הנחיות לסיווג נתונים
מַטָרָה
מטרת יצירת ההנחיות הללו היא להמציא מסגרת לסיווג נתונים על בסיס רמת הרגישות, ערכו וקריטיותו ל-Appy Pie כנדרש במדיניות אבטחת המידע של Appy Pie. תהליך זה של סיווג נתונים יסייע בקביעה נוספת של בקרות אבטחה בסיסיות לאבטחת מידע או הגנה.
חל על
המדיניות חלה על הצוות והיא מורחבת לסוכני הצד השלישי של Appy Pie וכן לכל שותף אחר של Appy Pie שיש לו גישה לנתוני Appy Pie. המדיניות חלה במיוחד על המשאבים האחראים לסיווג והגנה על הנתונים של Appy Pie, כפי שמצוין בתפקידי אבטחת המידע והאחריות
הגדרות
נתונים סודיים הם ביטוי גנרי המסמל כל מידע ומסווג כמוגבל, בהתאם לתכנית סיווג הנתונים המפורטת במדיניות זו. זה מכונה לעתים קרובות גם נתונים רגישים.
דייל נתונים הוא עובד בכיר ייעודי ב-Appy Pie המפקח על מחזור החיים של סט אחד או מספר קבוצות של נתוני Appy Pie.
Appy Pie Data כולל את כל הנתונים בבעלות או ברישיון של Appy Pie.
מידע לא ציבורי הוא כל מידע המסווג כמידע פרטי או מוגבל בהתאם לתכנית סיווג הנתונים המופיעה במדיניות.
נתונים רגישים הם מונח כללי המסמל כל מידע ומסווג כמוגבל, בהתאם לתכנית סיווג הנתונים המפורטת במדיניות זו. לעתים קרובות זה מכונה גם נתונים חסויים.
סיווג נתונים
סיווג נתונים, בהקשר של מידע או אבטחת מידע, הוא סיווג הנתונים על בסיס רמת הרגישות שלו וההשפעה שעלולה להיות לו על Appy Pie אם הם ייחשפו, ישונו או מושמדים ללא סנקציה או אישור. תהליך זה של סיווג נתונים מסייע לברר את בקרות האבטחה הבסיסיות המתאימות להגנה על נתונים. כל נתוני Appy Pie חייבים להיות מסווגים לאחת משלוש רמות רגישות, או סיווגים:
| א. | נתונים מוגבלים |
| יש לסווג רק את הנתונים האלה כמוגבלים, שאם ייחשפו, ישונו או יושמדו ללא אישור עלולים לגרום לסיכון ניכר ל-Appy Pie, ללקוחותיה או לשותפים הקשורים לה. לדוגמה – נתונים מוגנים על ידי תקנות פרטיות של המדינה או הפדרליות או נתונים המוגנים על ידי הסכמי סודיות. נתונים מוגבלים חייבים להיות מוגנים על ידי הרמה הגבוהה ביותר של בקרות אבטחה. | |
| ב. | נתונים פרטיים |
| רק נתונים אלה צריכים להיות מסווגים כפרטיים, שאם ייחשפו, ישונו או יושמדו ללא אישור עלולים לגרום לסיכון בינוני ל-Appy Pie, ללקוחותיה או לשותפים הקשורים לה. כל נתוני Appy Pie שאינם מסווגים במפורש כנתונים מוגבלים או ציבוריים צריכים, כברירת מחדל, להיחשב כנתונים פרטיים. נתונים פרטיים חייבים להיות מוגנים על ידי רמה סבירה של בקרות אבטחה. | |
| ג. | נתונים ציבוריים |
| רק נתונים אלה צריכים להיות מסווגים כציבוריים, שאם ייחשפו, ישונו או מושמדים ללא אישור עלולים לגרום לסיכון מועט או ללא סיכון ל-Appy Pie, ללקוחותיה ולשותפים הקשורים לה. לדוגמה – הודעות לעיתונות, משאבים חינוכיים ותיאורי מקרה. למרות שיש צורך להחיל בקרות מועטות או לא כדי להגן על סודיות הנתונים הציבוריים, עדיין יש להחיל רמה מסוימת של בקרה כדי למנוע שינוי או הרס בלתי מורשה של נתונים ציבוריים. |
סיווג הנתונים חייב להתבצע על ידי מנהל נתונים מתאים. Data Stewards הם עובדים בכירים ב-Appy Pie שאחראים לפקח על מחזורי החיים המלאים של סט אחד או מספר קבוצות של Appy Pie Data.
