Polityka klasyfikacji danych

Wytyczne dotyczące klasyfikacji danych

Przeznaczenie

Celem stworzenia tych wytycznych jest stworzenie ram dla klasyfikacji danych na podstawie poziomu wrażliwości, ich wartości i krytyczności dla Appy Pie zgodnie z wymogami Polityki Bezpieczeństwa Informacji Appy Pie. Ten proces klasyfikacji danych pomoże w dalszym określeniu podstawowych kontroli bezpieczeństwa w celu zabezpieczenia lub ochrony danych.

Dotyczy

Polityka ma zastosowanie do pracowników i jest rozszerzona na osoby trzecie będące agentami Appy Pie, jak również na wszelkie inne podmioty powiązane z Appy Pie, które mają dostęp do Danych Appy Pie. Polityka dotyczy w szczególności zasobów odpowiedzialnych za klasyfikację i ochronę Danych Appy Pie, co określają Role i obowiązki w zakresie bezpieczeństwa informacji

Definicje

Dane poufne to ogólny zwrot oznaczający wszelkie dane, które są sklasyfikowane jako zastrzeżone, zgodnie ze schematem klasyfikacji danych określonym w niniejszej polityce. Dość często określa się je również jako dane wrażliwe.

Administrator Danych to wyznaczony pracownik wyższego szczebla w Appy Pie, który nadzoruje cykl życia jednego lub wielu zbiorów danych Appy Pie.

Dane Appy Pie obejmują wszystkie dane będące własnością lub licencjonowane przez Appy Pie.

Informacja niepubliczna to każda informacja, która została sklasyfikowana jako Informacja prywatna lub zastrzeżona zgodnie ze schematem klasyfikacji danych przedstawionym w polityce.

Dane wrażliwe to termin ogólny, który oznacza wszelkie dane sklasyfikowane jako zastrzeżone, zgodnie ze schematem klasyfikacji danych określonym w niniejszej polityce. Dość często określa się je również jako dane poufne.

Klasyfikacja danych

Klasyfikacja danych, w kontekście bezpieczeństwa informacji lub danych, to klasyfikacja danych na podstawie ich poziomu wrażliwości i wpływu, jaki mogą mieć na Appy Pie, jeśli zostałyby ujawnione, zmodyfikowane lub zniszczone bez sankcji lub upoważnienia. Ten proces klasyfikacji danych pomaga w ustaleniu odpowiednich podstawowych środków bezpieczeństwa służących ochronie danych. Wszystkie dane Appy Pie muszą być zaklasyfikowane do jednego z trzech poziomów wrażliwości, czyli klasyfikacji:

A.Dane zastrzeżone
Tylko te dane powinny być klasyfikowane jako zastrzeżone, których ujawnienie, zmiana lub zniszczenie bez upoważnienia może spowodować znaczne ryzyko dla Appy Pie, jej klientów lub podmiotów powiązanych. Na przykład – dane chronione przez stanowe lub federalne przepisy dotyczące prywatności lub dane chronione przez umowy o zachowaniu poufności. Dane zastrzeżone muszą być chronione przez najwyższy poziom kontroli bezpieczeństwa.
B.Dane prywatne
Tylko te dane powinny być klasyfikowane jako Prywatne, których ujawnienie, zmiana lub zniszczenie bez upoważnienia może spowodować umiarkowane ryzyko dla Appy Pie, jej klientów lub podmiotów powiązanych. Wszelkie dane Appy Pie, które nie są jednoznacznie sklasyfikowane jako dane Restricted lub Public, powinny być domyślnie uznane za dane Private. Dane prywatne muszą być chronione przez rozsądny poziom kontroli bezpieczeństwa.
C.Dane publiczne
Tylko te dane powinny być klasyfikowane jako Publiczne, których ujawnienie, zmiana lub zniszczenie bez upoważnienia może spowodować niewielkie lub żadne zagrożenie dla Appy Pie, jej klientów i podmiotów powiązanych. Na przykład – informacje prasowe, zasoby edukacyjne i studia przypadków. Chociaż do ochrony poufności danych publicznych nie trzeba stosować żadnych środków kontroli, to jednak pewien poziom kontroli musi być zastosowany, aby zapobiec nieuprawnionej modyfikacji lub zniszczeniu danych publicznych.

Klasyfikacja danych musi być przeprowadzona przez odpowiedniego Stewarda Danych. Stewardzi Danych to pracownicy wyższego szczebla w Appy Pie, którzy są odpowiedzialni za nadzorowanie pełnego cyklu życia jednego lub wielu zbiorów danych Appy Pie.

