Az adatok osztályozására vonatkozó iránymutatások
Cél
Ezen iránymutatások létrehozásának célja, hogy az Appy Pie információbiztonsági politikájában előírtak szerint az adatok érzékenységi szintje, értéke és kritikussága alapján az Appy Pie számára az adatok osztályozásának keretrendszerét alkossuk meg. Ez az adatosztályozási folyamat segít az adatbiztonság vagy adatvédelem alapvető biztonsági ellenőrzéseinek további meghatározásában.
Vonatkozik
A Szabályzat a személyzetre vonatkozik, és kiterjed az Appy Pie harmadik fél ügynökeire, valamint az Appy Pie bármely más olyan társvállalatára, amely hozzáféréssel rendelkezik az Appy Pie adataihoz. A szabályzat különösen az Appy Pie adatainak minősítéséért és védelméért felelős erőforrásokra vonatkozik, ahogyan azt az Információbiztonsági szerepek és felelősségi körök meghatározzák.
Fogalommeghatározások
A bizalmas adatok egy általános kifejezés, amely minden olyan adatot jelöl, amely a jelen szabályzatban meghatározott adatosztályozási rendszer szerint korlátozottnak minősül. Gyakran nevezik érzékeny adatoknak is.
Az adatgazda az Appy Pie kijelölt vezető beosztású alkalmazottja, aki felügyeli az Appy Pie adatok egy vagy több csoportjának életciklusát.
Az Appy Pie adatok az Appy Pie tulajdonában lévő vagy licencelt összes adatot tartalmazzák.
Nem nyilvános információnak minősül minden olyan információ, amely a szabályzatban meghatározott adatminősítési séma szerint bizalmas vagy korlátozott információnak minősül.
Az érzékeny adat egy általános kifejezés, amely minden olyan adatot jelöl, amely a jelen szabályzatban meghatározott adatosztályozási rendszer szerint korlátozottnak minősül. Gyakran bizalmas adatnak is nevezik.
Adatok osztályozása
Az adatok minősítése az információ- vagy adatbiztonsággal összefüggésben az adatok minősítése az érzékenységi szintjük és az Appy Pie-ra gyakorolt hatásuk alapján, ha az adatokat szankció vagy engedély nélkül nyilvánosságra hozzák, módosítják vagy megsemmisítik. Ez az adatosztályozási folyamat segít meghatározni az adatvédelem megfelelő alapvető biztonsági ellenőrzéseit. Minden Appy Pie-adatot három érzékenységi szint vagy osztályozás egyikébe kell besorolni:
| A. | Korlátozott adatok |
| Kizárólag azok az adatok minősíthetők korlátozottnak, amelyek engedély nélküli közzététele, megváltoztatása vagy megsemmisítése jelentős kockázatot jelenthet az Appy Pie, ügyfelei vagy kapcsolt vállalkozásai számára. Például – állami vagy szövetségi adatvédelmi előírások által védett adatok vagy titoktartási megállapodások által védett adatok. A korlátozott adatokat a legmagasabb szintű biztonsági ellenőrzésekkel kell védeni. | |
| B. | Magánadatok |
| Csak olyan adatok minősíthetők Magánjellegűnek, amelyek jogosulatlan közzététele, megváltoztatása vagy megsemmisítése mérsékelt kockázatot jelenthet az Appy Pie, ügyfelei vagy kapcsolt vállalkozásai számára. Minden olyan Appy Pie-adatot, amely nem minősül kifejezetten korlátozott vagy nyilvános adatnak, alapértelmezés szerint magánadatnak kell tekinteni. A személyes adatokat ésszerű szintű biztonsági ellenőrzésekkel kell védeni. | |
| C. | Nyilvános adatok |
| Csak olyan adatok minősíthetők Nyilvánosnak, amelyek jogosulatlan közzététele, megváltoztatása vagy megsemmisítése az Appy Pie, ügyfelei és kapcsolt vállalkozásai számára nem vagy csak kis mértékben jelenthet kockázatot. Például – sajtóközlemények, oktatási források és esettanulmányok. Bár a nyilvános adatok titkosságának védelme érdekében kevés vagy semmilyen ellenőrzést nem kell alkalmazni, mégis bizonyos szintű ellenőrzést kell alkalmazni a nyilvános adatok jogosulatlan módosításának vagy megsemmisítésének megakadályozása érdekében. |
Az adatok osztályozását egy megfelelő adatgazda kell, hogy elvégezze. Az Adatkezelők az Appy Pie vezető beosztású alkalmazottai, akik felelősek az Appy Pie egy vagy több adatkészletének teljes életciklusának felügyeletéért.
