طبقه بندی اطلاعات یک مفهوم ساده است. طرحی است که توسط آن، سازمان به هر بخشی از اطلاعاتی که متعلق به خود است و از آن نگهداری میکند، یک سطح از حساسیت و یک مالک را اختصاص میدهد.
در تجارت، سازمانها برای تعیین سطوح محرمانه بودن هر یک از اطلاعات ایجاد شده یا نگهداری شده توسط سازمان، طرحهای طبقه بندی داده را اتخاذ میکنند.
یک طرح طبقه بندی اطلاعات شرکتی ممکن است شامل طبقه بندی های اطلاعاتی از جمله: محرمانه شرکت، خصوصی، حساس و عمومی میباشد.
چنین طرحی امنیت داده را تا حد زیادی تسهیل میکند، زیرا بلافاصله سطح حفاظت لازم برای هر داده و همچنین مخاطبانی را که ممکن است آنرا مشاهده کنند، شناسایی و انتقال میدهد.
بعنوان مثال، سندی که بعنوان “محرمانه شرکت” برچسب گذاری شده است به راحتی تشخیص داده میشود که در خارج از شرکت منتشر نمیشود. بعلاوه، افرادی که ممکن است به اطلاعاتی دسترسی داشته باشند را برای یک گروه مشخص محدود میکند.
یک طرح خوب طبقه بندی اطلاعات همچنین دارای یک عنصر زمان است، تا به اطلاعات اجازه دهد وضعیت خود را در یک تاریخ خاص تغییر دهد.
بعنوان مثال میتوان به اعلامیه سود یک شرکت سهامی عام اشاره کرد که ممکن است تا تاریخ اعلام سود و در آن زمان “عمومی” بودن آن، محرمانه باشد.
بدون طرح طبقه بندی داده ها، یک سازمان با همه اطلاعات یکسان رفتار میکند و امکان به خطر افتادن اطلاعات حساس را افزایش میدهد.
ضرورت طبقه بندی اطلاعات
یکی از عناصر بنیادی یک برنامه امنیت اطلاعات، وجود و پیروی از طرح طبقه بندی اطلاعات است.
با اینحال، بسیاری از سازمانها -حتی سازمانهایی که متعهد به محافظت از اطلاعات شرکت و مشتری هستند- قادر به طبقه بندی اطلاعات نیستند.
در فضای امنیتی امروز، حفاظت از داده ها فقط یک ضرورت قانونی نیست، بلکه برای بقا و سودآوری سازمانی حیاتی است.
ذخیره سازی ارزان است و سازمانها به احتکار کنندگان اطلاعات تبدیل شده اند. یک روز- آنها فکر میکنند- میتوانند همه اطلاعات را برای کار مفید استخراج کنند.
احتکار اطلاعات میتواند مسائل جدی ایجاد کند. بسیاری از موارد جمع آوری شده ممکن است زائد، منسوخ، پیش پا افتاده (ROT) یا ناشناخته باشد و سالهاست که استفاده نشده است.
فضای ذخیره سازی ممکن است ارزان باشد اما رایگان نیست. ذخیره مقدار زیادی اطلاعات غیر ضروری، هزینه ها را افزایش میدهد و مهمتر از همه، سازمان شما را در معرض خطر قرار میدهد.
اطلاعات حساسی که بصورت دیجیتالی ذخیره میشوند- از جمله مالکیت معنوی، شناسایی اطلاعات شخصی مربوط به مشتریان یا کارمندان مانند شماره های تأمین اجتماعی، اطلاعات حساب مالی و جزئیات کارت اعتباری- باید بدرستی ایمن شوند.
اگر یافتن اطلاعات مهم مانند جستجوی سوزن در انبار کاه است، سازمان شما ایمن نیست.
برای محافظت از اطلاعات، شما نیاز است که تعیین کنید که چه چیزهایی مهم است و چه چیزهایی مهم نیست.
مشخص کنید که اطلاعات حساس در کجا قرار دارد، سیاستهایی را برای مدیریت آنها تعیین کنید، کنترلهای فنی مناسب را پیاده سازی کنید.
به کاربران درباره تهدیدات فعلی اطلاعاتی که با آنها کار میکنند و همچنین بهترین روشها برای ایمن نگه داشتن آنها، آموزش دهید.
اما این کار ساده ای نیست. هر سازمانی متفاوت است و هیچ استراتژی محافظ داده ای متناسب با همه وجود ندارد.
نقش طبقه بندی اطلاعات
برای اطمینان از امنیت موثر، ابتدا باید دقیقاً تعیین کنید که چه اطلاعاتی نیاز به محافظت دارند.
طبقه بندی اطلاعات یک مرحله مهم است. این به سازمانها اجازه میدهد تا ارزش تجاری اطلاعات غیرساختاری را در زمان ایجاد شناسایی کنند.
