Linee guida per la classificazione dei dati
Scopo
Lo scopo della creazione di queste linee guida è quello di creare un quadro di riferimento per la classificazione dei dati sulla base del livello di sensibilità, del valore e della criticità per Appy Pie, come richiesto dalla Politica di sicurezza delle informazioni di Appy Pie. Questo processo di classificazione dei dati aiuterà a determinare ulteriormente i controlli di sicurezza di base per la sicurezza o la protezione dei dati.
Si applica a
La Politica è applicabile al personale ed è estesa agli Agenti terzi di Appy Pie così come a qualsiasi altro affiliato di Appy Pie che abbia accesso ai Dati di Appy Pie. La politica si applica in particolare alle risorse responsabili della classificazione e della protezione dei dati di Appy Pie, come specificato dai ruoli e dalle responsabilità in materia di sicurezza delle informazioni.
Definizioni
Dati riservati è una frase generica che indica tutti i dati classificati come riservati, secondo lo schema di classificazione dei dati definito in questa politica. Spesso si parla anche di dati sensibili.
Un Data Steward è un dipendente di alto livello designato da Appy Pie che supervisiona il ciclo di vita di uno o più set di dati Appy Pie.
I dati di Appy Pie comprendono tutti i dati di proprietà o concessi in licenza da Appy Pie.
Le informazioni non pubbliche sono quelle classificate come informazioni private o riservate in base allo schema di classificazione dei dati previsto dalla politica.
Dati sensibili è un termine generico che indica tutti i dati classificati come riservati, secondo lo schema di classificazione dei dati definito in questa politica. Spesso si parla anche di dati riservati.
Classificazione dei dati
La classificazione dei dati, nel contesto della sicurezza delle informazioni o dei dati, è la classificazione dei dati sulla base del loro livello di sensibilità e dell’impatto che potrebbero avere su Appy Pie se dovessero essere divulgati, modificati o distrutti senza sanzioni o autorizzazioni. Questo processo di classificazione dei dati aiuta a determinare i controlli di sicurezza di base appropriati per la protezione dei dati. Tutti i dati di Appy Pie devono essere classificati in uno dei tre livelli di sensibilità, o classificazioni:
| A. | Dati riservati |
| Solo i dati da classificare come riservati, che se divulgati, alterati o distrutti senza autorizzazione possono causare rischi considerevoli per Appy Pie, i suoi clienti o le sue affiliate. Ad esempio, dati protetti da normative statali o federali sulla privacy o dati protetti da accordi di riservatezza. I dati riservati devono essere protetti dal massimo livello di controlli di sicurezza. | |
| B. | Dati privati |
| Solo i dati da classificare come privati, che se divulgati, alterati o distrutti senza autorizzazione possono causare un rischio moderato per Appy Pie, i suoi clienti o le sue affiliate. Tutti i dati di Appy Pie che non sono esplicitamente classificati come dati riservati o pubblici devono essere considerati, per impostazione predefinita, dati privati. I dati privati devono essere protetti da un livello ragionevole di controlli di sicurezza. | |
| C. | Dati pubblici |
| Solo i dati devono essere classificati come Pubblici, che se divulgati, alterati o distrutti senza autorizzazione possono causare rischi minimi o nulli per Appy Pie, i suoi clienti e le sue affiliate. Ad esempio, comunicati stampa, risorse educative e casi di studio. Sebbene sia necessario applicare pochi o nessun controllo per proteggere la riservatezza dei dati pubblici, è comunque necessario applicare un certo livello di controllo per impedire la modifica o la distruzione non autorizzata dei dati pubblici. |
La classificazione dei dati deve essere effettuata da un Data Steward adeguato. I Data Steward sono dipendenti di alto livello di Appy Pie che sono responsabili della supervisione del ciclo di vita completo di uno o più set di dati di Appy Pie.
Calcolo della classificazione
Lo scopo della sicurezza delle informazioni, come indicato nella nostra Politica di sicurezza delle informazioni, è quello di proteggere la riservatezza, l’integrità e la disponibilità dei Dati di Appy Pie. La classificazione dei dati indica il livello di impatto su Appy Pie in caso di compromissione della riservatezza, dell’integrità o della disponibilità.
Purtroppo non esiste un sistema quantitativo perfetto per calcolare la classificazione di un particolare elemento di dati. In alcune situazioni, la classificazione corretta può essere più evidente, ad esempio quando le leggi federali richiedono ad Appy Pie di proteggere particolari tipi di dati (ad esempio, informazioni di identificazione personale). Nei casi in cui la classificazione adatta non è evidente, considerare ogni obiettivo di sicurezza come descritto nella tabella seguente. La tabella seguente è tratta dalla pubblicazione 199 del Federal Information Processing Standards (FIPS), pubblicata dal National Institute of Standards and Technology, che esamina la classificazione delle informazioni e dei sistemi informativi.
| IMPATTO POTENZIALE | |||
| Obiettivo sicurezza | BASSO | MODERATO | ALTO |
| Riservatezza Mantenere le restrizioni autorizzate all’accesso e alla divulgazione delle informazioni, compresi i mezzi per proteggere la privacy personale e le informazioni proprietarie. | La divulgazione non autorizzata di informazioni potrebbe avere un effetto negativo limitato sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. | La divulgazione non autorizzata di informazioni potrebbe avere un grave effetto negativo sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. | La divulgazione non autorizzata di informazioni potrebbe avere un effetto negativo grave o catastrofico sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. |
| Integrità La protezione contro la modifica o la distruzione impropria delle informazioni e comprende la garanzia di non ripudio e autenticità delle informazioni. | La modifica o la distruzione non autorizzata delle informazioni potrebbe avere un effetto negativo limitato sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. | La modifica o la distruzione non autorizzata delle informazioni potrebbe avere un grave effetto negativo sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. | La modifica o la distruzione non autorizzata delle informazioni potrebbe avere un effetto negativo grave o catastrofico sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. |
| Disponibilità Garantire un accesso e un utilizzo tempestivo e affidabile delle informazioni. | L’interruzione dell’accesso o dell’uso delle informazioni o di un sistema informativo potrebbe avere un effetto limitato o diverso sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. | L’interruzione dell’accesso o dell’uso delle informazioni o di un sistema informativo potrebbe avere gravi effetti negativi sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. | L’interruzione dell’accesso o dell’uso delle informazioni o di un sistema informativo potrebbe avere un effetto negativo grave o catastrofico sulle operazioni dell’organizzazione, sui beni dell’organizzazione o sulle persone. |
Quando l’impatto potenziale su Appy Pie passa da Basso ad Alto, la classificazione dei dati deve diventare progressivamente più restrittiva, passando da Pubblica a Limitata. Nel caso in cui, dopo aver preso in considerazione i punti di cui sopra, non sia ancora stata definita una classificazione adeguata, contattare il Responsabile della sicurezza delle informazioni per assistenza.
| Tipo di informazione | Classificazione dei dati | Impatto sulla riservatezza | Impatto sull’integrità | Impatto della disponibilità |
|---|---|---|---|---|
| Dati personali (Cliente) | Riservato | Alto | Alto | Alto |
| Dati personali (dipendente) | Riservato | Basso | Medio | Medio |
| Dati finanziari (clienti) | Riservato | Alto | Alto | Alto |
| Dati finanziari (dipendenti) | Riservato | Alto | Alto | Alto |
| Dati del fornitore | Pubblico | Basso | Basso | Basso |
