekä toimitiloissa että pilvipalvelussa. Lisäksi tietojen luokittelu parantaa käyttäjien tuottavuutta ja päätöksentekoa sekä vähentää varastointi-ja ylläpitokustannuksia mahdollistamalla tarpeettomien tietojen poistamisen.

tässä artikkelissa kerrotaan, mitä hyötyä tietojen luokittelusta on, miten se toteutetaan ja miten oikea ohjelmistoratkaisu valitaan.

• avaintietojen Luokittelutermit ja määritelmät
• Tietoluokituksen tarkoitus
• Tietoluokituksen hyödyt
• Tietoluokitustyypit
• esimerkkejä Tietoluokitusluokista
• tiedon Luokitteluprosessi
• tiedon Luokitteluratkaisun valitseminen
• FAQ

key data classification Terms and definitions

data classification on prosessi, jossa jäsennelty ja Jäsentämätön tieto järjestellään määriteltyihin luokkiin, jotka edustavat erityyppisiä tietoja. Aineiston luokittelussa käytettyjä standardiluokituksia ovat:

• Julkinen
• luottamuksellinen
• arkaluonteinen
• henkilökohtainen

arkaluonteinen tieto on yleinen termi, joka tarkoittaa tietoja, jotka on rajoitettu tiettyjen henkilöiden tai ryhmien käyttöön. Arkaluonteisia ja luottamuksellisia tietoja käytetään usein vaihdellen. Esimerkkejä arkaluonteisista tiedoista ovat immateriaalioikeudet ja liikesalaisuudet.

tietojen uudelleenluokittelu on tietojen uudelleenluokittelua soveltaen asianmukaisia päivityksiä, jotka perustuvat esimerkiksi lakiin tai sopimukseen perustuviin velvoitteisiin, tietojen käyttöön tai arvoon taikka uusiin tai tarkistettuihin sääntelyvaltuuksiin.

tietojen merkitseminen tai merkitseminen lisää tiedostoihin metatietoja, jotka osoittavat luokitustulokset.

Tietoluokituksen tarkoitus

Tietoluokitus auttaa sinua ymmärtämään, millaisia tietoja tallennat ja missä tiedot sijaitsevat. Tämä älykkyys:

• informoi riskienhallintaa, laillisia löytöjä ja säännösten noudattamista koskevia prosesseja
• auttaa priorisoimaan turvatoimia
• parantaa käyttäjien tuottavuutta ja päätöksentekoa virtaviivaistamalla hakuja ja sähköisiä hakuja
• vähentää tietojen ylläpito-ja tallennuskustannuksia tunnistamalla päällekkäisiä ja vanhentuneita tietoja
• auttaa TIETOTEKNIIKKARYHMIÄ perustelemaan tietoturvaan tehtäviä investointeja koskevat pyynnöt.

Tietoluokituksen hyödyt

laajemmin tiedonluokitus auttaa organisaatioita parantamaan tietoturvaa ja varmistamaan säännösten noudattamisen.

tietoturva

luokittelu on tehokas tapa suojata arvokkaita tietoja. Tunnistamalla tallennettujen tietojen tyypit ja osoittamalla, missä arkaluonteiset tiedot sijaitsevat, olet hyvissä asemissa:

• priorisoi turvatoimesi ja säädä turvatarkastuksesi tietojen herkkyyden perusteella
• ymmärrä, kuka voi käyttää, muokata tai poistaa tietoja
• arvioi riskejä, kuten rikkomuksen, ransomware-hyökkäyksen tai muun uhan liiketoiminnallisia vaikutuksia

säännösten noudattaminen

Compliance-määräykset vaativat organisaatioita suojelemaan tiettyjä tietoja, kuten kortinhaltijan tietoja (PCI DSS) tai EU: ssa asuvien henkilötiedot (GDPR). Tietojen luokituksen avulla voit tunnistaa tietyn säädöksen kohteena olevan henkilön, jotta voit käyttää vaadittuja tarkastuksia ja pass-auditointeja.

näin tietojen luokittelu voi auttaa täyttämään yhteiset vaatimustenmukaisuusstandardit:

• GDPR-tietojen luokittelu auttaa sinua ylläpitämään rekisteröityjen oikeuksia, mukaan lukien täyttämään rekisteröidyn tutustumispyynnön hakemalla asiakirjasarjan tietoja tietystä henkilöstä.
• HIPAA — tieto siitä, mihin kaikki terveystiedot tallennetaan, auttaa sinua toteuttamaan turvatarkastuksia asianmukaisen tietosuojan varmistamiseksi.
• ISO 27001-tietojen luokittelu arvon ja herkkyyden mukaan auttaa täyttämään vaatimukset luvattoman paljastamisen tai muuttamisen estämiseksi.
• NIST sp 800-53-tietojen luokittelu auttaa liittovaltion virastoja suunnittelemaan ja hallinnoimaan tietojärjestelmiään.
• PCI DSS-Dataluokitus mahdollistaa maksukortissa käytettävien kuluttajien taloudellisten tietojen tunnistamisen ja suojaamisen

Tietoluokituksen Tyyppi

• Sisältöluokitus tarkastaa ja tulkitsee tiedostoja arkaluonteisten tietojen tunnistamiseksi.
• Kontekstipohjaisessa luokittelussa tarkastellaan sovellusta, sijaintia, luojatunnisteita ja muita muuttujia arkaluonteisen tiedon epäsuorina indikaattoreina.
• Käyttäjäluokitus riippuu kunkin asiakirjan manuaalisesta valinnasta.

esimerkkejä tiedon Luokitusluokista

esimerkki Perusluokitusjärjestelmästä

yksinkertaisin järjestelmä on kolmitasoinen luokitus:

• julkiset tiedot-Tiedot, jotka ovat vapaasti luovutettavissa yleisölle. Esimerkkejä ovat yrityksen yhteystiedot ja selaimen evästekäytäntö.
• Sisäiset tiedot — tiedot, joilla on alhaiset turvallisuusvaatimukset, mutta joita ei ole tarkoitettu julkisuuteen, kuten markkinointitutkimusta.
• rajoitetut tiedot – erittäin arkaluonteiset sisäiset tiedot. Julkistaminen voisi vaikuttaa negatiivisesti toimintaan ja asettaa organisaation taloudelliseen tai oikeudelliseen riskiin. Rajoitetut tiedot edellyttävät korkeatasoista tietoturvaa.

esimerkki valtion luokittelujärjestelmästä

valtion virastot käyttävät usein kolmea herkkyystasoa, mutta antavat niille erilaisia merkintöjä kuin edellä on lueteltu: top secret, secret ja public. Monimutkaisempiin tietorakenteisiin voidaan lisätä useampia tasoja. Tässä on viisitasoinen strategia esimerkein:

• Top secret — Cryptologic and communications intelligence
• Secret — Select military plans
• Confidential — Data indicating the strength of ground forces
• arkaluonteiset luokittelemattomat — data tagged ”for Official Use Only”
• luokittelemattomat — tiedot, jotka voidaan julkistaa valtuutuksella

esimerkki kaupallisesta luokituksesta

tyypillisesti kaupallista dataa tallentavat ja käsittelevät organisaatiot käyttävät tiedon luokittelussa neljää tasoa: kolmea luottamuksellista tasoa ja yhtä julkista tasoa. Jotkut laajentavat sen viisitasoiseksi järjestelmäksi, jossa on seuraavat tasot:

• arkaluonteiset — immateriaalioikeudet, PHI
• Luottamukselliset — Myyjäsopimukset, työntekijöiden arviot
• Yksityisasiakkaiden nimet tai kuvat
• omistusoikeudelliset — Organisaatioprosessit
• julkinen — tieto, joka voidaan paljastaa kenelle tahansa

tiedon Luokitteluprosessi

tehokas tiedon luokittelu viidessä vaiheessa

1. luo tietojen luokittelupolitiikka, mukaan lukien tavoitteet, työnkulut, tietojen luokittelujärjestelmä, tietojen omistajat ja käsittely
2. tunnista tallentamasi arkaluonteiset tiedot.
3. käytä etikettejä merkintätiedoilla.
4. käytä tuloksia tietoturvan ja vaatimustenmukaisuuden parantamiseen.
5. tiedot ovat dynaamisia, ja luokittelu on jatkuva prosessi.

