اهمیت طبقه بندی اطلاعات برای امنیت داده ها
بیایید نگاهی بیندازیم به دلایل اهمیت طبقه بندی اطلاعات. سپس یک مثال عملی از طبقه بندی داده ها را بررسی خواهیم کرد.
طبقه بندی داده ها همانند دانستن اینکه چه داده ای دارید و چه کسی میتواند به آن دسترسی پیدا کند، بخشی اساسی در تأمین اطلاعات سازمان شما است.
این فرآیند شناسایی و اختصاص سطح حساسیت از پیش تعیین شده به انواع مختلف اطلاعات است. اگر سازمان شما اطلاعات شما را بدرستی طبقه بندی نمیکند، بنابراین نمیتوانید از داده های خود به درستی محافظت کنید.
طبقه بندی داده ها چیست؟
طبقه بندی داده ها تنها به معنای درک انواع داده های شما نیست، بلکه کارهایی که با آنها انجام میدهید را شامل میشود.
بعنوان مثال، یک موسسه مالی درخواست رهن شخص را دربر میگیرد، که شامل اطلاعات شخصی غیرعمومی (NPPI) مانند سطح درآمد، آدرس خانه فعلی، آدرس خانه قبلی آنها، سایر اطلاعات وام و غیره است. این اطلاعات باید محافظت شود. با این حال، سطح حفاظتی که اعمال میشود به طبقه بندی اختصاص داده شده بستگی دارد.
هر سازمانی باید تعاریفی داشته باشد که چه نوع اطلاعات در کدام گروهها قرار میگیرد.
دسته ها اغلب شامل یک سلسله مراتب حساسیت مشترک هستند: اطلاعات حساس، محافظت شده، محرمانه و عمومی.
نحوه نامگذاری و تعریف دسته بندی ها ممکن است تا حدی برای یک سازمان منحصر بفرد باشد، اما دسته های متداولی مانند موارد فوق وجود دارد که غالباً استفاده میشوند.
صرف نظر از این، داشتن دسته بندی ها و درک نوع اطلاعاتی که هر دسته شامل آن است، برای تعیین نحوه مدیریت آن اطلاعات بسیار مهم است. هر دسته باید شامل دستورالعملهای روشنی برای کنترل و سطح کنترلهای مجاز باشد.
الزامات طبقه بندی اطلاعات
بسته به نوع سازمان، الزامات نظارتی پیرامون نحوه مدیریت داده وجود دارد. الزامات ممکن است بسته به دسته داده ها متفاوت باشد. آیا باید در حالت استراحت رمزگذاری شود یا در حال حمل و نقل باشد؟ آیا وقتی برای کارمندان که برای انجام وظایف شغلی خود نیازی به دیدن ندارند، باید ماسک زده شود؟
هر دو قانون دولتی و محلی وجود دارد که بر سازمان شما و داده هایی که در اختیار دارید تأثیر میگذارد. مهم است که بدانید چه مواردی در مورد شما اعمال میشود و چگونه همه آنها با هم کار میکنند. اگر طبقه بندی و مدیریت صحیح داده های خود را انجام ندهید، ممکن است با مجازات روبرو شوید، بخصوص اگر در مواردی که داده های محافظت شده قانونی در معرض تخلف است، نقض شود.
اهمیت طبقه بندی اطلاعات برای اهداف حفظ حریم خصوصی نیز آشکار است. شرایط حریم خصوصی معمولاً به نحوه استفاده از داده ها و نه لزوماً به نحوه مدیریت داده ها متمرکز است.
بعنوان مثال، شما لیستی از مشتریان دارید و از طریق تجزیه و تحلیل، کسانی را که ممکن است برای خرید خانه جدید آماده باشند، تعیین کرده اید. نحوه استفاده از آن داده ها و نحوه به اشتراک گذاری آن داده ها ممکن است برای حفاظت از حریم خصوصی تنظیم شود.
هنگام توسعه طبقه بندی داده ها، مهم است که هم الزامات نظارتی و هم هرگونه حریم خصوصی (که بیشتر و بیشتر شاهد آن هستیم) که ممکن است در مورد داده های شما اعمال شود، در نظر گرفته شوند.
چرا طبقه بندی داده ها مهم است؟
اهمیت طبقه بندی اطلاعات به سازمان شما این امکان را میدهد تا کنترلهای مناسب را بر اساس دسته های از پیش تعیین شده داده ها اعمال کند.
به یاد داشته باشید، کنترلهای شما اغلب با هزینه همراه است. برای انواع داده ها لزوماً به همان نوع کنترلها احتیاج ندارید.
بروشور بازاریابی آنلاین را در نظر بگیرید. شما میخواهید برای همه قابل مشاهده باشد، فقط نمیخواهید کسی بتواند آن را تغییر دهد. این امر میتواند سطح کنترل متفاوتی از چیزی مانند پرونده اعتباری را داشته باشد که فقط افراد خاص باید آن را مشاهده کنند. شما از سطح کنترل امنیتی لازم برای داده هایی که هنگام طبقه بندی آنها بکار میبرید، استفاده میکنید.
طبقه بندی داده های شما میتواند باعث صرفه جویی در وقت و هزینه شما شود زیرا شما میتوانید روی موارد مهم تمرکز کنید و وقت خود را با قرار دادن کنترلهای غیر ضروری تلف نکنید.
برای مثال، یک مدیر منابع انسانی، که بسیار سخت کوش و وظیفه شناس در مورد نیازهای کاری خود است، باید داده های خام را برای تجزیه و تحلیل به خانه ببرد. او فایلهای مراقبتهای بهداشتی و فایلهای پرسنل را از شبکه خود روی لپ تاپ محل کار خود کپی میکند.
در راه بازگشت به خانه، در فروشگاه مواد غذایی توقف میکند و لپ تاپ خود را در صندوق عقب ماشین خود قفل میکند. متأسفانه، یک مجرم با استفاده از آخرین ترفند تقویت کننده fob key، اتومبیل را میدزدد. ماشین و لپ تاپ همراه با اطلاعات مراقبتهای بهداشتی محافظت شده و سوابق شخصی برای همه کارمندان گم شده اند!
عواقب آن چیست؟ آیا این یک رویداد قابل گزارش است؟
پاسخ به این امر به نحوه طبقه بندی این اطلاعات توسط کارفرمای وی و کنترلهایی که برای مدیریت آن لپ تاپ وجود دارد، بستگی خواهد داشت.
