Orientări pentru clasificarea datelor
Scop
Scopul creării acestor linii directoare este de a crea un cadru pentru clasificarea datelor pe baza nivelului de sensibilitate, a valorii și a caracterului critic al acestora pentru Appy Pie, așa cum prevede Politica de securitate a informațiilor a Appy Pie. Acest proces de clasificare a datelor va ajuta la determinarea ulterioară a controalelor de securitate de bază pentru securitatea sau protecția datelor.
Se aplică la
Politica se aplică personalului și se extinde la agenții terți ai Appy Pie, precum și la orice alt afiliat al Appy Pie care are acces la datele Appy Pie. Politica se aplică în special resurselor responsabile pentru clasificarea și protecția datelor Appy Pie, așa cum se specifică în Rolul și responsabilitățile privind securitatea informațiilor.
Definiții
Date confidențiale este o sintagmă generică care desemnează toate datele clasificate ca fiind restricționate, în conformitate cu schema de clasificare a datelor stabilită în prezenta politică. De asemenea, acestea sunt adesea denumite date sensibile.
Un administrator de date este un angajat desemnat la nivel superior în cadrul Appy Pie care supraveghează ciclul de viață al unuia sau mai multor seturi de date Appy Pie.
Datele Appy Pie includ toate datele deținute sau licențiate de Appy Pie.
Informațiile care nu sunt publice sunt orice informații clasificate ca fiind informații private sau restricționate, în conformitate cu schema de clasificare a datelor prezentată în această politică.
Date sensibile este un termen generic care desemnează toate datele clasificate ca fiind restricționate, în conformitate cu schema de clasificare a datelor stabilită în această politică. De asemenea, sunt adesea denumite date confidențiale.
Clasificarea datelor
Clasificarea datelor, în contextul securității informațiilor sau a datelor, reprezintă clasificarea datelor pe baza nivelului de sensibilitate și a impactului pe care l-ar putea avea asupra Appy Pie dacă ar fi divulgate, modificate sau distruse fără sancțiune sau autorizație. Acest proces de clasificare a datelor ajută la stabilirea controalelor de securitate de bază adecvate pentru protecția datelor. Toate datele Appy Pie trebuie să fie clasificate într-unul dintre cele trei niveluri de sensibilitate sau clasificări:
| A. | Date restricționate |
| Numai acele date ar trebui să fie clasificate ca fiind cu acces restricționat, care, dacă sunt divulgate, modificate sau distruse fără autorizație, pot cauza riscuri considerabile pentru Appy Pie, clienții săi sau afiliații săi. De exemplu, date protejate de reglementările de stat sau federale privind confidențialitatea sau date protejate prin acorduri de confidențialitate. Datele restricționate trebuie să fie protejate prin controale de securitate de cel mai înalt nivel. | |
| B. | Date private |
| Numai acele date ar trebui clasificate ca fiind private, care, dacă sunt divulgate, modificate sau distruse fără autorizație, pot cauza un risc moderat pentru Appy Pie, clienții sau afiliații săi. Orice date Appy Pie care nu sunt clasificate în mod explicit ca date restricționate sau publice ar trebui, în mod implicit, să fie considerate date private. Datele private trebuie să fie protejate printr-un nivel rezonabil de controale de securitate. | |
| C. | Date publice |
| Numai acele date ar trebui clasificate ca fiind publice, care, dacă sunt divulgate, modificate sau distruse fără autorizație, pot cauza un risc mic sau deloc pentru Appy Pie, clienții și afiliații săi. De exemplu, comunicate de presă, resurse educaționale și studii de caz. Deși este nevoie de controale puține sau deloc pentru a proteja confidențialitatea datelor publice, trebuie totuși aplicat un anumit nivel de control pentru a preveni modificarea sau distrugerea neautorizată a datelor publice. |
Clasificarea datelor trebuie să fie efectuată de către un administrator de date adecvat. Administratorii de date sunt angajați de nivel superior la Appy Pie care sunt responsabili de supravegherea ciclurilor complete de viață ale unuia sau mai multor seturi de date Appy Pie.
