Κατευθυντήριες γραμμές για την ταξινόμηση δεδομένων
Σκοπός
Σκοπός της δημιουργίας αυτών των κατευθυντήριων γραμμών είναι να δημιουργηθεί ένα πλαίσιο για την ταξινόμηση των δεδομένων βάσει του επιπέδου ευαισθησίας, της αξίας και της κρισιμότητάς τους για την Appy Pie, όπως απαιτείται από την Πολιτική Ασφάλειας Πληροφοριών της Appy Pie. Αυτή η διαδικασία ταξινόμησης των δεδομένων θα βοηθήσει στον περαιτέρω προσδιορισμό των βασικών ελέγχων ασφαλείας για την ασφάλεια ή την προστασία των δεδομένων.
Ισχύει για
Η Πολιτική ισχύει για το προσωπικό και επεκτείνεται στους τρίτους αντιπροσώπους της Appy Pie, καθώς και σε κάθε άλλο συνεργάτη της Appy Pie που έχει πρόσβαση στα δεδομένα της Appy Pie. Η πολιτική εφαρμόζεται ιδίως στους πόρους που είναι υπεύθυνοι για την ταξινόμηση και την προστασία των δεδομένων της Appy Pie, όπως ορίζεται από τους ρόλους και τις αρμοδιότητες για την ασφάλεια των πληροφοριών.
Ορισμοί
Τα εμπιστευτικά δεδομένα είναι μια γενική φράση που υποδηλώνει όλα τα δεδομένα που ταξινομούνται ως περιορισμένα, σύμφωνα με το σύστημα ταξινόμησης δεδομένων που καθορίζεται στην παρούσα πολιτική. Συχνά αναφέρονται και ως ευαίσθητα δεδομένα.
Ο Διαχειριστής Δεδομένων είναι ένας ορισμένος υπάλληλος ανώτερου επιπέδου στην Appy Pie, ο οποίος επιβλέπει τον κύκλο ζωής ενός ή περισσότερων συνόλων δεδομένων της Appy Pie.
Τα δεδομένα Appy Pie περιλαμβάνουν όλα τα δεδομένα που ανήκουν ή έχουν παραχωρηθεί με άδεια από την Appy Pie.
Μη δημόσιες πληροφορίες είναι οποιεσδήποτε πληροφορίες που ταξινομούνται ως ιδιωτικές ή περιορισμένες πληροφορίες σύμφωνα με το σύστημα ταξινόμησης δεδομένων που καθορίζεται στην πολιτική.
Τα ευαίσθητα δεδομένα είναι ένας γενικός όρος που υποδηλώνει όλα τα δεδομένα που χαρακτηρίζονται ως περιορισμένα, σύμφωνα με το σύστημα ταξινόμησης δεδομένων που καθορίζεται στην παρούσα πολιτική. Συχνά αναφέρονται επίσης ως εμπιστευτικά δεδομένα.
Ταξινόμηση δεδομένων
Η ταξινόμηση των δεδομένων, στο πλαίσιο της ασφάλειας πληροφοριών ή δεδομένων, είναι η ταξινόμηση των δεδομένων με βάση το επίπεδο ευαισθησίας τους και τον αντίκτυπο που μπορεί να έχουν στην Appy Pie, εάν αποκαλυφθούν, τροποποιηθούν ή καταστραφούν χωρίς έγκριση ή εξουσιοδότηση. Αυτή η διαδικασία ταξινόμησης των δεδομένων συμβάλλει στον προσδιορισμό των κατάλληλων βασικών ελέγχων ασφαλείας για την προστασία των δεδομένων. Όλα τα δεδομένα του Appy Pie πρέπει να ταξινομούνται σε ένα από τα τρία επίπεδα ευαισθησίας ή ταξινομήσεις:
| A. | Περιορισμένα δεδομένα |
| Μόνο αυτά τα δεδομένα θα πρέπει να ταξινομούνται ως Περιορισμένα, τα οποία εάν αποκαλυφθούν, τροποποιηθούν ή καταστραφούν χωρίς εξουσιοδότηση μπορεί να προκαλέσουν σημαντικό κίνδυνο για την Appy Pie, τους πελάτες της ή τις θυγατρικές της. Για παράδειγμα – δεδομένα που προστατεύονται από κρατικούς ή ομοσπονδιακούς κανονισμούς προστασίας προσωπικών δεδομένων ή δεδομένα που προστατεύονται από συμφωνίες εμπιστευτικότητας. Τα δεδομένα με περιορισμούς πρέπει να προστατεύονται από το υψηλότερο επίπεδο ελέγχων ασφαλείας. | |