Obliczanie klasyfikacji

Celem bezpieczeństwa informacji, jak wspomniano w naszej Polityce Bezpieczeństwa Informacji, jest ochrona poufności, integralności i dostępności danych Appy Pie. Klasyfikacja danych wskazuje poziom wpływu na Appy Pie w przypadku naruszenia poufności, integralności lub dostępności.

Niestety, nie istnieje idealny system ilościowy do obliczania klasyfikacji danego elementu danych. W niektórych sytuacjach właściwa klasyfikacja może być bardziej oczywista, np. gdy prawo federalne wymaga od Appy Pie ochrony określonych typów danych (np. informacji umożliwiających identyfikację osoby). W przypadkach, gdy odpowiednia klasyfikacja nie jest wrodzona, należy rozważyć każdy cel bezpieczeństwa w sposób opisany w poniższej tabeli. Poniższa tabela pochodzi z publikacji Federal Information Processing Standards (FIPS) nr 199 opublikowanej przez National Institute of Standards and Technology, która bada klasyfikację informacji i systemów informatycznych.

POTENCJALNY WPŁYW
Cel ochronyNISKIUMIARKOWANYHIGH
Poufność
Zachowanie dozwolonych ograniczeń w dostępie do informacji i ich ujawnianiu, w tym środków ochrony prywatności osób i informacji zastrzeżonych.
Można oczekiwać, że nieuprawnione ujawnienie informacji może mieć ograniczony negatywny wpływ na działalność organizacyjną, aktywa organizacyjne lub osoby fizyczne.Można się spodziewać, że nieuprawnione ujawnienie informacji może mieć poważny, niekorzystny wpływ na działalność organizacyjną, majątek organizacyjny lub osoby fizyczne.Można się spodziewać, że nieuprawnione ujawnienie informacji może mieć poważny lub katastrofalny negatywny wpływ na działania organizacyjne, aktywa organizacyjne lub osoby.
Integrity
Zabezpieczenie przed niewłaściwą modyfikacją lub zniszczeniem informacji i obejmuje zapewnienie niezaprzeczalności i autentyczności informacji.
Można oczekiwać, że nieautoryzowana modyfikacja lub zniszczenie informacji może mieć ograniczony negatywny wpływ na działania organizacyjne, aktywa organizacyjne lub osoby.Można się spodziewać, że nieautoryzowana modyfikacja lub zniszczenie informacji może mieć poważny negatywny wpływ na działania organizacyjne, aktywa organizacyjne lub osoby.Można się spodziewać, że nieautoryzowana modyfikacja lub zniszczenie informacji może mieć poważny lub katastrofalny negatywny wpływ na działania organizacyjne, aktywa organizacyjne lub osoby.
Dostępność
Zapewnienie terminowego i wiarygodnego dostępu do informacji i ich wykorzystania.
Można się spodziewać, że zakłócenie dostępu do informacji lub systemu informacyjnego albo ich wykorzystania będzie miało ograniczony lub zróżnicowany wpływ na działalność organizacji, jej aktywa lub osoby fizyczne.Można się spodziewać, że zakłócenie dostępu do informacji lub systemu informacyjnego albo ich wykorzystania może mieć poważny, niekorzystny wpływ na działalność organizacji, jej aktywa lub osoby.Można się spodziewać, że zakłócenie dostępu do informacji lub systemu informacyjnego albo ich wykorzystania będzie miało poważny lub katastrofalny negatywny wpływ na działalność organizacji, jej aktywa lub osoby.

Gdy potencjalny wpływ na Appy Pie zmienia się z niskiego na wysoki, klasyfikacja danych musi stawać się coraz bardziej restrykcyjna, przechodząc od Public do Restricted. W przypadku, gdy odpowiednia klasyfikacja jest nadal niejasna po odpowiednim rozważeniu punktów wymienionych powyżej, należy skontaktować się z oficerem bezpieczeństwa informacji w celu uzyskania pomocy.

Typ informacji Klasyfikacja danych Wpływ na poufność Wpływ integralności Wpływ dostępności
Dane osobowe (Klient)PoufneHighHighHigh
Dane osobowe (Pracownik)PoufneNiskiMidMid
Dane finansowe (Klienci)PoufneHighHighHigh
Dane finansowe (Pracownicy)PoufneHighHighHigh
Dane sprzedawcy PublicznaNiskiNiskiNiski