Politika klasifikace dat

Pokyny pro klasifikaci dat

Účel

Účelem vytvoření těchto pokynů je vytvořit rámec pro klasifikaci dat na základě úrovně citlivosti, jejich hodnoty a kritičnosti pro společnost Appy Pie, jak to vyžadují zásady bezpečnosti informací společnosti Appy Pie. Tento proces klasifikace dat pomůže při dalším určování základních bezpečnostních kontrol pro zabezpečení nebo ochranu dat.

Platí pro

Tyto zásady se vztahují na zaměstnance a jsou rozšířeny na zástupce třetích stran společnosti Appy Pie, jakož i na všechny ostatní přidružené společnosti společnosti Appy Pie, které mají přístup k údajům společnosti Appy Pie. Tato politika se vztahuje zejména na zdroje odpovědné za klasifikaci a ochranu dat společnosti Appy Pie, jak je uvedeno v dokumentu Role a odpovědnosti v oblasti bezpečnosti informací.

Definice

Důvěrné údaje je obecný výraz, který označuje všechny údaje, které jsou klasifikovány jako vyhrazené podle schématu klasifikace údajů uvedeného v těchto zásadách. Často se také označuje jako citlivá data.

Správce dat je určený vedoucí zaměstnanec společnosti Appy Pie, který dohlíží na životní cyklus jedné nebo více sad dat společnosti Appy Pie.

Appy Pie Data zahrnují veškerá data, která společnost Appy Pie vlastní nebo na která má licenci.

Neveřejné informace jsou veškeré informace, které jsou klasifikovány jako soukromé nebo vyhrazené informace podle schématu klasifikace údajů uvedeného v zásadách.

Citlivé údaje jsou obecným pojmem, který označuje všechny údaje, které jsou klasifikovány jako omezené podle schématu klasifikace údajů uvedeného v těchto zásadách. Často se také označuje jako důvěrný údaj.

Klasifikace dat

Klasifikace dat v kontextu bezpečnosti informací nebo dat je klasifikace dat na základě úrovně jejich citlivosti a dopadu, který by mohla mít na společnost Appy Pie, pokud by došlo k jejich vyzrazení, úpravě nebo zničení bez sankce nebo povolení. Tento proces klasifikace dat pomáhá stanovit vhodné základní bezpečnostní kontroly pro ochranu dat. Všechna data aplikace Appy Pie musí být zařazena do jedné ze tří úrovní citlivosti neboli klasifikací:

A.Omezené údaje
Jako vyhrazená by měla být klasifikována pouze ta data, jejichž neoprávněné vyzrazení, změna nebo zničení může způsobit značné riziko pro společnost Appy Pie, její zákazníky nebo přidružené společnosti. Například údaje chráněné státními nebo federálními předpisy o ochraně osobních údajů nebo údaje chráněné dohodami o důvěrnosti. Omezené údaje musí být chráněny nejvyšší úrovní bezpečnostních kontrol.
B.Soukromé údaje
Jako soukromá by měla být klasifikována pouze ta data, která mohou v případě neoprávněného vyzrazení, změny nebo zničení způsobit mírné riziko pro společnost Appy Pie, její zákazníky nebo přidružené společnosti. Veškerá data aplikace Appy Pie, která nejsou výslovně klasifikována jako omezená nebo veřejná data, by měla být ve výchozím nastavení považována za soukromá data. Soukromé údaje musí být chráněny přiměřenou úrovní bezpečnostních kontrol.
C.Veřejná data
Jako veřejná by měla být klasifikována pouze ta data, která v případě neoprávněného zveřejnění, změny nebo zničení mohou způsobit malé nebo žádné riziko pro společnost Appy Pie, její zákazníky a přidružené společnosti. Například tiskové zprávy, vzdělávací zdroje a případové studie. Ačkoli k ochraně důvěrnosti veřejných údajů není třeba uplatňovat žádné nebo jen malé kontroly, přesto je třeba uplatňovat určitou úroveň kontroly, aby se zabránilo neoprávněné změně nebo zničení veřejných údajů.

