Обзор классификации данных
- 8 мин
Конфиденциальные данные представляют значительный риск для компании в случае их кражи, непреднамеренного распространения или раскрытия в результате взлома. Факторы риска включают репутационный ущерб, финансовые последствия и потерю конкурентных преимуществ. Защита данных и информации, которыми управляет компания, является главным приоритетом для всех организаций. Однако некоторым может быть трудно понять, действительно ли их усилия эффективны, учитывая объем хранимого контента.
Помимо объема, контент организации может варьироваться по важности от очень конфиденциального и влиятельного до тривиального и временного. Он также может подпадать под действие различных нормативных требований. Зная, где следует расставить приоритеты и где применять элементы управления, может оказаться непростой задачей.
Организации решают эти проблемы, реализуя классификацию данных. Классификация данных — это специализированный термин, используемый в области кибербезопасности и управления жизненным циклом данных. Она описывает процесс идентификации, категоризации и защиты контента в зависимости от его чувствительности или уровня воздействия. В самом базовом понимании классификация данных — это средство защиты данных организации от несанкционированного раскрытия, изменения или уничтожения в зависимости от уровня их конфиденциальности или производимого эффекта.
Организации классифицируют данные разными способами, в том числе:
- Метки конфиденциальности
- Метки хранения
- Типы конфиденциальной информации
- Обучаемые классификаторы
Что такое система классификации данных?
Организации часто кодируют инфраструктуру классификации данных (иногда называемую "политикой классификации данных") в формальной политике всего предприятия. Инфраструктуры классификации данных обычно состоят из трех-пяти уровней классификации. Эти уровни обычно включают три элемента: имя, описание и примеры из реальной жизни.
Корпорация Майкрософт рекомендует использовать не более пяти родительских меток верхнего уровня, каждая из которых содержит максимум пять вложенных меток (всего 25), чтобы обеспечить управляемость пользовательского интерфейса. Пользовательский интерфейс обычно распределяет уровни от наименее деликатного к наиболее чувствительному, например:
- Общедоступные
- Внутренний
- Конфиденциально
- Строго конфиденциально
Вы можете столкнуться с другими вариантами имен уровней:
- Restricted
- Без ограничений
- Защищено потребителем
Корпорация Майкрософт рекомендует использовать имена меток, которые говорят сами за себя. Им также следует четко подчеркивать свою относительную чувствительность. Например, при выборе имен Конфиденциально и Ограниченно пользователи могут гадать, какая метка подходит. Для сравнения, имена Конфиденциально и Совершенно конфиденциально лучше отражают, что является более чувствительным.
В следующей таблице показан пример уровня инфраструктуры классификации строго конфиденциальных данных:
| Уровень классификации | Описание | Примеры |
|---|---|---|
| Строго конфиденциально | Строго конфиденциальные данные — это наиболее конфиденциальный тип данных, хранящихся или управляемых предприятием, и в случае их взлома или иного раскрытия могут потребоваться юридические уведомления. Данные с ограниченным доступом требуют высочайшего уровня контроля и безопасности. Организации должны ограничить доступ до уровня "необходимости знать". |
- Персональные данные пользователей - Данные держателя карты - Защищенная медицинская информация (PHI) - Данные банковского счета |
Совет
В системе классификации корпоративных данных Майкрософт изначально использовалась категория и метка "Внутренние". Однако на пилотном этапе выяснилось, что существуют законные причины для обмена некоторыми документами за пределами организации. Таким образом, вместо "Внутренние" она переключилась на использование метки "Общие".
Другим важным компонентом инфраструктуры классификации данных являются элементы управления, связанные с каждым уровнем. Уровни классификации данных сами по себе представляют собой просто метки (или теги), которые указывают ценность или конфиденциальность контента. Для защиты этого содержимого структуры классификации данных определяют элементы управления, которые должны быть предусмотрены для каждого уровня классификации данных. Эти средства управления могут включать требования, связанные с:
- Тип и расположение хранилища
- Шифрование
- Управление доступом.
- Уничтожение данных
- Защита от потери данных
- Публичное раскрытие
- Ведение журнала и отслеживание доступа
- Другие цели управления при необходимости
Элементы управления безопасностью организации различаются в зависимости от уровня классификации данных. Например:
- Защитные меры, определенные в рамках организации, могут возрастать соразмерно конфиденциальности контента.