A besorolás kiszámítása
Az információbiztonság célja, amint azt az Információbiztonsági szabályzatunk is említi, az Appy Pie adatok titkosságának, integritásának és rendelkezésre állásának védelme. Az adatok osztályozása jelzi az Appy Pie-ra gyakorolt hatás mértékét, ha a titkosság, az integritás vagy a rendelkezésre állás sérül.
Sajnálatos módon nincs tökéletes mennyiségi rendszer egy adott adatelem osztályozásának kiszámítására. Bizonyos helyzetekben a helyes besorolás egyértelműbb lehet, például amikor a szövetségi törvények megkövetelik az Appy Pie-től bizonyos adattípusok (pl. személyazonosításra alkalmas információk) védelmét. Azokban az esetekben, amikor a megfelelő osztályozás nem nyilvánvaló, minden biztonsági célkitűzést a következő táblázatban leírtak szerint kell megvizsgálni. Az alábbi táblázat a Nemzeti Szabványügyi és Technológiai Intézet által kiadott 199. számú FIPS (Federal Information Processing Standards) kiadványból származik, amely az információk és az információs rendszerek osztályozását vizsgálja.
| POTENCIÁLIS HATÁS | |||
| Biztonsági célkitűzés | LOW | MODERÁTUS | HIGH |
| Bizalmasság Az információhoz való hozzáférés és az információk nyilvánosságra hozatalának engedélyezett korlátozásának fenntartása, beleértve a magánélet és a védett információk védelmét szolgáló eszközöket. | Az információk jogosulatlan nyilvánosságra hozatala várhatóan korlátozottan káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre. | Az információk jogosulatlan nyilvánosságra hozatala várhatóan súlyos káros hatással lenne a szervezeti működésre, a szervezeti vagyonra vagy egyénekre. | Az információk jogosulatlan nyilvánosságra hozatala várhatóan súlyos vagy katasztrofális káros hatással lenne a szervezeti működésre, a szervezeti eszközökre vagy egyénekre. |
| Integritás Az információ nem megfelelő módosítása vagy megsemmisítése elleni védelem, amely magában foglalja az információ letagadhatatlanságának és hitelességének biztosítását. | Az információk jogosulatlan módosítása vagy megsemmisítése várhatóan korlátozottan káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre. | Az információk jogosulatlan módosítása vagy megsemmisítése várhatóan súlyos káros hatással lehet a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre. | Az információk jogosulatlan módosítása vagy megsemmisítése várhatóan súlyos vagy katasztrofális káros hatással lehet a szervezeti működésre, a szervezeti eszközökre vagy egyénekre. |
| Elérhetőség Az információkhoz való időbeni és megbízható hozzáférés és felhasználás biztosítása. | Az információhoz vagy információs rendszerhez való hozzáférés vagy annak használatának megszakadása várhatóan korlátozott vagy sokrétű hatást gyakorol a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre. | Az információhoz vagy információs rendszerhez való hozzáférés vagy annak használatának megszakadása várhatóan súlyos káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre. | Az információhoz vagy információs rendszerhez való hozzáférés vagy annak használatának megszakadása várhatóan súlyos vagy katasztrofális káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre. |
Amikor az Appy Pie-ra gyakorolt potenciális hatás alacsonyról magasra emelkedik, az adatminősítést fokozatosan korlátozni kell a nyilvánosról a korlátozottra. Amennyiben a fent említett pontok kellő mérlegelése után sem egyértelmű a megfelelő minősítés, forduljon segítségért az információbiztonsági tisztviselőhöz.
| Információ típusa | Adatok osztályozása | Bizalmassági hatás | Integritás hatása | A rendelkezésre állás hatása |
|---|---|---|---|---|
| Személyes adatok (ügyfél) | Bizalmas | Magas | Magas | Magas |
| Személyes adatok (munkavállaló) | Bizalmas | Alacsony | Mid | Mid |
| Pénzügyi adatok (ügyfelek) | Bizalmas | Magas | Magas | Magas |
| Pénzügyi adatok (alkalmazottak) | Bizalmas | Magas | Magas | Magas |
| Forgalmazói adatok | Nyilvános | Alacsony | Alacsony | Alacsony |
