Veri Sınıflandırma Kılavuzları
Amaç
Bu kılavuzların oluşturulmasının amacı, Appy Pie’ın Bilgi Güvenliği Politikası’nın gerektirdiği şekilde verilerin hassasiyet seviyesi, Appy Pie için değeri ve kritikliği temelinde sınıflandırılması için bir çerçeve oluşturmaktır. Bu veri sınıflandırma süreci, veri güvenliği veya koruması için temel güvenlik kontrollerinin daha fazla belirlenmesine yardımcı olacaktır.
Şunlar için geçerlidir
Politika, personel için geçerlidir ve Appy Pie’ın üçüncü taraf Temsilcilerinin yanı sıra Appy Pie Verilerine erişimi olan diğer tüm Appy Pie iştiraklerini de kapsar. Bu politika özellikle Bilgi Güvenliği Rolleri ve Sorumlulukları’nda belirtildiği gibi Appy Pie’ın Verilerinin sınıflandırılması ve korunmasından sorumlu kaynaklar için geçerlidir
Tanımlar
Gizli Veri, bu politikada belirtilen veri sınıflandırma şemasına göre Kısıtlı olarak sınıflandırılan her türlü veriyi ifade eden genel bir ifadedir. Çoğu zaman hassas veri olarak da adlandırılır.
Veri Sorumlusu, Appy Pie’da bir veya birden fazla Appy Pie Veri setinin yaşam döngüsünü denetleyen belirlenmiş üst düzey bir çalışandır.
Appy Pie Verileri, Appy Pie’ın sahip olduğu veya lisansladığı tüm verileri içerir.
Kamuya Açık Olmayan Bilgi, politikada belirtilen veri sınıflandırma şemasına göre Özel veya Kısıtlı Bilgi olarak sınıflandırılan her türlü bilgidir.
Hassas Veriler, bu politikada belirtilen veri sınıflandırma şemasına göre Kısıtlı olarak sınıflandırılan her türlü veriyi ifade eden genel bir terimdir. Çoğu zaman gizli veri olarak da adlandırılır.
Veri Sınıflandırması
Bilgi veya veri güvenliği bağlamında veri sınıflandırması, verilerin hassasiyet seviyesine ve yaptırım veya yetkilendirme olmaksızın ifşa edilmesi, değiştirilmesi veya imha edilmesi durumunda Appy Pie üzerinde yaratabileceği etkiye göre sınıflandırılmasıdır. Bu veri sınıflandırma süreci, veri koruması için uygun temel güvenlik kontrollerinin belirlenmesine yardımcı olur. Tüm Appy Pie verileri üç hassasiyet seviyesinden veya sınıflandırmadan birine göre sınıflandırılmalıdır:
| A. | Kısıtlı Veri |
| Yalnızca yetkisiz olarak ifşa edilmesi, değiştirilmesi veya imha edilmesi durumunda Appy Pie, müşterileri veya bağlı kuruluşları için önemli risklere neden olabilecek veriler Kısıtlı olarak sınıflandırılmalıdır. Örneğin – eyalet veya federal gizlilik yönetmelikleriyle korunan veriler veya gizlilik anlaşmalarıyla korunan veriler. Kısıtlanmış veriler en üst düzey güvenlik kontrolleriyle korunmalıdır. | |
| B. | Özel Veri |
| Yalnızca yetkisiz olarak açıklanması, değiştirilmesi veya yok edilmesi halinde Appy Pie, müşterileri veya iştirakleri için orta düzeyde risk oluşturabilecek veriler Özel olarak sınıflandırılmalıdır. Açıkça Kısıtlı veya Genel veri olarak sınıflandırılmayan tüm Appy Pie Verileri varsayılan olarak Özel veri olarak kabul edilmelidir. Özel veriler makul düzeyde güvenlik kontrolleri ile korunmalıdır. | |
| C. | Kamu Verileri |
| Yalnızca yetkisiz olarak ifşa edilmesi, değiştirilmesi veya imha edilmesi halinde Appy Pie, müşterileri ve iştirakleri için çok az riske neden olabilecek veya hiç risk oluşturmayacak veriler Genel olarak sınıflandırılmalıdır. Örneğin – basın bültenleri, eğitim kaynakları ve vaka çalışmaları. Kamu verilerinin gizliliğini korumak için çok az veya hiç kontrol uygulanmasına gerek olmamasına rağmen, Kamu verilerinin yetkisiz olarak değiştirilmesini veya yok edilmesini önlemek için yine de belirli düzeyde kontrol uygulanmalıdır. |
Veri sınıflandırması uygun bir Veri Sorumlusu tarafından yapılmalıdır. Veri Sorumluları, Appy Pie’da bir veya birden fazla Appy Pie Veri setinin tüm yaşam döngülerini denetlemekten sorumlu olan üst düzey çalışanlardır.