اطلاعات ارزشمندی که ممکن است مورد هدف قرار بگیرند را از اطلاعات کم ارزش جدا کنند و در مورد تخصیص منابع تصمیمات آگاهانه بگیرند تا اطلاعات از دسترسی غیرمجاز ایمن شوند.
اطلاعات به گروههای از پیش تعریف شده تقسیم میشوند که دارای یک خطر مشترک هستند و کنترلهای امنیتی مربوطه که برای ایمن سازی هر نوع گروه لازم است، مشخص میشوند.
از ابزارهای طبقه بندی میتوان برای بهبود عملکرد و استفاده از اطلاعات حساس و ارتقاء امنیتی استفاده کرد که باعث افزایش آگاهی از حساسیت به داده ها میشود و از ذخیره محتوای حساس در رسانه های متحرک یا پورتالهای وب شخص ثالث جلوگیری میکند.
همانطور که محصولات دارای برچسب هشدار دهنده با رنگهای چشم نواز میتوانند با آگاهی از خطرات منجر به آسیب، رفتار ما را تغییر دهند، برچسبهای تصویری و علامتهای آبی مانند “محرمانه” میتوانند به کاربران یادآوری کنند که باید دو بار فکر کنند و با احتیاط بیشتری با اطلاعات دیجیتال و نسخه های فیزیکی رفتار کنند.
طبقه بندی موفقیت آمیز اطلاعات، کنترلهای امنیتی اعمال شده روی مجموعه خاصی از اطلاعات را هدایت میکند.
این میتواند به سازمانها کمک کند تا الزامات نظارتی- مانند موارد موجود درGDPR- را برای بازیابی اطلاعات خاص در یک بازه زمانی مشخص، برآورده کنند.
چرا اجرای طبقه بندی اطلاعات مشکل است
بسیاری از سازمانها یک مشکل اساسی دارند: آنها هیچ طرح طبقه بندی داده ای ندارند.
اگر طبقه بندی اطلاعات یک نیاز اساسی برای امنیت اطلاعات است، چه چیزی این عدم موفقیت را توضیح میدهد؟
اول، برخی از متخصصان امنیتی بر طرحی اصرار دارند که از نظر تئوری کامل است، اما اجرای آن در همه سازمانها بجز منظم ترین سازمانها دشوار است.
مثال: اگر بیشتر کاربران از اقدامات اساسی امنیتی بی اطلاع باشند، اجرای موفقیت آمیز یک طرح طبقه بندی اطلاعات چالش برانگیز خواهد بود.
برنامه طبقه بندی اطلاعات درصورتی موثر خواهد بود که کارمندان بخواهند اطلاعات را بدرستی طبقه بندی کرده و آنرا حفظ کنند. اگر طرح بیش از حد پیچیده یا محدود کننده باشد، بدلیل عدم استفاده از آن شکست میخورد.
یک سازمان با استفاده از یک طرح طبقه بندی اطلاعات ساده که بصورت عملی- حتی از نظر تئوریک ناقص باشد- بهتر از یک طرح کامل که فقط به نام وجود دارد، عمل خواهد کرد.
دوم، توسعه و اجرای طبقه بندی اطلاعات میتواند کاملاً گران باشد.
هزینه ها دو برابر هزینه توسعه طرح طبقه بندی اطلاعات با کنترلهای مناسب بر اساس هر کلاس داده و سپس آموزش کارکنان برای شناسایی و طبقه بندی اطلاعات است.
برای سازمانهای مراقبتهای بهداشتی و خدمات مالی که طبق قانون، طبقه بندی اطلاعات لازم است، هزینه از نظر انطباق با مقررات منطقی است.
اما برای سازمانهای غیرتنظیمی، درصورتیكه مستقیماً منجر به درآمدزایی نشوند، توجیه آن برای مدیریت دشوار است.
در بسیاری از شرکتها، برنامه امنیتی از نفوذ سیاسی لازم برای جلب مقبولیت برای چنین ابتکار جاه طلبانه ای برخوردار نیست. این نوع تلاش با الزام به تغییر در روش انجام کار، بر کل سازمان تأثیر میگذارد.
انواع طبقه بندی اطلاعات
بسته به حساسیت داده هایی که سازمان در اختیار دارد، طبقه بندی های مختلفی باید وجود داشته باشد، که تعدادی از موارد را تعیین میکند، از جمله اینکه چه کسی به این داده ها دسترسی دارد و چه مدت داده ها باید حفظ شوند.
بطور معمول، چهار طبقه بندی برای داده وجود دارد: عمومی، فقط داخلی، محرمانه و محدود.