| B. | Ιδιωτικά δεδομένα |
| Μόνο αυτά τα δεδομένα θα πρέπει να ταξινομούνται ως Ιδιωτικά, τα οποία εάν αποκαλυφθούν, τροποποιηθούν ή καταστραφούν χωρίς εξουσιοδότηση μπορεί να προκαλέσουν μέτριο κίνδυνο για την Appy Pie, τους πελάτες της ή τις θυγατρικές της. Οποιαδήποτε δεδομένα της Appy Pie που δεν ταξινομούνται ρητά ως δεδομένα με περιορισμούς ή δημόσια δεδομένα θα πρέπει, εξ ορισμού, να θεωρούνται ιδιωτικά δεδομένα. Τα ιδιωτικά δεδομένα πρέπει να προστατεύονται από ένα εύλογο επίπεδο ελέγχων ασφαλείας. | |
| C. | Δημόσια δεδομένα |
| Μόνο αυτά τα δεδομένα θα πρέπει να ταξινομούνται ως Δημόσια, τα οποία αν αποκαλυφθούν, τροποποιηθούν ή καταστραφούν χωρίς εξουσιοδότηση μπορεί να προκαλέσουν μικρό ή καθόλου κίνδυνο για την Appy Pie, τους πελάτες της και τις θυγατρικές της. Για παράδειγμα – δελτία τύπου, εκπαιδευτικοί πόροι και μελέτες περιπτώσεων. Αν και δεν χρειάζεται να εφαρμόζονται ελάχιστοι ή καθόλου έλεγχοι για την προστασία της εμπιστευτικότητας των δημόσιων δεδομένων, πρέπει να εφαρμόζεται ένα ορισμένο επίπεδο ελέγχου για την αποτροπή μη εξουσιοδοτημένης τροποποίησης ή καταστροφής των δημόσιων δεδομένων. |
Η ταξινόμηση των δεδομένων πρέπει να πραγματοποιείται από κατάλληλο διαχειριστή δεδομένων. Οι διαχειριστές δεδομένων είναι ανώτεροι υπάλληλοι της Appy Pie που είναι υπεύθυνοι για την επίβλεψη του πλήρους κύκλου ζωής ενός ή περισσότερων συνόλων δεδομένων της Appy Pie.
Υπολογισμός της ταξινόμησης
Ο σκοπός της ασφάλειας πληροφοριών, όπως αναφέρεται στην Πολιτική Ασφάλειας Πληροφοριών, είναι η προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων της Appy Pie. Η ταξινόμηση των δεδομένων υποδεικνύει το επίπεδο των επιπτώσεων στην Appy Pie σε περίπτωση παραβίασης της εμπιστευτικότητας, της ακεραιότητας ή της διαθεσιμότητας.
Δυστυχώς, δεν υπάρχει τέλειο ποσοτικό σύστημα για τον υπολογισμό της ταξινόμησης ενός συγκεκριμένου στοιχείου δεδομένων. Σε ορισμένες περιπτώσεις, η σωστή ταξινόμηση μπορεί να είναι πιο προφανής, όπως όταν οι ομοσπονδιακοί νόμοι απαιτούν από την Appy Pie να προστατεύει συγκεκριμένους τύπους δεδομένων (π.χ. πληροφορίες προσωπικής ταυτοποίησης). Σε περιπτώσεις όπου η κατάλληλη ταξινόμηση δεν είναι προφανής, εξετάστε κάθε στόχο ασφάλειας όπως περιγράφεται στον ακόλουθο πίνακα. Ο παρακάτω πίνακας προέρχεται από τη δημοσίευση 199 των Ομοσπονδιακών Προτύπων Επεξεργασίας Πληροφοριών (FIPS) που δημοσιεύεται από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας και εξετάζει την ταξινόμηση των πληροφοριών και των συστημάτων πληροφοριών.