Sınıflandırmanın Hesaplanması
Bilgi Güvenliği Politikamızda belirtildiği gibi bilgi güvenliğinin amacı, Appy Pie Verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Verilerin sınıflandırılması, gizlilik, bütünlük veya kullanılabilirliğin tehlikeye girmesi durumunda Appy Pie üzerindeki etki düzeyini gösterir.
Ne yazık ki, belirli bir veri unsurunun sınıflandırmasını hesaplamak için mükemmel bir nicel sistem bulunmamaktadır. Federal yasaların Appy Pie’ın belirli veri türlerini (örn. kişisel olarak tanımlanabilir bilgiler) korumasını gerektirmesi gibi bazı durumlarda doğru sınıflandırma daha belirgin olabilir. Uygun sınıflandırmanın doğuştan belli olmadığı durumlarda, her bir güvenlik hedefini aşağıdaki tabloda açıklandığı şekilde değerlendirin. Aşağıdaki tablo, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayınlanan ve bilgi ve bilgi sistemlerinin sınıflandırılmasını inceleyen Federal Bilgi İşleme Standartları (FIPS) yayını 199’dan alınmıştır.
| POTANSIYEL ETKI | |||
| Güvenlik Hedefi | DÜŞÜK | ORTA DÜZEY | YÜKSEK |
| Gizlilik Kişisel gizliliğin ve özel bilgilerin korunmasına yönelik araçlar da dahil olmak üzere, bilgi erişimi ve ifşası üzerindeki yetkili kısıtlamaların korunması. | Bilgilerin yetkisiz bir şekilde ifşa edilmesinin kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde sınırlı bir olumsuz etkiye sahip olması beklenebilir. | Bilgilerin yetkisiz bir şekilde ifşa edilmesinin kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde ciddi bir olumsuz etki yaratması beklenebilir. | Bilgilerin yetkisiz olarak ifşa edilmesinin kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde ciddi veya yıkıcı bir olumsuz etki yaratması beklenebilir. |
| Bütünlük Bilginin uygunsuz şekilde değiştirilmesine veya yok edilmesine karşı koruma sağlar ve bilginin inkar edilememesini ve gerçekliğini sağlamayı içerir. | Bilgilerin yetkisiz olarak değiştirilmesi veya yok edilmesinin kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde sınırlı bir olumsuz etkiye sahip olması beklenebilir. | Bilgilerin yetkisiz olarak değiştirilmesi veya imha edilmesinin kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde ciddi bir olumsuz etki yaratması beklenebilir. | Bilginin yetkisiz olarak değiştirilmesi veya imha edilmesinin kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde ciddi veya yıkıcı bir olumsuz etki yaratması beklenebilir. |
| Kullanılabilirlik Bilgiye zamanında ve güvenilir bir şekilde erişimin ve bilginin kullanımının sağlanması. | Bilgiye veya bir bilgi sistemine erişimin veya kullanımın kesintiye uğramasının kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde sınırlı veya çeşitli bir etkiye sahip olması beklenebilir. | Bilgiye veya bir bilgi sistemine erişimin veya kullanımın kesintiye uğramasının kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde ciddi bir olumsuz etki yaratması beklenebilir. | Bilgiye veya bir bilgi sistemine erişimin veya kullanımın kesintiye uğramasının kurumsal faaliyetler, kurumsal varlıklar veya bireyler üzerinde ciddi veya yıkıcı bir olumsuz etki yaratması beklenebilir. |
Appy Pie üzerindeki potansiyel etki Düşük’ten Yüksek’e çıktığında, veri sınıflandırmasının Herkese Açık’tan Kısıtlı’ya doğru giderek daha kısıtlayıcı hale gelmesi gerekir. Yukarıda belirtilen hususlar dikkate alındıktan sonra uygun bir sınıflandırmanın hala belirsiz olması durumunda, yardım için Bilgi Güvenliği Görevlisi ile iletişime geçin.
| Bilgi Türü | Veri Sınıflandırması | Gizlilik Etkisi | Bütünlük Etkisi | Kullanılabilirlik Etkisi |
|---|---|---|---|---|
| Kişisel Veriler (Müşteri) | Gizli | Yüksek | Yüksek | Yüksek |
| Kişisel Veri (Çalışan) | Gizli | Düşük | Orta | Orta |
| Finansal Veriler (Müşteriler) | Gizli | Yüksek | Yüksek | Yüksek |
| Finansal Veriler (Çalışanlar) | Gizli | Yüksek | Yüksek | Yüksek |
| Satıcı Verileri | Kamu | Düşük | Düşük | Düşük |
