Lignes directrices pour la classification des données
Objectif
L’objectif de la création de ces directives est d’établir un cadre pour la classification des données sur la base du niveau de sensibilité, de leur valeur et de leur criticité pour Appy Pie, comme l’exige la politique de sécurité de l’information d’Appy Pie. Ce processus de classification des données aidera à déterminer plus précisément les contrôles de sécurité de base pour la sécurité ou la protection des données.
S’applique à
La politique est applicable au personnel et s’étend aux agents tiers d’Appy Pie ainsi qu’à tout autre affilié d’Appy Pie qui a accès aux données d’Appy Pie. La politique s’applique en particulier aux ressources responsables de la classification et de la protection des données d’Appy Pie, comme le précisent les rôles et responsabilités en matière de sécurité de l’information.
Définitions
Les données confidentielles sont une expression générique qui désigne toutes les données classées comme restreintes, conformément au schéma de classification des données défini dans la présente politique. On les appelle aussi souvent des données sensibles.
Un responsable des données est un employé désigné de haut niveau chez Appy Pie qui supervise le cycle de vie d’un ou plusieurs ensembles de données d’Appy Pie.
Les données d’Appy Pie comprennent toutes les données détenues ou sous licence par Appy Pie.
Les informations non publiques sont toutes les informations qui sont classées comme informations privées ou restreintes selon le schéma de classification des données présenté dans la politique.
Les données sensibles sont un terme générique qui désigne toutes les données classées comme restreintes, conformément au schéma de classification des données défini dans cette politique. On les appelle aussi souvent des données confidentielles.
Classification des données
La classification des données, dans le contexte de la sécurité des informations ou des données, est la classification des données sur la base de leur niveau de sensibilité et de l’impact qu’elles peuvent avoir sur Appy Pie si elles devaient être divulguées, modifiées ou détruites sans sanction ou autorisation. Ce processus de classification des données permet de déterminer les contrôles de sécurité de base appropriés pour la protection des données. Toutes les données d’Appy Pie doivent être classées dans l’un des trois niveaux de sensibilité, ou classifications :
| A. | Données restreintes |
| Seules les données doivent être classées comme restreintes, qui, si elles sont divulguées, modifiées ou détruites sans autorisation, peuvent entraîner un risque considérable pour Appy Pie, ses clients ou ses affiliés. Par exemple, des données protégées par des réglementations nationales ou fédérales sur la vie privée ou des données protégées par des accords de confidentialité. Les données à diffusion restreinte doivent être protégées par des contrôles de sécurité du plus haut niveau. | |
| B. | Données privées |
| Seules ces données doivent être classées comme Privées, qui, si elles sont divulguées, modifiées ou détruites sans autorisation, peuvent entraîner un risque modéré pour Appy Pie, ses clients ou ses affiliés. Toute donnée Appy Pie qui n’est pas explicitement classée comme donnée restreinte ou publique devrait, par défaut, être considérée comme donnée privée. Les données privées doivent être protégées par un niveau raisonnable de contrôles de sécurité. | |
| C. | Données publiques |
| Seules les données doivent être classées comme publiques, qui, si elles sont divulguées, modifiées ou détruites sans autorisation, peuvent causer peu ou pas de risque pour Appy Pie, ses clients et ses affiliés. Par exemple, des communiqués de presse, des ressources pédagogiques et des études de cas. Bien que peu ou pas de contrôles soient nécessaires pour protéger la confidentialité des données publiques, un certain niveau de contrôle doit être appliqué pour empêcher toute modification ou destruction non autorisée des données publiques. |
La classification des données doit être effectuée par un responsable des données approprié. Les responsables des données sont des employés de haut niveau chez Appy Pie qui sont chargés de superviser les cycles de vie complets d’un ou plusieurs ensembles de données d’Appy Pie.
Calcul de la classification
Le but de la sécurité de l’information, comme mentionné dans notre politique de sécurité de l’information, est de protéger la confidentialité, l’intégrité et la disponibilité des données d’Appy Pie. La classification des données indique le niveau d’impact sur Appy Pie en cas de compromission de la confidentialité, de l’intégrité ou de la disponibilité.
Malheureusement, il n’existe pas de système quantitatif parfait pour calculer la classification d’un élément de données particulier. Dans certaines situations, la classification correcte peut être plus évidente, comme lorsque les lois fédérales exigent qu’Appy Pie protège des types de données particuliers (par exemple, des informations personnellement identifiables). Dans les cas où la classification appropriée n’est pas évidente, il faut considérer chaque objectif de sécurité comme décrit dans le tableau suivant. Le tableau ci-dessous est extrait de la publication 199 des Federal Information Processing Standards (FIPS) publiée par le National Institute of Standards and Technology, qui examine la classification des informations et des systèmes d’information.
| IMPACT POTENTIEL | |||
| Objectif de sécurité | BASSE | MODÉRÉ | HAUT |
| Confidentialité Préserver les restrictions autorisées sur l’accès et la divulgation des informations, y compris les moyens de protéger la vie privée et les informations exclusives. | On peut s’attendre à ce que la divulgation non autorisée d’informations ait un effet négatif limité sur les opérations de l’organisation, ses actifs ou les individus. | La divulgation non autorisée d’informations pourrait avoir un effet négatif grave sur les opérations de l’organisation, ses actifs ou les personnes. | La divulgation non autorisée d’informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les personnes. |
| Intégrité Protection contre la modification ou la destruction inappropriée d’informations et garantie de la non-répudiation et de l’authenticité des informations. | La modification ou la destruction non autorisée d’informations pourrait avoir un effet négatif limité sur les opérations de l’organisation, ses actifs ou les individus. | La modification ou la destruction non autorisée d’informations pourrait avoir un effet négatif grave sur les opérations de l’organisation, ses actifs ou les individus. | La modification ou la destruction non autorisée d’informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les individus. |
| Disponibilité Garantir un accès rapide et fiable aux informations et leur utilisation. | La perturbation de l’accès ou de l’utilisation des informations ou d’un système d’information pourrait avoir un effet limité ou diversifié sur les opérations de l’organisation, ses actifs ou les individus. | L’interruption de l’accès à l’information ou à un système d’information ou de leur utilisation pourrait avoir un effet négatif grave sur les opérations de l’organisation, ses actifs ou les personnes. | L’interruption de l’accès ou de l’utilisation des informations ou d’un système d’information pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les personnes. |
Lorsque l’impact potentiel sur Appy Pie passe de faible à élevé, la classification des données doit devenir progressivement restrictive, passant de Public à Restreint. Si, après avoir pris en compte les points mentionnés ci-dessus, vous n’arrivez toujours pas à trouver une classification appropriée, contactez le responsable de la sécurité de l’information pour obtenir de l’aide.
| Type d’information | Classification des données | Impact sur la confidentialité | Impact sur l’intégrité | Impact de la disponibilité |
|---|---|---|---|---|
| Données personnelles (client) | Confidentiel | Haut | Haut | Haut |
| Données personnelles (employé) | Confidentiel | Faible | Milieu du site | Milieu du site |
| Données financières (clients) | Confidentiel | Haut | Haut | Haut |
| Données financières (employés) | Confidentiel | Haut | Haut | Haut |
| Données du fournisseur | Public | Faible | Faible | Faible |
