Taxonomie der Datenklassifizierung & Vertraulichkeitsbezeichnungen
Vertrauliche Daten stellen ein erhebliches Risiko für ein Unternehmen dar, wenn sie gestohlen, versehentlich geteilt oder durch eine Sicherheitsverletzung offengelegt werden. Zu den Risikofaktoren gehören Reputationsschäden, finanzielle Auswirkungen und Verlust von Wettbewerbsvorteilen. Der Schutz der Daten und Informationen, die Ihr Unternehmen verwaltet, hat für Ihre organization oberste Priorität, aber es fällt Ihnen möglicherweise schwer zu wissen, ob Ihre Bemühungen wirklich effektiv sind, angesichts der Menge an Inhalten, die in Ihrem Unternehmen gespeichert sind.
Zusätzlich zum Volumen können Ihre Inhalte von hoher Empfindlichkeit und Auswirkung bis hin zu trivialen und vorübergehenden Inhalten reichen. Es kann auch im Rahmen verschiedener gesetzlicher Compliance-Anforderungen stehen. Es kann eine Herausforderung sein, zu wissen, was priorisiert und wo Steuerelemente angewendet werden sollen. Lesen Sie weiter, um mehr über die Datenklassifizierung zu erfahren, ein wichtiges Tool zum Schutz Ihrer Inhalte vor Diebstahl, Sabotage oder unbeabsichtigter Zerstörung, und wie Microsoft 365 Ihnen helfen kann, Ihre Ziele für die Informationssicherheit zu erreichen.
Was ist die Datenklassifizierung?
Datenklassifizierung ist ein spezieller Begriff, der in den Bereichen Cybersicherheit und Informationsgovernance verwendet wird, um den Prozess der Identifizierung, Kategorisierung und des Schutzes von Inhalten entsprechend ihrer Vertraulichkeit oder Auswirkungsstufe zu beschreiben. In ihrer grundlegendsten Form ist die Datenklassifizierung ein Mittel, um Ihre Daten vor unbefugter Offenlegung, Änderung oder Zerstörung zu schützen, je nachdem, wie sensibel oder wirkungsvoll sie sind.
Was ist ein Datenklassifizierungsframework?
Ein Datenklassifizierungsframework (auch als "Datenklassifizierungsrichtlinie" bezeichnet) wird häufig in einer formellen, unternehmensweiten Richtlinie kodifiziert und besteht in der Regel aus 3 bis 5 Klassifizierungsebenen. Diese umfassen in der Regel drei Elemente: einen Namen, eine Beschreibung und reale Beispiele. Microsoft empfiehlt nicht mehr als fünf übergeordnete Bezeichnungen der obersten Ebene mit jeweils fünf Untergeordneten Bezeichnungen (insgesamt 25), um die Benutzeroberfläche (UI) zu verwalten. Ebenen sind in der Regel von der geringsten bis zur höchsten Vertraulichkeit angeordnet, z. B. öffentlich, intern, vertraulich und strengvertraulich. Andere Namensvariationen der Ebene können eingeschränkt, uneingeschränkt und Verbraucherschutz auftreten. Microsoft empfiehlt Bezeichnungsnamen, die selbstdeskriptiv sind und ihre relative Empfindlichkeit deutlich hervorheben. Beispielsweise können "Vertraulich " und " Eingeschränkt " dazu führen, dass Benutzer erraten, welche Bezeichnung geeignet ist, während "Vertraulich " und " Streng vertraulich " klarer sind, was sensibler ist.
Die folgende Tabelle zeigt ein Beispiel für eine Datenklassifizierungsframeworkebene für streng vertrauliche Daten:
Klassifizierungsebene | Beschreibung | Beispiele |
---|---|---|
Streng vertraulich | Streng vertrauliche Daten sind die vertraulichsten Arten von Daten, die vom Unternehmen gespeichert oder verwaltet werden, und können rechtliche Benachrichtigungen erfordern, wenn sie verletzt oder anderweitig offengelegt werden. Eingeschränkte Daten erfordern das höchste Maß an Kontrolle und Sicherheit, und der Zugriff sollte auf "need-to-know" beschränkt sein. |
Vertrauliche personenbezogene Informationen (vertrauliche personenbezogene Informationen) Karteninhaberdaten Geschützte Gesundheitsinformationen (PHI) Bankkontodaten |
Tipp
Das Unternehmensdatenklassifizierungsframework von Microsoft verwendete in der Pilotphase ursprünglich eine Kategorie und Bezeichnung namens "Intern", stellte aber fest, dass es legitime Gründe dafür gab, dass ein Dokument extern freigegeben und auf "Allgemein" umgestellt wurde.
Eine weitere wichtige Komponente eines Datenklassifizierungsframeworks sind die den einzelnen Ebenen zugeordneten Steuerelemente. Datenklassifizierungsebenen sind einfach Bezeichnungen (oder Tags), die den Wert oder die Empfindlichkeit des Inhalts angeben. Um diese Inhalte zu schützen , definieren Datenklassifizierungsframeworks die Steuerelemente, die für jede Ihrer Datenklassifizierungsebenen vorhanden sein sollten. Diese Steuerelemente können Anforderungen in Bezug auf Folgendes umfassen:
- Speichertyp und Speicherort
- Verschlüsselung
- Zugriffssteuerung
- Datenvernichtung
- Verhinderung von Datenverlust
- Veröffentlichung
- Protokollierung und Nachverfolgung des Zugriffs
- Andere Kontrollziele, je nach Bedarf
Ihre Sicherheitskontrollen variieren je nach Datenklassifizierungsebene, sodass die in Ihrem Framework definierten Schutzmaßnahmen der Vertraulichkeit Ihrer Inhalte angemessen sind. Die Anforderungen an die Datenspeicherungssteuerung variieren beispielsweise abhängig von den verwendeten Medien und der Klassifizierungsstufe, die auf einen bestimmten Inhalt angewendet wird. Die folgende Tabelle zeigt ein Beispiel für Datenklassifizierungssteuerelemente für einen bestimmten Speichertyp:
Speichertyp | Vertraulich | Intern | Uneingeschränkte |
---|---|---|---|
Wechseldatenträger | Verboten | Verboten, es sei denn, verschlüsselt | Keine Kontrolle erforderlich |
Das richtige Anwenden der richtigen Datenklassifizierung kann in realen Situationen komplex sein und endbenutzer manchmal überfordern. Nachdem eine Richtlinie oder ein Standard erstellt wurde, die die erforderlichen Ebenen der Datenklassifizierung definiert, ist es wichtig, endbenutzer dabei zu unterstützen, wie sie dieses Framework in ihrer täglichen Arbeit zum Leben erwecken können. In diesem Bereich kommen Regeln oder Richtlinien für die Datenklassifizierung ins Feld.
Richtlinien für die Datenklassifizierung helfen Endbenutzern dabei, spezifische Anleitungen zum angemessenen Umgang mit den einzelnen Datenebenen für unterschiedliche Speichermedien während ihres gesamten Lebenszyklus zu erhalten. Diese Richtlinien helfen Endbenutzern, Regeln in der Praxis ordnungsgemäß anzuwenden, für instance beim Freigeben von Dokumenten, Senden von E-Mails oder zusammenarbeiten über verschiedene Plattformen und Organisationen hinweg.
Microsoft-Kunden geben an, dass etwa 50 % eines Information Protection Projekts eher geschäftsorientiert als technisch sind, sodass Schulungen und Kommunikation für Endbenutzer entscheidend für den Erfolg sind.