Co to jest klasyfikacja danych?
Decydujesz, jakie dane są poufne dla twojej organizacji. Co teraz? Musisz sklasyfikować te dane. Klasyfikacja danych jest ważna, ponieważ umożliwia rozróżnienie między typami poufnych danych. Następnie można przygotować dane na odpowiedni poziom i metodę ochrony.
Klasyfikacja danych to podstawowy sposób określania i przypisywania wartości względnych do danych przez organizacje. Umożliwia organizacjom kategoryzowanie przechowywanych danych według poufności i wpływu na działalność biznesową. Ta kategoryzacja pomaga określić czynniki ryzyka związane z danymi. Po zakończeniu klasyfikacji organizacje mogą zarządzać danymi, aby odzwierciedlały jego wartość, zamiast traktować wszystkie dane w taki sam sposób. Klasyfikacja danych obsługuje świadome, przemyślane podejście. Takie podejście umożliwia organizacjom implementowanie optymalizacji, które nie są możliwe, jeśli wszystkie dane mają przypisaną tę samą wartość.
Uwaga
Klasyfikacja danych to sortowanie i oznaczanie dokumentów. Wiele lat temu organizacje zwykle przechowywały ważne informacje w formie papierowej. Dokumenty te były przechowywane w pudełkach lub szafkach zgłoszenia, z folderami wewnątrz. Niektóre z nich mogły mieć etykiety "Poufne" identyfikujące poufne treści. Po oznaczeniu tych folderów organizacje często przechowywały je w bezpiecznych lokalizacjach. Obecnie jednak podczas klasyfikowania formularzy elektronicznych oznaczasz je, dodając metadane. Te metadane określają klasyfikację danych i używają odpowiedniej technologii w celu ochrony danych.
Duże organizacje, takie jak Microsoft, instytucje rządowe i jednostki wojskowe, od dziesięcioleci używają klasyfikacji danych do zarządzania integralnością danych.
Pomyślna klasyfikacja danych wymaga:
- Szeroka świadomość potrzeb organizacji.
- Dokładne informacje o tym, gdzie znajdują się zasoby danych organizacji.
Dane istnieją w jednym z trzech podstawowych stanów:
- Magazynowanie
- W toku
- W trakcie przesyłania
Wszystkie trzy stany wymagają unikatowych rozwiązań technicznych do klasyfikacji danych. Można jednak zastosować te same zasady klasyfikacji danych do każdej z nich. Dane sklasyfikowane jako poufne muszą pozostać poufne w spoczynku, w procesie i podczas przesyłania. Klasyfikacja i ochrona nigdy nie mogą pozostawiać danych uznawanych za poufne.
Dane mogą być również ustrukturyzowane lub nieustrukturyzowane. Typowe procesy klasyfikacji danych strukturalnych, takie jak bazy danych i arkusze kalkulacyjne, są mniej złożone i czasochłonne do zarządzania. Z drugiej strony procesy klasyfikacji danych bez struktury, takie jak dokumenty, kod źródłowy i poczta e-mail, wymagają większego zarządzania. W większości przypadków organizacje mają więcej danych bez struktury niż dane ustrukturyzowane. Niezależnie od tego, ważne jest, aby organizacje zarządzały poufnością wszystkich danych. W przypadku prawidłowego wdrożenia klasyfikacja danych pomaga zapewnić zarządzanie poufnymi lub poufnymi elementami zawartości danych dzięki większej kontroli. Zasoby danych, które są uważane za publiczne lub wolne do dystrybucji, często wymagają mniejszego nadzoru.
Klasyfikacja danych i zgodność
Klasyfikacja danych dodaje metadane do dokumentów i przygotowuje dane do ochrony. Jednak pomaga również w zapewnianiu zgodności, prywatności i zapewnianiu ładu w danych. Na przykład oznaczanie danych jako poufnych nie tylko identyfikuje je w celu ochrony. Pozwala również innym stronom wiedzieć, jak zarządzać tymi danymi. Gdy pracownik wysyła dane pocztą e-mail i klasyfikuje je jako poufne lub poufne, odbiorca wiadomości e-mail powinien odpowiednio traktować odebrane dane. Przepisy dotyczące ochrony danych, takie jak RODO, określają metody i najlepsze rozwiązania dotyczące traktowania, uzyskiwania dostępu, przechowywania, używania i niszczenia poufnych danych.
Ważne jest również, aby pamiętać, że odpowiednie przepisy prawne i branżowe mogą upoważniać typy klasyfikacji danych. Te reguły mogą wymagać klasyfikowania różnych atrybutów danych. Na przykład firma Cloud Security Alliance wymaga, aby dane i obiekty danych zawierały typ danych, jurysdykcję pochodzenia i miejsca zamieszkania, kontekst, ograniczenia prawne i wrażliwość.
Jak wspomniano, znaczenie klasyfikacji danych różni się w kilku warstwach. W związku z tym ważne jest, aby osoby zarządzające danymi rozumiały klasyfikację danych i różniły się od ochrony danych. Organizacje muszą podnieść świadomość klasyfikacji danych w odniesieniu do ładu danych, a nie tylko ochrony danych. Zwykle ochrona danych wynika z klasyfikacji danych. Jednak chronione dane muszą być dostępne dla osób, które ich potrzebują. Następnie ci ludzie muszą zrozumieć, jak zarządzać chronionymi danymi na podstawie sposobu ich klasyfikowania, a nie sposobu ich ochrony.