- Требования к управлению хранением данных могут различаться в зависимости от используемого носителя и уровня классификации, применяемого к данной части контента.
В следующей таблице показан пример элементов управления классификацией данных для определенного типа хранилища.
| Тип хранилища | Конфиденциально | Внутренняя | Без ограничений |
|---|---|---|---|
| Съемный носитель | Запрещено | Запрещено, если не зашифровано | Управление не требуется |
Правильное применение правильного уровня классификации данных может оказаться сложной задачей в реальных ситуациях. Таким образом, иногда это может перегружать конечных пользователей. Этот процесс не заканчивается, когда организация создает политику или стандарт, определяющий необходимые уровни классификации данных. Вместо этого важно научить конечных пользователей тому, как реализовать эту структуру в их повседневной работе. В этой области вступают в силу правила или рекомендации по обработке классификации данных.
Рекомендации по обработке классификации данных помогают конечным пользователям получить конкретные рекомендации о том, как правильно обрабатывать каждый уровень данных для различных носителей данных на протяжении всего их жизненного цикла. Эти рекомендации также помогают конечным пользователям правильно применять правила на практике. Например, при совместном использовании документов, отправке сообщений или совместной работе на разных платформах и в организациях.
Клиенты Майкрософт отмечают, что примерно 50% проектов по защите информации ориентированы скорее на бизнес, чем на технические аспекты. Таким образом, обучение и общение конечных пользователей имеют решающее значение для успеха.
Создайте хорошо продуманную структуру классификации данных.
При разработке, обновлении или совершенствовании своих систем классификации данных организациям следует учитывать следующие рекомендации:
Не ждите, что в первый день вы достигнете отметки 0–100.. Корпорация Майкрософт рекомендует использовать обход контента. Функции, критически важные для организации, должны быть расставлены по приоритетам и сопоставлены с временной шкалой. Завершите первый шаг, проверьте его успешность, а затем переходите к следующему этапу, применяя извлеченные уроки. Имейте в виду, что разработка инфраструктуры классификации данных не устраняет подверженность организации риску. Таким образом, можно начать с малого, всего лишь с нескольких уровней классификации, а затем расширять ее по мере необходимости.
Вы пишете не только для профессионалов в области кибербезопасности. Структуры классификации данных предназначены для широкой аудитории. Это может быть средний сотрудник, юридическая группа, группа по соблюдению нормативных требований, а также ИТ-команда. Важно написать четкие и понятные определения для уровней классификации данных. Приведите примеры из реальной жизни, где это возможно. Постарайтесь избегать жаргона и подумайте о глоссарии сокращений и узкоспециализированных терминов.
Реализуйте свои структуры классификации данных. Организациям недостаточно просто разработать структуры классификации данных. Чтобы добиться успеха, организации также должны их реализовать. Это особенно актуально при разработке требований к контролю для каждого уровня классификации данных. Четко определите требования. Кроме того, следует прогнозировать и решать любые неоднозначные вопросы, которые могут возникнуть во время реализации. Например, если у вас есть элементы управления персональными данными клиента, обязательно укажите, что именно включает это управление, например номер социального страхования или номер паспорта.
Детализируйте информацию, только если это необходимо. Структуры классификации данных обычно содержат от 3 до 5 уровней классификации данных. Но то, что вы можете включить пять уровней, не означает, что вам следует это делать. При выборе необходимого числа уровней классификации учитывайте следующие критерии:
- Отрасль и связанные с ней нормативные обязательства (отраслям с жестким регулированием, как правило, требуется больше уровней классификации).
- Операционные накладные расходы, необходимые для поддержания более сложной структуры.
- Пользователи и их способность соответствовать возросшей сложности и нюансам, связанным с увеличением числа уровней классификации.
- Пользовательский опыт и доступность при попытке применить ручную классификацию для нескольких типов устройств.
Привлекайте к работе нужных людей. Наличие старшего заинтересованного лица имеет решающее значение для успеха. Многие проекты с трудом запускаются или это занимает больше времени без поддержки высшего руководства. Группы информационных технологий обычно владеют структурами классификации данных. Однако они могут сталкиваться с последствиями с точки зрения законодательства, соблюдения требований, конфиденциальности и управления изменениями. Организация должна гарантировать, что созданная ею структура помогает защитить ее бизнес. Для этого необходимо привлечь к разработке своей политики заинтересованных сторон, заинтересованных в конфиденциальности и правовых вопросах. Например, директора по конфиденциальности компании и отдел главного юрисконсульта. Если в организации есть отдел обеспечения соответствия требованиям, специалисты по управлению жизненным циклом данных или группа по управлению записями, они также могут внести ценный вклад. При внедрении этой структуры в бизнес отдел коммуникаций также играет ключевую роль во внутреннем обмене сообщениями и принятии.
