Politika klasifikacije podataka

Smjernice za klasifikaciju podataka

Svrha

Svrha izrade ovih smjernica je osmisliti okvir za klasifikaciju podataka na temelju razine osjetljivosti, njihove vrijednosti i kritičnosti za Appy Pie kako zahtijevaju Politika informacijske sigurnosti Appy Pie. Ovaj proces klasifikacije podataka pomoći će u daljnjem određivanju osnovnih sigurnosnih kontrola za sigurnost ili zaštitu podataka.

Odnosi se na

Pravila su primjenjiva na osoblje i proširena su na agente treće strane Appy Piea, kao i na sve druge Appy Pie podružnice koje imaju pristup Appy Pie podacima. Politika se posebno odnosi na resurse odgovorne za klasifikaciju i zaštitu podataka Appy Pie, kao što je navedeno u ulogama i odgovornostima za informacijsku sigurnost

Definicije

Povjerljivi podaci je generička fraza koja označava sve podatke koji su klasificirani kao Ograničeni, prema shemi klasifikacije podataka navedenoj u ovoj politici. Često se naziva i osjetljivim podacima.

Data Steward je imenovani zaposlenik više razine u Appy Pie koji nadzire životni ciklus jednog ili više skupova Appy Pie podataka.

Podaci Appy Pie uključuju sve podatke u vlasništvu ili licencirani od strane Appy Pie.

Informacije koje nisu javne su sve informacije koje su klasificirane kao privatne ili ograničene informacije prema shemi klasifikacije podataka navedenoj u politici.

Osjetljivi podaci generički su pojam koji označava sve podatke koji su klasificirani kao Ograničeni, prema shemi klasifikacije podataka navedenoj u ovoj politici. Vrlo često se nazivaju i povjerljivim podacima.

Klasifikacija podataka

Klasifikacija podataka, u kontekstu sigurnosti informacija ili podataka, je klasifikacija podataka na temelju njihove razine osjetljivosti i utjecaja koji bi mogli imati na Appy Pie ako bi bili otkriveni, modificirani ili uništeni bez sankcije ili ovlaštenja. Ovaj proces klasifikacije podataka pomaže u utvrđivanju odgovarajućih osnovnih sigurnosnih kontrola za zaštitu podataka. Svi Appy Pie podaci moraju biti klasificirani u jednu od tri razine osjetljivosti ili klasifikacije:

A.Ograničeni podaci
Samo oni podaci trebaju biti klasificirani kao Ograničeni, koji ako se otkriju, izmijene ili unište bez ovlaštenja mogu prouzročiti značajan rizik za Appy Pie, njegove klijente ili njegove podružnice. Na primjer – podaci zaštićeni državnim ili saveznim propisima o privatnosti ili podaci zaštićeni ugovorima o povjerljivosti. Ograničeni podaci moraju biti zaštićeni najvišom razinom sigurnosnih kontrola.
B.Privatni podaci
Samo oni podaci trebaju biti klasificirani kao privatni, koji ako se otkriju, izmijene ili unište bez ovlaštenja mogu uzrokovati umjereni rizik za Appy Pie, njegove klijente ili njegove podružnice. Svi Appy Pie podaci koji nisu izričito klasificirani kao ograničeni ili javni podaci trebali bi se prema zadanim postavkama smatrati privatnim podacima. Privatni podaci moraju biti zaštićeni razumnom razinom sigurnosnih kontrola.
C.Javni podaci
Samo oni podaci trebaju biti klasificirani kao javni, koji ako se otkriju, izmijene ili unište bez ovlaštenja mogu uzrokovati mali ili nikakav rizik za Appy Pie, njegove klijente i njegova povezana društva. Na primjer – priopćenja za javnost, obrazovni resursi i studije slučaja. Iako je potrebno primijeniti malo ili nimalo kontrola za zaštitu povjerljivosti javnih podataka, ipak se mora primijeniti određena razina kontrole kako bi se spriječilo neovlašteno mijenjanje ili uništavanje javnih podataka.

