Adatok osztályozása: mi az, és hogyan kell végrehajtani

az adatok osztályozása létfontosságú eleme minden információbiztonsági és megfelelőségi programnak, különösen akkor, ha a szervezet nagy mennyiségű adatot tárol. Ez szilárd alapot nyújt az adatbiztonsági stratégiájához azáltal, hogy segít megérteni, hol tárolja az érzékeny és szabályozott adatokat, mind a helyszínen, mind a felhőben. Ezenkívül az adatok osztályozása javítja a felhasználói termelékenységet és a döntéshozatalt, valamint csökkenti a tárolási és karbantartási költségeket azáltal, hogy lehetővé teszi a szükségtelen adatok kiküszöbölését.

ebben a cikkben megtudhatja, milyen előnyöket kínál az adatok osztályozása, hogyan kell végrehajtani, és hogyan kell kiválasztani a megfelelő szoftvermegoldást.

• főbb adatok osztályozása kifejezések és meghatározások
• az adatok osztályozásának célja
• az adatok osztályozásának előnyei
• az adatok osztályozásának típusai
• példák az adatok osztályozására kategóriák
• az adatok osztályozásának folyamata
• az adatok osztályozásának megoldása
• GYIK

Kulcsadatok osztályozása kifejezések és meghatározások

az adatok osztályozása a strukturált és strukturálatlan adatok meghatározott kategóriákba rendezésének folyamata, amelyek különböző típusú adatokat képviselnek. Az adatok kategorizálásában használt szabványos osztályozások a következők:

• nyilvános
• bizalmas
• érzékeny
• személyes

az érzékeny adatok olyan általános kifejezés, amely bizonyos személyek vagy csoportok által korlátozott adatokat jelent. Az érzékeny és bizalmas adatokat gyakran felcserélhető módon használják. Az érzékeny adatok közé tartoznak például a szellemi tulajdon és az üzleti titkok.

az adatok átsorolása az adatok átcsoportosítása a megfelelő frissítések alkalmazása érdekében, például a jogi vagy szerződéses kötelezettségek, Az adathasználat vagy az érték változásai, vagy új vagy felülvizsgált szabályozási megbízások alapján.

az adatok címkézése vagy címkézése metaadatokat ad a fájlokhoz, jelezve az osztályozási eredményeket.

az adatok osztályozásának célja

az adatok osztályozása segít megérteni, hogy milyen típusú adatokat tárol, és hol találhatók ezek az adatok. Ez az intelligencia:

• tájékoztatja a kockázatkezelési, jogi felderítési és Szabályozási megfelelőségi folyamatokat
• segíti a biztonsági intézkedések rangsorolását
• javítja a felhasználói termelékenységet és a döntéshozatalt a keresés és az e-felfedezés egyszerűsítésével
• csökkenti az adatkarbantartási és tárolási költségeket azáltal, hogy azonosítja a duplikált és elavult adatokat
• segíti az informatikai csapatokat az adatbiztonsági beruházások iránti kérelmek igazolásában.

az adatok osztályozásának előnyei

tágabb értelemben az adatok osztályozása segít a szervezeteknek az adatbiztonság javításában és a jogszabályi megfelelés biztosításában.

adatbiztonság

a besorolás hatékony módja az értékes adatok védelmének. Az Ön által tárolt adatok típusainak azonosításával és az érzékeny adatok helyének meghatározásával Ön megfelelő helyzetben van:

• a biztonsági intézkedések fontossági sorrendbe állítása, a biztonsági ellenőrzések módosítása az adatok érzékenysége alapján
• megérteni, hogy ki férhet hozzá, módosíthatja vagy törölheti az adatokat
• értékelje a kockázatokat, például a jogsértések, zsarolóprogramok támadásának vagy más fenyegetésnek az üzleti hatását

szabályozási Megfelelőség

a megfelelőségi előírások előírják a szervezetek számára, hogy védjenek bizonyos adatokat, például a kártyabirtokos adatait (PCI DSS) vagy az EU lakosainak személyes adatai (GDPR). Az adatok besorolása lehetővé teszi, hogy azonosítsa az adott szabályozások hatálya alá tartozó adatokat, így alkalmazhatja a szükséges ellenőrzéseket és átengedheti az auditokat.