-
داده های عمومی – Public data
این نوع داده ها بطور آزادانه برای عموم قابل دسترس است (یعنی همه پرسنل شرکت). میتواند آزادانه مورد استفاده، استفاده مجدد و توزیع مجدد بدون پیشگیری، قرار گیرد.
بعنوان مثال؛ میتواند شامل نام و نام خانوادگی، شرح وظایف یا اطلاعیه های مطبوعاتی باشد.
-
داده های فقط داخلی – Internal-only data
این نوع داده ها برای پرسنل داخلی شرکت یا کارمندان داخلی که اجازه دسترسی دارند کاملاً قابل دسترسی است.
این ممکن است شامل یادداشت های فقط داخلی یا سایر ارتباطات، برنامه های تجاری و غیره باشد.
-
داده های محرمانه – Confidential data
دسترسی به داده های محرمانه نیاز به مجوز و یا حتی مجوز خاص دارد.
انواع داده های محرمانه ممکن است شامل شماره های تأمین اجتماعی، داده های دارندگان کارت و موارد دیگر باشد. معمولاً اطلاعات محرمانه توسط قوانینی مانند HIPAA و PCI DSS محافظت میشوند.
-
داده های محدود – Restricted data
داده های محدود شامل داده هایی است که درصورت خدشه دار شدن یا دسترسی بدون مجوز، میتواند منجر به اتهامات کیفری و جریمه های قانونی زیادی شود یا خسارت جبران ناپذیری به شرکت وارد کند.
نمونه هایی از داده های محدود ممکن است شامل اطلاعات اختصاصی یا تحقیقاتی و داده های محافظت شده توسط مقررات ایالتی و فدرال باشد.
نکات عملی برای اجرای طرح طبقه بندی اطلاعات
با توجه به اینکه این چالشها اکنون روی میز است، بیایید برخی از رویکردهای عملی برای اجرای طرح طبقه بندی اطلاعات را بررسی کنیم:
1. تأثیرگذارهای اصلی را زود بیاورید.
صرف نظر از رویکرد انتخاب شده، مهم است که ذینفعان اصلی، بخشی از استراتژی و طراحی طبقه بندی اطلاعات باشند.
افرادی که احساس میکنند بخشی از استراتژی هستند، به احتمال زیاد در حین اجرا از آن حمایت میکنند.
2. انواع اطلاعات را دسته بندی کنید.
تعیین اینکه چه نوع داده های حساسی در سازمان شما وجود دارد، میتواند چالشهایی بوجود آورد.
تلاشی است که باید حول فرآیندهای کسب و کار سازماندهی شود و صاحبان فرآیند آن را هدایت کنند. ردیابی جریان داده، بینشی را در مورد اینکه چه داده هایی و چگونه باید محافظت شوند، فراهم میکند.
سوالات زیر را در نظر بگیرید:
- سازمان شما چه داده های مشتری و شریک را جمع آوری میکند؟
- چه اطلاعاتی در مورد آنها ایجاد میکنید؟
- چه داده های اختصاصی ایجاد میکنید؟
- با چه داده های معامله ای سروکار دارید؟
- از بین تمام داده های جمع آوری شده و ایجاد شده، چه مواردی محرمانه است؟
3. مکان اطلاعات خود را کشف کنید.
پس از ایجاد انواع اطلاعات در سازمان، مهم است که همه مکانهایی را که اطلاعات بصورت الکترونیکی ذخیره میشوند فهرست کنید. جریان اطلاعات به داخل و خارج از سازمان یک نکته اساسی است.
- چگونه سازمان شما اطلاعات داخلی و خارجی را ذخیره و به اشتراک میگذارد؟
- آیا از سرویسهای مبتنی بر cloud مانند Dropbox، Box، OneDrive و غیره استفاده میکنید؟ دستگاههای موبایل چطور؟
ابزارهای کشف داده میتوانند به تولید موجودی از اطلاعات غیرساختاری کمک کرده و به شما کمک کنند بدون در نظر گرفتن قالب و مکان، دقیقاً محل ذخیره اطلاعات شرکت خود را درک کنید.
این ابزارها همچنین با ارائه بینش درباره کاربرانی که اطلاعات را مدیریت میکنند، به رفع مشکلات شناسایی مالکان داده کمک میکنند.
در تلاشهای خود برای کشف، میتوانید کلمات کلیدی یا انواع خاص یا قالبهای داده مانند شماره پرونده پزشکی، شماره های تأمین اجتماعی یا شماره کارت اعتباری را در آن بگنجانید.
4. داده ها را شناسایی و طبقه بندی کنید.
فقط پس از دانستن اینکه اطلاعات شما در کجا ذخیره شده اند، میتوانید آنها را شناسایی کرده و سپس طبقه بندی کنید تا بطور مناسب محافظت شود.