חישוב סיווג
מטרת אבטחת המידע, כפי שהוזכרה במדיניות אבטחת המידע שלנו, היא להגן על הסודיות, השלמות והזמינות של נתוני Appy Pie. סיווג הנתונים מציין את רמת ההשפעה על Appy Pie אם יש פגיעה כלשהי של סודיות, יושרה או זמינות.
למרבה הצער, אין מערכת כמותית מושלמת לחישוב הסיווג של אלמנט נתונים מסוים. במצבים מסוימים, הסיווג הנכון עשוי להיות ברור יותר, כגון כאשר החוקים הפדרליים מחייבים את Appy Pie להגן על סוגי נתונים מסוימים (למשל מידע אישי מזהה). במקרים שבהם הסיווג המתאים אינו ברור מעצם, שקול כל מטרת אבטחה כמתואר בטבלה הבאה. הטבלה שלהלן לקוחה מפרסום 199 של תקני עיבוד מידע הפדרלי (FIPS) שפורסם על ידי המכון הלאומי לתקנים וטכנולוגיה, הבוחן את סיווג המידע ומערכות המידע.
| השפעה אפשרית | |||
| מטרת אבטחה | נָמוּך | לְמַתֵן | גָבוֹהַ |
| סודיות שמירה על הגבלות מורשות על גישה וחשיפה למידע, לרבות אמצעים להגנה על הפרטיות האישית ומידע קנייני. | לחשיפה בלתי מורשית של מידע עשויה להיות השפעה שלילית מוגבלת על פעולות ארגוניות, נכסים ארגוניים או יחידים. | חשיפה לא מורשית של מידע עשויה להיות צפויה להשפיע לרעה חמורה על פעולות ארגוניות, נכסים ארגוניים או יחידים. | חשיפה לא מורשית של מידע עשויה להיות צפויה להשפיע לרעה חמורה או קטסטרופלית על פעולות ארגוניות, נכסים ארגוניים או יחידים. |
| יושרה שמירה מפני שינוי או הרס מידע לא תקין וכוללת הבטחת אי-הכחשת מידע ואותנטיות. | ייתכן ששינוי או השמדה בלתי מורשה של מידע יהיו בעלי השפעה שלילית מוגבלת על פעולות ארגוניות, נכסים ארגוניים או יחידים. | ייתכן ששינוי או השמדה בלתי מורשה של מידע יהיו בעלי השפעה שלילית חמורה על פעולות ארגוניות, נכסים ארגוניים או יחידים. | לשינוי או הרס בלתי מורשה של מידע עשוי להיות השפעה שלילית חמורה או קטסטרופלית על פעולות ארגוניות, נכסים ארגוניים או יחידים. |
| זמינות הבטחת גישה בזמן ואמינה למידע ושימוש בו. | ההפרעה בגישה או השימוש במידע או במערכת מידע עשויה להיות בעלת השפעה מגוונת מוגבלת על פעולות ארגוניות, נכסים ארגוניים או יחידים. | ייתכן ששיבוש הגישה או השימוש במידע או במערכת מידע ישפיע לרעה על פעולות ארגוניות, נכסים ארגוניים או יחידים. | לשיבוש הגישה או השימוש במידע או במערכת מידע עשויה להיות השפעה שלילית חמורה או קטסטרופלית על פעולות ארגוניות, נכסים ארגוניים או יחידים. |
כאשר ההשפעה הפוטנציאלית על Appy Pie עוברת מנמוך לגבוה, סיווג הנתונים צריך להפוך להגביל בהדרגה מ-Public to Restricted. במקרה שסיווג מתאים עדיין מעורפל לאחר בחינת הנקודות הנזכרות לעיל, פנה לקצין אבטחת המידע לקבלת סיוע.
| סוג מידע | סיווג נתונים | השפעת הסודיות | השפעת יושרה | השפעת זמינות |
|---|---|---|---|---|
| נתונים אישיים (לקוח) | סוֹדִי | גָבוֹהַ | גָבוֹהַ | גָבוֹהַ |
| נתונים אישיים (עובד) | סוֹדִי | נָמוּך | בֵּינוֹנִי | בֵּינוֹנִי |
| נתונים פיננסיים (לקוחות) | סוֹדִי | גָבוֹהַ | גָבוֹהַ | גָבוֹהַ |
| נתונים פיננסיים (עובדים) | סוֹדִי | גָבוֹהַ | גָבוֹהַ | גָבוֹהַ |
| נתוני ספק | פּוּמְבֵּי | נָמוּך | נָמוּך | נָמוּך |