így segíthet az adatok osztályozása a közös megfelelőségi szabványoknak való megfelelésben:

• GDPR-az adatok besorolása segít az érintettek jogainak fenntartásában, beleértve az érintett hozzáférési kérelmének teljesítését azáltal, hogy az adott személy adatait tartalmazó dokumentumkészletet lekéri.
• HIPAA — az összes egészségügyi nyilvántartás tárolásának ismerete segít a biztonsági ellenőrzések végrehajtásában a megfelelő adatvédelem érdekében.
• ISO 27001-az információk érték és érzékenység szerinti osztályozása segít megfelelni a jogosulatlan közzététel vagy módosítás megelőzésére vonatkozó követelményeknek.
• NIST SP 800-53 — az adatok kategorizálása segíti a szövetségi ügynökségeket informatikai rendszereik megfelelő tervezésében és kezelésében.
• PCI DSS-az adatok osztályozása lehetővé teszi a fizetési kártyán használt fogyasztói pénzügyi információk azonosítását és biztonságát

az adatok osztályozásának típusai

• a tartalomalapú osztályozás megvizsgálja és értelmezi a fájlokat az érzékeny információk azonosítása érdekében.
• a Kontextusalapú osztályozás az alkalmazást, a helyet, az alkotói címkéket és más változókat az érzékeny információk közvetett mutatóiként vizsgálja.
• a felhasználó-alapú osztályozás az egyes dokumentumok személy általi kézi kiválasztásától függ.

példák Adatosztályozási kategóriákra

példa Alaposztályozási sémára

a legegyszerűbb séma a háromszintű osztályozás:

• nyilvános adatok-a nyilvánosság számára szabadon nyilvánosságra hozható adatok. Ilyenek például a vállalati Kapcsolattartási adatok és a böngésző cookie-kra vonatkozó irányelvei.
• belső adatok — alacsony biztonsági követelményekkel rendelkező, de nem nyilvános közzétételre szánt adatok, mint például a marketingkutatás.
• korlátozott adatok — rendkívül érzékeny belső adatok. A közzététel negatívan befolyásolhatja a műveleteket, és pénzügyi vagy jogi kockázatnak teheti ki a szervezetet. A korlátozott adatok a legmagasabb szintű biztonsági védelmet igénylik.

példa kormányzati osztályozási sémára

a kormányzati szervek gyakran három érzékenységi szintet használnak, de a fent felsoroltaktól eltérő címkéket adnak nekik: szigorúan titkos, titkos és nyilvános. Bonyolultabb adatstruktúrák esetén több szint is hozzáadható. Itt van egy ötszintű stratégia példákkal:

• szigorúan titkos — Kriptológiai és kommunikációs hírszerzés
• titkos — katonai tervek kiválasztása
• Bizalmas — a szárazföldi erők erejét jelző adatok
• érzékeny, nem osztályozott — “csak hivatalos használatra”címkével ellátott adatok
• nem Osztályozott — felhatalmazással nyilvánosan kiadható adatok

példa a kereskedelmi osztályozásra

a kereskedelmi adatokat tároló és feldolgozó szervezetek általában négy szintet használnak az adatok osztályozására: három bizalmas szintet és egy nyilvános szintet. Néhányan ezt ötszintű rendszerre bővítik, a következő szintekkel:

• érzékeny — szellemi tulajdon, PHI
• bizalmas — szállítói szerződések, munkavállalói vélemények
• magán — Ügyfélnevek vagy képek
• tulajdonosi — szervezeti folyamatok
• nyilvános — bárki számára nyilvánosságra hozható információ

Adatosztályozási folyamat

hatékony információosztályozás öt lépésben

1. adatosztályozási politika létrehozása, beleértve a célokat, a munkafolyamatokat, az Adatosztályozási sémát, az adattulajdonosokat és a kezelést
2. azonosítsa az Ön által tárolt érzékeny adatokat.
3. alkalmazza a címkéket az adatok címkézésével.
4. használja az eredményeket a biztonság és a megfelelőség javítása érdekében.
5. az adatok dinamikusak, az osztályozás pedig folyamatos folyamat.

