Leitlinien für die Datenklassifizierung
Zweck
Der Zweck der Erstellung dieser Richtlinien ist es, einen Rahmen für die Klassifizierung von Daten auf der Grundlage der Sensibilitätsstufe, ihres Wertes und ihrer Kritikalität für Appy Pie zu schaffen, wie dies in der Informationssicherheitspolitik von Appy Pie gefordert wird. Dieser Prozess der Datenklassifizierung wird bei der weiteren Bestimmung der grundlegenden Sicherheitskontrollen für die Datensicherheit oder den Datenschutz helfen.
Gilt für
Die Richtlinie gilt für die Mitarbeiter von Appy Pie und wird auf die Drittvertreter von Appy Pie sowie auf alle anderen Appy Pie-Mitglieder, die Zugang zu Appy Pie-Daten haben, ausgedehnt. Die Richtlinie gilt insbesondere für die Ressourcen, die für die Klassifizierung und den Schutz der Daten von Appy Pie verantwortlich sind, wie in den Rollen und Verantwortlichkeiten für die Informationssicherheit festgelegt
Definitionen
Vertrauliche Daten ist ein allgemeiner Begriff, der alle Daten bezeichnet, die gemäß dem in dieser Richtlinie dargelegten Datenklassifizierungsschema als eingeschränkt eingestuft sind. Sie werden häufig auch als sensible Daten bezeichnet.
Ein Data Steward ist ein ernannter leitender Angestellter bei Appy Pie, der den Lebenszyklus eines oder mehrerer Datensätze von Appy Pie überwacht.
Appy Pie Data umfasst alle Daten, die Appy Pie gehören oder für die Appy Pie eine Lizenz besitzt.
Nicht-öffentliche Informationen sind alle Informationen, die gemäß dem in der Richtlinie dargelegten Datenklassifizierungsschema als private oder eingeschränkte Informationen eingestuft sind.
Sensible Daten ist ein allgemeiner Begriff, der alle Daten bezeichnet, die gemäß dem in dieser Richtlinie dargelegten Datenklassifizierungsschema als eingeschränkt eingestuft sind. Sie werden häufig auch als vertrauliche Daten bezeichnet.
Klassifizierung der Daten
Die Datenklassifizierung im Zusammenhang mit der Informations- oder Datensicherheit ist die Klassifizierung von Daten auf der Grundlage ihrer Sensibilitätsstufe und der Auswirkungen, die sie auf Appy Pie haben können, wenn sie ohne Sanktion oder Genehmigung weitergegeben, verändert oder zerstört werden. Dieser Prozess der Datenklassifizierung hilft dabei, die geeigneten grundlegenden Sicherheitskontrollen für den Datenschutz zu ermitteln. Alle Appy Pie Daten müssen in eine von drei Sensibilitätsstufen oder Klassifizierungen eingeordnet werden:
| A. | Eingeschränkte Daten |
| Nur solche Daten sollten als eingeschränkt eingestuft werden, die bei unberechtigter Weitergabe, Veränderung oder Zerstörung ein erhebliches Risiko für Appy Pie, seine Kunden oder seine Partner darstellen können. Zum Beispiel Daten, die durch staatliche oder bundesstaatliche Datenschutzbestimmungen geschützt sind, oder Daten, die durch Vertraulichkeitsvereinbarungen geschützt sind. Eingeschränkte Daten müssen durch ein Höchstmaß an Sicherheitskontrollen geschützt werden. | |
| B. | Private Daten |
| Nur die Daten sollten als privat eingestuft werden, die, wenn sie ohne Genehmigung offengelegt, verändert oder zerstört werden, ein moderates Risiko für Appy Pie, seine Kunden oder seine verbundenen Unternehmen darstellen können. Alle Appy Pie Daten, die nicht ausdrücklich als eingeschränkte oder öffentliche Daten eingestuft sind, sollten standardmäßig als private Daten betrachtet werden. Private Daten müssen durch ein angemessenes Maß an Sicherheitskontrollen geschützt werden. | |
| C. | Öffentliche Daten |
| Nur die Daten sollten als öffentlich eingestuft werden, die im Falle einer unbefugten Weitergabe, Veränderung oder Zerstörung ein geringes oder gar kein Risiko für Appy Pie, seine Kunden und seine Partner darstellen. Zum Beispiel: Pressemitteilungen, Bildungsressourcen und Fallstudien. Auch wenn zum Schutz der Vertraulichkeit öffentlicher Daten nur wenige oder gar keine Kontrollen erforderlich sind, muss dennoch ein gewisses Maß an Kontrolle ausgeübt werden, um eine unbefugte Änderung oder Zerstörung der öffentlichen Daten zu verhindern. |
Die Datenklassifizierung muss von einem geeigneten Data Steward durchgeführt werden. Data Stewards sind leitende Mitarbeiter bei Appy Pie, die für die Überwachung des gesamten Lebenszyklus eines oder mehrerer Datensätze von Appy Pie verantwortlich sind.