Tehokkaan tietojen Luokittelupolitiikan luominen

tietojen luokittelupolitiikka on asiakirja, joka sisältää luokittelukehyksen, luettelon arkaluonteisten tietojen tunnistamiseen liittyvistä vastuista ja kuvaukset eri tietojen luokitustasoista.

hyvä luokittelupolitiikka:

• käyttää kriteerejä, jotka ovat suoraviivaisia ja välttävät epäselvyyksiä, mutta jotka ovat riittävän yleisiä eri tietokokonaisuuksiin ja olosuhteisiin
• on selkeä ja kirjoitettu yksinkertaisella kielellä
• sopii organisaation toimialaan
• on rajoitettu 3 tai 4 luokitustasoon
• Sisältää yhteyspisteen selventämistä varten
• perustaa tarkastelun aikataulu

tiedon luokitteluratkaisun valitseminen

etsi näitä ominaisuuksia:

• Yhdistelmähaku-parantaa tarkkuutta minimoimalla vääriä positiivisia ja vääriä negatiivisia.
• indeksi-voit tunnistaa arkaluonteiset termit indeksoimatta tietoja uudelleen.
• Flexible taxonomy manager – helpottaa ehtojen ja sääntöjen lisäämistä ja muokkaamista.
• työnkulut-toteuttaa automaattisesti erityistoimia, kun asiakirja on luokiteltu tietyllä tavalla. Työnkulku saattaa esimerkiksi siirtää arkaluonteisia tietoja pois julkisesta jaosta.
• kattavuus-tukee sekä pilvi-että paikan päällä olevia tietolähteitä, mukaan lukien sekä jäsennelty että jäsennelty tieto.

FAQ

mikä on tiedon luokittelun tarkoitus?

tiedon luokittelu jakaa tiedot luokkiin sen arvon ja herkkyyden perusteella.

miksi tiedon luokittelu on tärkeää? Mitä hyötyä siitä on?

tietojen luokittelu auttaa sinua priorisoimaan tietosuojapyrkimyksesi tietoturvan ja säännösten noudattamisen parantamiseksi. Se myös parantaa käyttäjien tuottavuutta ja päätöksentekoa sekä vähentää kustannuksia mahdollistamalla tarpeettomien tietojen poistamisen.

mitkä ovat yleiset tietojen luokitustasot?

tiedot luokitellaan usein julkisiksi, luottamuksellisiksi, arkaluonteisiksi tai henkilökohtaisiksi.

mitkä ovat tiedon luokitustyypit?

luokittelu voi olla sisältöpohjainen, kontekstipohjainen tai käyttäjäpohjainen (manuaalinen).

mitä ohjelmistoa tiedon luokittelussa tulisi käyttää?

Etsi tiedon luokitteluohjelmia, kuten Netwrixin tarjoama, joka:

• käyttää yhdyssanahakua varmistaakseen tarkan luokituksen, joka minimoi väärät positiiviset tiedot
• sisältää indeksin, jonka avulla voit löytää arkaluonteisia termejä indeksoimatta uudelleen tietovarastojasi
• sisältää joustavan taksonomiahallintaohjelman, joka antaa sinulle valtuudet muokata luokitteluparametrejasi
• tarjoaa työnkulkuja automatisoimaan prosesseja, kuten arkaluonteisten tietojen siirtämistä julkisista osakkeista
• tukee sekä toimitilat ja pilvisisältölähteet, mukaan lukien sekä jäsennelty että jäsennelty tieto

kuka vastaa tiedon luokittelusta järjestö?

organisaatiot nimeävät tyypillisesti turvallisuus-ja Riskienhallintapäällikön, Tietosuojapäällikön, Compliance-komitean tai vastaavan tahon.

Netwrixin tuotehallinnan johtaja. Ilia vastaa Netwrixin tuotevisiosta ja-strategiasta. Hän on arvostettu tietoturva-asiantuntija ja Forbes Technology Councilin virallinen jäsen. Ilialla on yli 15 vuoden kokemus IT-hallinnan ohjelmistomarkkinoilta. Netwrix-blogissa Ilia keskittyy kyberturvallisuuden trendeihin, strategioihin ja riskinarviointiin.