Calcularea clasificării
Scopul securității informațiilor, așa cum este menționat în Politica noastră de securitate a informațiilor, este de a proteja confidențialitatea, integritatea și disponibilitatea datelor Appy Pie. Clasificarea datelor indică nivelul de impact asupra Appy Pie în cazul în care există o compromitere a confidențialității, integrității sau disponibilității.
Din păcate, nu există un sistem cantitativ perfect pentru calcularea clasificării unui anumit element de date. În unele situații, clasificarea corectă poate fi mai evidentă, cum ar fi atunci când legile federale impun ca Appy Pie să protejeze anumite tipuri de date (de exemplu, informații de identificare personală). În cazurile în care clasificarea adecvată nu este evidentă în mod natural, luați în considerare fiecare obiectiv de securitate, așa cum este descris în tabelul următor. Tabelul de mai jos este preluat din publicația 199 a Federal Information Processing Standards (FIPS), publicată de National Institute of Standards and Technology, care examinează clasificarea informațiilor și a sistemelor informatice.
| IMPACTUL POTENȚIAL | |||
| Obiectiv de securitate | LOW | MODERATE | HIGH |
| Confidențialitate menținerea restricțiilor autorizate privind accesul la informații și divulgarea acestora, inclusiv a mijloacelor de protecție a vieții private și a informațiilor de proprietate. | Este de așteptat ca divulgarea neautorizată a informațiilor să aibă un efect negativ limitat asupra operațiunilor organizaționale, a activelor organizaționale sau asupra persoanelor. | Este de așteptat ca divulgarea neautorizată a informațiilor să aibă un efect negativ grav asupra operațiunilor organizaționale, a activelor organizaționale sau asupra persoanelor. | Este de așteptat ca divulgarea neautorizată a informațiilor să aibă un efect negativ grav sau catastrofal asupra operațiunilor organizației, a activelor organizației sau a persoanelor. |
| Integritate Protejarea împotriva modificării sau distrugerii necorespunzătoare a informațiilor și include asigurarea nerepudicării și autenticității informațiilor. | Este de așteptat ca modificarea sau distrugerea neautorizată a informațiilor să aibă un efect negativ limitat asupra operațiunilor organizaționale, asupra activelor organizaționale sau asupra persoanelor. | Este de așteptat ca modificarea sau distrugerea neautorizată a informațiilor să aibă un efect negativ grav asupra operațiunilor organizaționale, asupra activelor organizaționale sau asupra persoanelor. | Este de așteptat ca modificarea sau distrugerea neautorizată a informațiilor să aibă un efect negativ grav sau catastrofal asupra operațiunilor organizaționale, a activelor organizaționale sau a persoanelor. |
| Disponibilitate Asigurarea accesului la timp și fiabil la informații și utilizarea acestora. | Este de așteptat ca întreruperea accesului la informații sau la un sistem informatic sau a utilizării acestora să aibă un efect limitat sau divers asupra operațiunilor organizaționale, a activelor organizaționale sau a persoanelor. | Este de așteptat ca întreruperea accesului la informații sau la un sistem informatic sau a utilizării acestora să aibă un efect negativ grav asupra operațiunilor organizaționale, a activelor organizaționale sau asupra persoanelor. | S-ar putea ca întreruperea accesului la informații sau la un sistem informatic sau a utilizării acestora să aibă un efect negativ grav sau catastrofal asupra operațiunilor organizaționale, a activelor organizaționale sau a persoanelor. |
Atunci când impactul potențial asupra Appy Pie trece de la scăzut la ridicat, clasificarea datelor trebuie să devină progresiv restrictivă, de la Public la Restricted. În cazul în care o clasificare adecvată este încă vagă după luarea în considerare a punctelor menționate mai sus, contactați responsabilul cu securitatea informațiilor pentru asistență.
| Tipul de informații | Clasificarea datelor | Impactul confidențialității | Impactul asupra integrității | Impactul disponibilității |
|---|---|---|---|---|
| Date cu caracter personal (client) | Confidențial | Mare | Mare | Mare |
| Date cu caracter personal (angajat) | Confidențial | Scăzut | Mijlocul | Mijlocul |
| Date financiare (clienți) | Confidențial | Mare | Mare | Mare |
| Date financiare (angajați) | Confidențial | Mare | Mare | Mare |
| Datele furnizorului | Public | Scăzut | Scăzut | Scăzut |