Klasifikaci dat musí provádět vhodný správce dat. Správci dat jsou vedoucí zaměstnanci společnosti Appy Pie, kteří jsou zodpovědní za dohled nad kompletním životním cyklem jedné nebo více sad dat společnosti Appy Pie.

Výpočet klasifikace

Účelem zabezpečení informací, jak je uvedeno v našich zásadách zabezpečení informací, je chránit důvěrnost, integritu a dostupnost dat společnosti Appy Pie. Klasifikace dat udává úroveň dopadu na Appy Pie, pokud dojde k narušení důvěrnosti, integrity nebo dostupnosti.

Bohužel neexistuje dokonalý kvantitativní systém pro výpočet klasifikace určitého datového prvku. V některých situacích může být správná klasifikace zřejmější, například když federální zákony vyžadují, aby společnost Appy Pie chránila určité typy dat (např. osobní údaje). V případech, kdy vhodná klasifikace není zřejmá, zvažte každý bezpečnostní cíl, jak je popsáno v následující tabulce. Níže uvedená tabulka je převzata z publikace 199 Federal Information Processing Standards (FIPS) vydané Národním institutem pro standardy a technologie, která se zabývá klasifikací informací a informačních systémů.

POTENCIÁLNÍ DOPAD
Cíl zabezpečeníNÍZKÝMODERATEHIGH
Důvěrnost
Zachování oprávněných omezení přístupu k informacím a jejich zveřejňování, včetně prostředků na ochranu soukromí a vlastnických informací.
Lze očekávat, že neoprávněné vyzrazení informací bude mít omezený negativní dopad na činnost organizace, její majetek nebo jednotlivce.Lze očekávat, že neoprávněné vyzrazení informací by mohlo mít závažný negativní dopad na činnost organizace, její majetek nebo jednotlivce.Lze očekávat, že neoprávněné vyzrazení informací by mohlo mít závažný nebo katastrofický negativní dopad na činnost organizace, její majetek nebo jednotlivce.
Integrita
Ochrana před nesprávnou modifikací nebo zničením informací a zahrnuje zajištění nepopiratelnosti a pravosti informací.
Lze očekávat, že neoprávněná změna nebo zničení informací bude mít omezený negativní dopad na činnost organizace, její majetek nebo jednotlivce.Lze očekávat, že neoprávněná změna nebo zničení informací bude mít závažný negativní dopad na činnost organizace, její majetek nebo jednotlivce.Lze očekávat, že neoprávněná změna nebo zničení informací bude mít závažný nebo katastrofický negativní dopad na činnost organizace, její majetek nebo jednotlivce.
Dostupnost
Zajištění včasného a spolehlivého přístupu k informacím a jejich využívání.
Lze očekávat, že narušení přístupu k informacím nebo informačnímu systému nebo jejich používání bude mít omezený nebo různorodý dopad na činnost organizace, její aktiva nebo jednotlivce.Lze očekávat, že narušení přístupu k informacím nebo informačnímu systému nebo jejich používání bude mít závažný nepříznivý dopad na činnost organizace, její majetek nebo jednotlivce.Lze očekávat, že narušení přístupu k informacím nebo informačnímu systému nebo jejich používání bude mít závažný nebo katastrofický nepříznivý dopad na činnost organizace, její majetek nebo jednotlivce.

Pokud potenciální dopad na aplikaci Appy Pie přechází z nízké na vysokou úroveň, je třeba postupně zpřísňovat klasifikaci dat z veřejné na omezenou. Pokud je vhodná klasifikace po řádném zvážení výše uvedených bodů stále nejasná, obraťte se s žádostí o pomoc na pracovníka pro bezpečnost informací.

Typ informací Klasifikace dat Dopad na důvěrnost Dopad na integritu Dopad na dostupnost
Osobní údaje (klient)DůvěrnéVysokáVysokáVysoká
Osobní údaje (zaměstnanec)DůvěrnéNízkáMidMid
Finanční údaje (klienti)DůvěrnéVysokáVysokáVysoká
Finanční údaje (zaměstnanci)DůvěrnéVysokáVysokáVysoká
Údaje o prodejci VeřejnostNízkáNízkáNízká