Баланс между безопасностью и удобством. Распространенной ошибкой является разработка безопасной, но чрезмерно ограничительной системы классификации данных. Хотя организации определяют этот тип структуры с учетом безопасности, они часто испытывают трудности при их реализации. Если пользователям необходимо выполнять сложные, строгие и отнимающие много времени процедуры для применения структуры в повседневной жизни, существует риск, что они перестанут верить в ее ценность. При возникновении этого сценария пользователи обычно перестают выполнять процедуры. Этот риск существует на всех уровнях организации, включая руководителей высшего звена внутри организации. Хороший баланс между безопасностью и удобством, а также простыми в использовании инструментами обычно приводит к более широкому внедрению и использованию пользователями. Если в структуре есть пробелы, не ждите, пока все станет идеально, чтобы приступить к реализации. Вместо этого оцените риск или пробел, создайте план по смягчению последствий и продолжайте двигаться вперед. Помните, что защита информации — это путь. Это не то, что можно активировать за ночь. Планируйте, реализуйте некоторые возможности, подтверждайте успешность и переходите к следующему этапу по мере развития инструментов, и приобретения опыта пользователями.
Кроме того, имейте в виду, что структура классификации данных касается только того, что организация должна делать для защиты конфиденциальных данных. Структуры классификации данных обычно включают правила или рекомендации по обработке данных, которые определяют, как реализовать эту политику с технической и технологической точки зрения.
Сложные моменты при создании структуры классификации данных
Действия по классификации данных по своей природе носят широкомасштабный характер. Они затрагивают практически все бизнес-функции предприятия. Из-за такого широкого охвата и сложности управления контентом в современной цифровой среде компании часто сталкиваются с трудностями в понимании:
- С чего начать.
- Как управлять успешной реализацией.
- Как оценивать ход выполнения.
Организации часто сталкиваются с общими проблемами при:
- Разработайте надежную и простую для понимания структуру классификации данных. При этом организации должны определить уровни классификации и соответствующие меры безопасности.
- Разработайте план реализации. Необходимо подтвердить подходящее технологическое решение, согласовать план с существующими бизнес-процессами и определить его влияние на рабочую силу.
- Настройте структуру классификации данных в рамках выбранного технологического решения.
- Устраните пробелы между технологическими возможностями инструмента и самой платформы.
- Создать структуру управления. Эта структура должна следить за текущим обслуживанием и исправностью работы по классификации данных.
- Определите конкретные ключевые показатели эффективности (KPI) для мониторинга и измерения прогресса.
- Повысьте осведомленность и понимание политик классификации данных, почему они важны и как их соблюдать.
- Соблюдайте проверки внутреннего аудита, касающиеся потери данных и управления кибербезопасностью.
- Обучайте и задействуйте пользователей. Пользователи должны помнить о необходимости правильной классификации в своей повседневной работе. Они также должны знать, когда следует применять правильные меры классификации.
Управление и обслуживание
После разработки и реализации структуры классификации данных организации постоянное управление и обслуживание имеют решающее значение для ее успешной работы. Помимо отслеживания своих пользователей на практике они используют метки конфиденциальности, организации должны обновлять свои требования к контролю с учетом изменений в нормативных актах, передовых методов кибербезопасности и характера контента, которым они управляют.
Работа по управлению и обслуживанию может включать:
- Создание отдела управления, занимающегося классификацией данных, или добавление ответственности за классификацию данных в устав существующего отдела информационной безопасности.
- Определение ролей и обязанностей пользователей, управляющих классификацией данных.
- Установление KPI для мониторинга и измерения прогресса.
- Отслеживание рекомендаций кибербезопасности и изменений в законодательстве.
- Разработка стандартных операционных процедур. Эти процедуры должны поддерживать и обеспечивать соблюдение структуры классификации данных.
Проверка знаний
Выберите лучший ответ на каждый из приведенных ниже вопросов.