Политика классификации данных

Руководство по классификации данных

Назначение

Цель создания этих рекомендаций – разработать основу для классификации данных на основе уровня чувствительности, их ценности и критичности для компании Appy Pie, как того требует политика информационной безопасности компании Appy Pie. Этот процесс классификации данных поможет в дальнейшем определить базовые элементы управления безопасностью для обеспечения безопасности или защиты данных.

Применяется к

Политика распространяется на персонал и распространяется на сторонних Агентов Appy Pie, а также на любые другие аффилированные лица Appy Pie, имеющие доступ к Данным Appy Pie. Политика особенно применима к ресурсам, ответственным за классификацию и защиту Данных Appy Pie, как указано в Ролях и обязанностях информационной безопасности.

Определения

Конфиденциальные данные – это общая фраза, обозначающая любые данные, которые классифицируются как ограниченные, в соответствии со схемой классификации данных, изложенной в данной политике. Довольно часто их также называют конфиденциальными данными.

Распорядитель данных – это назначенный сотрудник высшего уровня в компании Appy Pie, который контролирует жизненный цикл одного или нескольких наборов данных Appy Pie.

Данные Appy Pie включают все данные, принадлежащие или лицензированные компанией Appy Pie.

Непубличная информация – это любая информация, которая классифицируется как частная или ограниченная информация в соответствии со схемой классификации данных, изложенной в политике.

Чувствительные данные – это общий термин, обозначающий любые данные, которые классифицируются как ограниченные, в соответствии со схемой классификации данных, изложенной в данной политике. Довольно часто ее также называют конфиденциальными данными.

Классификация данных

Классификация данных, в контексте информационной безопасности или безопасности данных, – это классификация данных на основе уровня их чувствительности и воздействия, которое они могут оказать на Appy Pie в случае их разглашения, изменения или уничтожения без санкции или разрешения. Этот процесс классификации данных помогает определить соответствующие базовые средства контроля безопасности для защиты данных. Все данные Appy Pie должны быть отнесены к одному из трех уровней чувствительности, или классификаций:

A.Ограниченные данные
Только те данные следует классифицировать как Ограниченные, которые в случае несанкционированного раскрытия, изменения или уничтожения могут привести к значительному риску для компании Appy Pie, ее клиентов или аффилированных лиц. Например, данные, защищенные государственными или федеральными нормами конфиденциальности, или данные, защищенные соглашениями о конфиденциальности. Ограниченные данные должны быть защищены с помощью средств контроля безопасности самого высокого уровня.
B.Частные данные
Только те данные следует классифицировать как частные, которые в случае несанкционированного раскрытия, изменения или уничтожения могут вызвать умеренный риск для компании Appy Pie, ее клиентов или аффилированных лиц. Любые данные Appy Pie, которые явно не классифицируются как Ограниченные или Публичные, по умолчанию должны считаться Частными данными. Частные данные должны быть защищены разумным уровнем контроля безопасности.
C.Публичные данные
Только те данные следует классифицировать как общедоступные, которые в случае несанкционированного раскрытия, изменения или уничтожения могут представлять незначительный риск для компании Appy Pie, ее клиентов и аффилированных лиц. Например, пресс-релизы, образовательные ресурсы и тематические исследования. Несмотря на то, что для защиты конфиденциальности открытых данных необходимо применять мало средств контроля или вообще не применять их, все же определенный уровень контроля должен применяться для предотвращения несанкционированной модификации или уничтожения открытых данных.

Классификация данных должна осуществляться соответствующим ответственным за управление данными. Распорядители данных – это сотрудники высшего звена компании Appy Pie, которые отвечают за надзор за полным жизненным циклом одного или нескольких наборов данных Appy Pie.

Расчет классификации

Целью информационной безопасности, как указано в нашей Политике информационной безопасности, является защита конфиденциальности, целостности и доступности Данных Appy Pie. Классификация данных указывает на уровень воздействия на Appy Pie в случае нарушения конфиденциальности, целостности или доступности.

К сожалению, не существует совершенной количественной системы для расчета классификации конкретного элемента данных. В некоторых ситуациях правильная классификация может быть более очевидной, например, когда федеральные законы требуют от Appy Pie защиты определенных типов данных (например, информации, позволяющей установить личность). В случаях, когда подходящая классификация не является очевидной, рассмотрите каждую цель безопасности, как описано в следующей таблице. Приведенная ниже таблица взята из публикации 199 Федеральных стандартов обработки информации (FIPS), опубликованной Национальным институтом стандартов и технологий, в которой рассматривается классификация информации и информационных систем.

ПОТЕНЦИАЛЬНОЕ ВОЗДЕЙСТВИЕ
Цель безопасностиНИЗКИЙMODERATEВЫСОКАЯ
Конфиденциальность
Сохранение санкционированных ограничений на доступ к информации и ее раскрытие, включая средства защиты личной конфиденциальности и служебной информации.
Можно ожидать, что несанкционированное раскрытие информации окажет ограниченное негативное воздействие на деятельность организации, ее активы или отдельных лиц.Несанкционированное раскрытие информации может оказать серьезное негативное влияние на деятельность организации, ее активы или отдельных лиц.Несанкционированное раскрытие информации может оказать серьезное или катастрофическое негативное воздействие на деятельность организации, ее активы или отдельных лиц.
Целостность
Защита от ненадлежащего изменения или уничтожения информации и включает в себя обеспечение неотказуемости и подлинности информации.
Можно ожидать, что несанкционированная модификация или уничтожение информации окажет ограниченное негативное воздействие на деятельность организации, ее активы или отдельных лиц.Несанкционированное изменение или уничтожение информации может оказать серьезное негативное влияние на деятельность организации, ее активы или отдельных лиц.Несанкционированное изменение или уничтожение информации может оказать серьезное или катастрофическое негативное воздействие на деятельность организации, ее активы или отдельных лиц.
Доступность
Обеспечение своевременного и надежного доступа к информации и ее использования.
Нарушение доступа или использования информации или информационной системы может оказать ограниченное или разнообразное воздействие на деятельность организации, ее активы или отдельных лиц.Нарушение доступа или использования информации или информационной системы может оказать серьезное негативное влияние на деятельность организации, ее активы или отдельных лиц.Нарушение доступа или использования информации или информационной системы может оказать серьезное или катастрофическое негативное воздействие на деятельность организации, ее активы или отдельных лиц.

Когда потенциальное воздействие на Appy Pie переходит от Низкого к Высокому, классификация данных должна становиться все более ограничительной, переходя от Общедоступной к Ограниченной. Если после рассмотрения вышеупомянутых пунктов подходящая классификация все еще не определена, обратитесь за помощью к специалисту по информационной безопасности.

Тип информации Классификация данных Влияние на конфиденциальность Воздействие на целостность Влияние на доступность
Персональные данные (клиент)КонфиденциальноВысокийВысокийВысокий
Персональные данные (сотрудник)КонфиденциальноНизкийСерединаСередина
Финансовые данные (клиенты)КонфиденциальноВысокийВысокийВысокий
Финансовые данные (сотрудники)КонфиденциальноВысокийВысокийВысокий
Данные поставщика ОбщественностьНизкийНизкийНизкий