hatékony Adatosztályozási házirend kiépítése

az adatosztályozási házirend olyan dokumentum, amely tartalmaz egy osztályozási keretet, az érzékeny adatok azonosításával kapcsolatos felelősségek listáját, valamint a különböző adatosztályozási szintek leírását.

jó osztályozási politika:

• olyan kritériumokat használ, amelyek egyértelműek és elkerülik a kétértelműséget, de amelyek elég általánosak ahhoz, hogy különböző adatkészletekre és körülményekre vonatkozzanak
• világos és egyszerű nyelven íródott
• megfelel a szervezet üzleti tevékenységének
• 3 vagy 4 osztályozási szintre korlátozódik
• kapcsolattartási pontot tartalmaz a pontosítás érdekében
• felülvizsgálatot hoz létre a szervezet schedule

adatosztályozási megoldás kiválasztása

keresse meg ezeket a funkciókat:

• összetett kifejezés keresés — javítja a pontosságot a hamis pozitív és hamis negatívok minimalizálásával.
• Index — lehetővé teszi az érzékeny kifejezések azonosítását az adatok újbóli feltérképezése nélkül.
• rugalmas taxonómia menedzser — megkönnyíti a feltételek és szabályok hozzáadását és módosítását.
• munkafolyamatok — automatikusan végrehajtja a konkrét műveleteket, ha egy dokumentumot bizonyos módon osztályoznak. Előfordulhat például, hogy egy munkafolyamat érzékeny adatokat távolít el egy nyilvános megosztástól.
• széles lefedettség — támogatja mind a felhő, mind a helyszíni adatforrásokat, beleértve a strukturált és a strukturálatlan adatokat is.

GYIK

mi az adatok osztályozásának célja?

az adatok osztályozása az adatok értéke és érzékenysége alapján kategóriákba rendezi az adatokat.

miért fontos az adatok osztályozása? Milyen előnyöket kínál?

az adatok osztályozása segít az Adatvédelmi erőfeszítések rangsorolásában az adatbiztonság és a jogszabályi megfelelés javítása érdekében. Javítja a felhasználói termelékenységet és a döntéshozatalt, és csökkenti a költségeket azáltal, hogy lehetővé teszi a szükségtelen adatok kiküszöbölését.

mik a közös adatosztályozási szintek?

az adatokat gyakran nyilvánosnak, bizalmasnak, érzékenynek vagy személyesnek minősítik.

melyek az adatok osztályozási típusai?

az osztályozás lehet tartalomalapú, kontextusalapú vagy felhasználói alapú (kézi).

milyen szoftvert használjak az adatok osztályozásához?

keresse meg a Netwrix által kínált adatosztályozási szoftvert, amely:

• összetett szókeresést használ a pontos besorolás biztosítása érdekében, amely minimalizálja a hamis pozitív eredményeket
• indexe van, így érzékeny kifejezéseket találhat anélkül, hogy újra feltérképezné az adattárolókat
• tartalmaz egy rugalmas taxonómia-kezelőt, amely lehetővé teszi a besorolási paraméterek testreszabását
• munkafolyamatokat biztosít az olyan folyamatok automatizálásához, mint például az érzékeny adatok nyilvános megosztásokból történő áttelepítése
• támogatja mind a helyiségek és felhőalapú tartalomforrások, beleértve a strukturált és strukturálatlan adatokat is

ki felelős az adatok osztályozásáért egy szervezet?

a szervezetek általában biztonsági és Kockázatkezelőt, Adatvédelmi menedzsert, megfelelőségi Bizottságot vagy hasonló szervezetet jelölnek ki.

a Netwrix termékmenedzsment alelnöke. Ilia felelős a Netwrix termék jövőképéért és stratégiájáért. Az információbiztonság elismert szakértője és a Forbes Technology Council hivatalos tagja. Az Ilia több mint 15 éves tapasztalattal rendelkezik az informatikai menedzsment szoftverek piacán. A Netwrix blogban Az Ilia a kiberbiztonsági trendekre, stratégiákra és kockázatértékelésre összpontosít.