Berechnung der Klassifizierung
Der Zweck der Informationssicherheit, wie in unserer Informationssicherheitspolitik erwähnt, ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Appy Pie Daten zu schützen. Die Klassifizierung der Daten zeigt den Grad der Auswirkungen auf Appy Pie an, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit gefährdet ist.
Bedauerlicherweise gibt es kein perfektes quantitatives System zur Berechnung der Klassifizierung eines bestimmten Datenelements. In manchen Situationen kann die richtige Klassifizierung offensichtlicher sein, z. B. wenn Bundesgesetze Appy Pie dazu verpflichten, bestimmte Datentypen zu schützen (z. B. personenbezogene Daten). In Fällen, in denen die geeignete Klassifizierung nicht von vornherein ersichtlich ist, ist jedes Sicherheitsziel wie in der folgenden Tabelle beschrieben zu betrachten. Die nachstehende Tabelle stammt aus der vom National Institute of Standards and Technology herausgegebenen Veröffentlichung 199 der Federal Information Processing Standards (FIPS), in der die Klassifizierung von Informationen und Informationssystemen untersucht wird.
| MÖGLICHE AUSWIRKUNG | |||
| Zielsetzung Sicherheit | LOW | MODERAT | HOCH |
| Vertraulichkeit Beibehaltung der genehmigten Beschränkungen des Informationszugangs und der Offenlegung, einschließlich der Mittel zum Schutz der persönlichen Privatsphäre und geschützter Informationen. | Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen eine begrenzte nachteilige Auswirkung auf den organisatorischen Betrieb, das Organisationsvermögen oder Einzelpersonen hat. | Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen schwerwiegende nachteilige Auswirkungen auf den Geschäftsbetrieb, das Vermögen der Organisation oder auf Einzelpersonen haben könnte. | Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen schwerwiegende oder katastrophale nachteilige Auswirkungen auf den Geschäftsbetrieb, das Vermögen der Organisation oder auf Einzelpersonen haben könnte. |
| Integrität Schutz vor unsachgemäßer Veränderung oder Zerstörung von Informationen, einschließlich der Gewährleistung der Unleugbarkeit und Authentizität von Informationen. | Es ist zu erwarten, dass die unbefugte Änderung oder Zerstörung von Informationen eine begrenzte nachteilige Auswirkung auf den organisatorischen Betrieb, das Organisationsvermögen oder Einzelpersonen hat. | Die unbefugte Änderung oder Zerstörung von Informationen könnte schwerwiegende nachteilige Auswirkungen auf den Geschäftsbetrieb, die Vermögenswerte der Organisation oder Einzelpersonen haben. | Die unbefugte Änderung oder Zerstörung von Informationen könnte schwerwiegende oder katastrophale nachteilige Auswirkungen auf den Geschäftsbetrieb, das Vermögen der Organisation oder Einzelpersonen haben. |
| Verfügbarkeit Gewährleistung eines rechtzeitigen und zuverlässigen Zugangs zu Informationen und deren Nutzung. | Es ist zu erwarten, dass die Unterbrechung des Zugangs zu oder der Nutzung von Informationen oder eines Informationssystems eine begrenzte oder vielfältige Auswirkung auf den organisatorischen Betrieb, die Vermögenswerte der Organisation oder Einzelpersonen hat. | Die Unterbrechung des Zugangs zu oder der Nutzung von Informationen oder eines Informationssystems könnte schwerwiegende nachteilige Auswirkungen auf organisatorische Abläufe, Vermögenswerte der Organisation oder Einzelpersonen haben. | Die Unterbrechung des Zugriffs auf oder der Nutzung von Informationen oder eines Informationssystems könnte schwerwiegende oder katastrophale nachteilige Auswirkungen auf organisatorische Abläufe, Vermögenswerte der Organisation oder Einzelpersonen haben. |
Wenn die potenziellen Auswirkungen auf Appy Pie von niedrig auf hoch steigen, muss die Datenklassifizierung zunehmend restriktiver werden und von “öffentlich” auf “eingeschränkt” gehen. Falls eine geeignete Einstufung nach sorgfältiger Prüfung der oben genannten Punkte immer noch unklar ist, wenden Sie sich an den Beauftragten für Informationssicherheit.
| Informationstyp | Klassifizierung der Daten | Auswirkungen auf die Vertraulichkeit | Integrität Auswirkungen | Verfügbarkeit Auswirkungen |
|---|---|---|---|---|
| Persönliche Daten (Kunde) | Vertraulich | Hoch | Hoch | Hoch |
| Persönliche Daten (Arbeitnehmer) | Vertraulich | Niedrig | Mitte | Mitte |
| Finanzdaten (Kunden) | Vertraulich | Hoch | Hoch | Hoch |
| Finanzdaten (Mitarbeiter) | Vertraulich | Hoch | Hoch | Hoch |
| Daten des Anbieters | Öffentlich | Niedrig | Niedrig | Niedrig |