سیستمهای طبقه بندی قوی قابلیتهای؛ کاربر محور، پیشنهادی سیستم و خودکار را ارائه میدهند:
- تهیه منویی از گزینه های طبقه بندی داده های متناسب.
- شناسایی محتوا در یک مورد داده و به دنبال آن ارائه گزینه های طبقه بندی برای انتخاب توسط کاربر.
- اتوماسیون که از طریق آن سیستم طبقه بندی مناسب را بر اساس موتورهای تجزیه و تحلیل با ورودی کاربر محدود (در صورت وجود) انتخاب میکند.
5. کنترلها را فعال کنید.
برای اطمینان از وجود راه حلهای مناسب، اقدامات اساسی امنیت سایبری را تعیین کرده و کنترلهای مبتنی بر سیاست را برای هر برچسب طبقه بندی اطلاعات تعریف کنید.
داده های با ریسک بالا به سطح محافظت پیشرفته تری نیاز دارند در حالیکه داده های کم خطر به محافظت کمتری نیاز دارند.
با درک محل استقرار اطلاعات و ارزش سازمانی آنها، میتوانید کنترلهای امنیتی مناسب را بر اساس خطرات مرتبط پیاده سازی کنید.
فراداده طبقه بندی را میتوان با جلوگیری از سرقت اطلاعات (DLP)، رمزگذاری و سایر راه حلهای امنیتی برای تعیین حساسیت اطلاعات و نحوه محافظت از آنها، استفاده کرد.
6. نظارت و نگهداری کنید.
برای نظارت و حفظ سیستم طبقه بندی اطلاعات سازمان، در صورت لزوم، بروزرسانی ها را انجام دهید. سیاستهای طبقه بندی باید پویا باشد.
شما باید فرآیندی برای بررسی و بروزرسانی ایجاد کنید که شامل کاربران شود و اطمینان حاصل کنند که رویکرد شما پاسخگوی نیازهای متغیر تجارت است.
7. شبکه ها را بجای داده ها طبقه بندی کنید.
برای سازمانهایی که بنظر میرسد طبقه بندی داده ها یک هدف غیرقابل دسترسی است، سعی کنید شبکه ها را بجای داده ها طبقه بندی کنید.
اگر یک شبکه حاوی داده های حساس باشد، آنرا بعنوان یک شبکه محرمانه یا حساس طبقه بندی میکند. سپس طبقه بندی شبکه نوع کنترلهای امنیتی را که شبکه باید داشته باشد الزام میکند.
برای مثال، شبکه ای که دسترسی به اطلاعات محرمانه را فراهم میکند ممکن است فایروال هایی را که از محیط محافظت میکنند و اتصال از طریق شبکه های دیگر و همچنین نظارت و ورود به سیستم گسترده تر را محدود میکند، محافظت کند.
طبقه بندی شبکه یک تمرین بی اهمیت نیست، اما اغلب آسانتر از اجرای یک طرح جامع طبقه بندی داده برای اطلاعاتی است که بصورت دیجیتالی در سازمانهای بزرگ ذخیره میشود.
همانطور که دیدیم، طبقه بندی داده ها یک نیاز اساسی برای امنیت اطلاعات و پیشگیری از نشت اطلاعات است و عواقب عدم اجرای کامل طرح طبقه بندی داده ها میتواند شدید باشد.
با این وجود، بسیاری از سازمانها طبقه بندی اطلاعات را اجرا نمیکنند. بنابراین، مدیر ارشد امنیت اطلاعات باید بر اساس انتظارات واقع بینانه، در پیشنهاد و توسعه این طرح خردمندانه عمل کند.
در پایان، دستورالعملهای عملی ذکر شده در این مقاله سودآور خواهد بود، حتی اگر طرح ایده آل طبقه بندی اطلاعات بلافاصله قابل دستیابی نباشد.
همه داده ها برابر نیستند
از زمان ایجاد اطلاعات تا نابودی آنها، طبقه بندی اطلاعات میتواند به سازمان شما کمک کند تا از محافظت، ذخیره و مدیریت موثر آنها اطمینان حاصل کند.
قرار دادن طبقه بندی اطلاعات در قلب استراتژی محافظت از داده ها به شما امکان میدهد خطرات مربوط به اطلاعات حساس را کاهش دهید، تصمیم گیری را افزایش داده و اثربخشی DLP، رمزگذاری و سایر کنترلهای امنیتی را افزایش دهید.
با ایجاد یک طرح طبقه بندی ساده، ارزیابی و مکان یابی جامع اطلاعات و پیاده سازی راه حلهای مناسب، سازمان شما میتواند اطمینان حاصل کند که اطلاعات حساس بطور مناسب اداره میشوند و تهدیدات مربوط به تجارت شما را کاهش میدهد.