| ΠΙΘΑΝΉ ΕΠΊΠΤΩΣΗ | |||
| Στόχος ασφαλείας | ΧΑΜΗΛΗ | ΜΕΤΡΙΑ | HIGH |
| Εμπιστευτικότητα Διατήρηση των εγκεκριμένων περιορισμών στην πρόσβαση και την αποκάλυψη πληροφοριών, συμπεριλαμβανομένων των μέσων για την προστασία του προσωπικού απορρήτου και των πληροφοριών ιδιοκτησίας. | Η μη εξουσιοδοτημένη αποκάλυψη των πληροφοριών αναμένεται να έχει περιορισμένες δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, στα περιουσιακά στοιχεία του οργανισμού ή στα άτομα. | Η μη εξουσιοδοτημένη αποκάλυψη πληροφοριών θα μπορούσε να έχει σοβαρές δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, στα περιουσιακά στοιχεία του οργανισμού ή στα άτομα. | Η μη εξουσιοδοτημένη αποκάλυψη πληροφοριών θα μπορούσε να έχει σοβαρές ή καταστροφικές δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, τα περιουσιακά στοιχεία του οργανισμού ή τα άτομα. |
| Ακεραιότητα Φύλαξη από αθέμιτη τροποποίηση ή καταστροφή πληροφοριών και περιλαμβάνει τη διασφάλιση της μη άρνησης και της αυθεντικότητας των πληροφοριών. | Η μη εξουσιοδοτημένη τροποποίηση ή καταστροφή των πληροφοριών αναμένεται να έχει περιορισμένες δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, στα περιουσιακά στοιχεία του οργανισμού ή στα άτομα. | Η μη εξουσιοδοτημένη τροποποίηση ή καταστροφή πληροφοριών θα μπορούσε να έχει σοβαρές αρνητικές επιπτώσεις στις οργανωτικές λειτουργίες, στα περιουσιακά στοιχεία του οργανισμού ή στα άτομα. | Η μη εξουσιοδοτημένη τροποποίηση ή καταστροφή των πληροφοριών θα μπορούσε να έχει σοβαρές ή καταστροφικές δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, τα περιουσιακά στοιχεία του οργανισμού ή τα άτομα. |
| Διαθεσιμότητα Διασφάλιση έγκαιρης και αξιόπιστης πρόσβασης σε πληροφορίες και χρήσης των πληροφοριών. | Η διακοπή της πρόσβασης ή της χρήσης των πληροφοριών ή ενός συστήματος πληροφοριών αναμένεται να έχει περιορισμένες ή ποικίλες επιπτώσεις στις λειτουργίες του οργανισμού, στα περιουσιακά στοιχεία του οργανισμού ή στα άτομα. | Η διακοπή της πρόσβασης ή της χρήσης των πληροφοριών ή ενός συστήματος πληροφοριών αναμένεται να έχει σοβαρές δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, στα περιουσιακά στοιχεία του οργανισμού ή στα άτομα. | Η διακοπή της πρόσβασης ή της χρήσης των πληροφοριών ή ενός συστήματος πληροφοριών αναμένεται να έχει σοβαρές ή καταστροφικές δυσμενείς επιπτώσεις στις οργανωτικές λειτουργίες, στα περιουσιακά στοιχεία του οργανισμού ή σε άτομα. |
Όταν ο δυνητικός αντίκτυπος στην Appy Pie πηγαίνει από Χαμηλός σε Υψηλός, η ταξινόμηση των δεδομένων πρέπει να γίνει προοδευτικά περιοριστική, από Δημόσια σε Περιορισμένη. Σε περίπτωση που η κατάλληλη ταξινόμηση εξακολουθεί να είναι ασαφής μετά από τη δέουσα εξέταση των σημείων που αναφέρονται ανωτέρω, επικοινωνήστε με τον υπεύθυνο ασφάλειας πληροφοριών για βοήθεια.
| Τύπος πληροφοριών | Ταξινόμηση δεδομένων | Επίδραση στην εμπιστευτικότητα | Αντίκτυπος ακεραιότητας | Επιπτώσεις στη διαθεσιμότητα |
|---|---|---|---|---|
| Προσωπικά δεδομένα (πελάτης) | Εμπιστευτικό | Υψηλή | Υψηλή | Υψηλή |
| Προσωπικά δεδομένα (εργαζόμενος) | Εμπιστευτικό | Χαμηλή | Μέσα | Μέσα |
| Οικονομικά στοιχεία (πελάτες) | Εμπιστευτικό | Υψηλή | Υψηλή | Υψηλή |
| Οικονομικά στοιχεία (εργαζόμενοι) | Εμπιστευτικό | Υψηλή | Υψηλή | Υψηλή |
| Δεδομένα προμηθευτή | Δημόσιο | Χαμηλή | Χαμηλή | Χαμηλή |