Klasifikaciju podataka mora izvršiti odgovarajući upravitelj podataka. Data Stewards zaposlenici su više razine u Appy Pieu koji su odgovorni za nadgledanje cjelokupnog životnog ciklusa jednog ili više skupova Appy Pie podataka.

Izračunavanje klasifikacije

Svrha informacijske sigurnosti, kao što je navedeno u našoj Politici informacijske sigurnosti, je zaštita povjerljivosti, integriteta i dostupnosti Appy Pie podataka. Klasifikacija podataka ukazuje na razinu utjecaja na Appy Pie ako postoji bilo kakvo ugrožavanje povjerljivosti, integriteta ili dostupnosti.

Nažalost, ne postoji savršeni kvantitativni sustav za izračun klasifikacije određenog elementa podataka. U nekim situacijama točna klasifikacija može biti očiglednija, primjerice kada savezni zakoni zahtijevaju da Appy Pie štiti određene vrste podataka (npr. informacije koje otkrivaju identitet). U slučajevima kada odgovarajuća klasifikacija nije urođeno očita, razmotrite svaki sigurnosni cilj kako je opisano u sljedećoj tablici. Tablica u nastavku preuzeta je iz publikacije 199 Saveznih standarda za obradu informacija (FIPS) koju je objavio Nacionalni institut za standarde i tehnologiju, a koja ispituje klasifikaciju informacija i informacijskih sustava.

POTENCIJALNI UTJECAJ
Sigurnosni ciljNISKOUMJERENVISOKO
Povjerljivost
Očuvanje ovlaštenih ograničenja pristupa informacijama i otkrivanja, uključujući sredstva za zaštitu osobne privatnosti i vlasničkih informacija.
Može se očekivati da će neovlašteno otkrivanje informacija imati ograničen negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.Može se očekivati da će neovlašteno otkrivanje informacija imati ozbiljan negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.Može se očekivati da će neovlašteno otkrivanje informacija imati ozbiljan ili katastrofalan štetan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.
Integritet
Zaštita od neprikladne izmjene ili uništenja informacija i uključuje osiguravanje neporicanja i autentičnosti informacija.
Može se očekivati da će neovlaštena izmjena ili uništavanje informacija imati ograničen negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.Može se očekivati da će neovlaštena izmjena ili uništavanje informacija imati ozbiljan negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.Može se očekivati da će neovlaštena izmjena ili uništavanje informacija imati ozbiljan ili katastrofalan negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.
Dostupnost
Osiguravanje pravodobnog i pouzdanog pristupa i korištenja informacija.
Moglo bi se očekivati da će poremećaj pristupa ili korištenja informacija ili informacijskog sustava imati ograničen ili raznolik učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.Moglo bi se očekivati da će prekid pristupa ili korištenja informacija ili informacijskog sustava imati ozbiljan negativan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.Moglo bi se očekivati da će prekid pristupa ili korištenja informacija ili informacijskog sustava imati ozbiljan ili katastrofalan štetan učinak na organizacijske operacije, organizacijsku imovinu ili pojedince.

Kada potencijalni utjecaj na Appy Pie prijeđe s niske na visoku, klasifikacija podataka mora postati postupno restriktivna prelazeći s javne na ograničenu. U slučaju da je odgovarajuća klasifikacija još uvijek nejasna nakon pažljivog razmatranja gore navedenih točaka, obratite se službeniku za informacijsku sigurnost za pomoć.

Vrsta informacije Klasifikacija podataka Utjecaj na povjerljivost Utjecaj na integritet Utjecaj dostupnosti
Osobni podaci (Klijent)Povjerljivovisokovisokovisoko
Osobni podaci (zaposlenik)PovjerljivoNiskaSredinaSredina
Financijski podaci (klijenti)Povjerljivovisokovisokovisoko
Financijski podaci (zaposlenici)Povjerljivovisokovisokovisoko
Podaci dobavljača JavnostNiskaNiskaNiska