Klasyfikowanie danych i ochrona informacji poufnych
Organizacja ma kilka systemów, w których przechowywane są szczegółowe informacje o klientach, informacje finansowe i inne dane, które muszą być chronione. Konieczne jest zrozumienie danych poprzez ich klasyfikowanie, identyfikowanie różnych stanów, w których mogą się znajdować, i poznawanie sposobów umożliwiających tworzenie struktury danych.
W tym miejscu poznasz różne stany danych. Omawiamy klasyfikacje poufnych, wewnętrznych lub publicznych danych oraz pokazujemy, jak odróżniać dane ustrukturyzowane od danych bez struktury.
Stany danych
Wszystkie dane mogą być w różnych stanach w różnych momentach. Na najbardziej podstawowym poziomie dane mogą mieć następujące stany:
- Dane magazynowane są umieszczone i przechowywane w określonym miejscu. Mogą on obejmować obiekty magazynu i pliki znajdujące się na nośniku fizycznym. Nośnikiem mogą być dyski optyczne lub dyski magnetyczne, na przykład dyski HDD.
- Dane przesyłane są przenoszone przez sieć lub między dwiema lokalizacjami (lub aplikacjami).
- Dane w użyciu są obecnie przetwarzane, aktualizowane, generowane lub używane w jakiś sposób.
Typowy element danych może przechodzić przez wszystkie stany podczas swojego cyklu życia.
Stany i klasyfikacje danych są połączone. Nie można spełnić wymagań dotyczących klasyfikacji danych, jeśli nie rozumiesz, jakie są ich stany i odpowiednio zaplanuj.
Jeśli rozumiesz stany, w jakich dane będą znajdować się w całym cyklu życia, oraz ich klasyfikację, możesz przygotować rozwiązania umożliwiające lepszą ochronę danych oraz spełnienie wymagań prawnych i biznesowych. Rozważ szyfrowanie danych bez względu na ich stan, chyba że dane zostały sklasyfikowane jako jawnie nie do szyfrowania.
Klasyfikacja danych
Dane można podzielić na kategorie odpowiadające poziomom klasyfikacji. Dane sklasyfikowane na jednym z tych poziomów muszą przestrzegać tej klasyfikacji niezależnie od ich bieżącego stanu. Na przykład jeśli dane są sklasyfikowane jako wysoce poufne, oczekiwane jest przestrzeganie tego poziomu klasyfikacji niezależnie od tego, czy dane te są przetwarzane, przesyłane, czy magazynowane.
Klasyfikacja jest oparta na ważności danych dla firmy i biorących udział w projekcie. Wszystkie dane mają pewien poziom wpływu. Może to być wpływ finansowy, prawny lub związany z reputacją.
Dane klientów mogą zostać ujawnione lub wewnętrzne dane firmy mogą być dystrybuowane w trybie online, aby uzyskać dostęp do wszystkich. Wpływ na organizację i jej klientów mógłby być druzgocący. Z tych powodów dane są klasyfikowane zgodnie z oczekiwanym wpływem na firmę i uczestników projektu.
Terminy dotyczące klasyfikacji mogą się różnić między organizacjami, ale zazwyczaj odpowiadają one następującym poziomom: wysoki, średni i niski. Na przykład organizacja może używać następujących trzech klasyfikacji:
Poufne (wysoki poziom): jeśli te dane są uwidocznione lub utracone, znacząco wpływają one na organizację lub osobę, niezależnie od tego, czy są klientem, czy pracownikiem. Oto przykłady:
- Dane osobowe, takie jak nazwiska i adresy.
- Dane finansowe, takie jak salda kont i depozyty.
- Kod lub własność intelektualna należącą do organizacji.
- Hasła, poświadczenia użytkownika/aplikacji, klucze kryptograficzne i certyfikaty.
Tylko do użytku wewnętrznego (średni poziom): informacje, które powinny być wyświetlane tylko wewnętrznie i nie mogą być udostępniane nikomu spoza organizacji. Oto przykłady:
- Wiadomości e-mail, które można usunąć lub rozpowszechnić bez poważnego wpływu.
- Pliki, które nie zawierają żadnych poufnych danych.
Rozważ sklasyfikowanie wszystkich danych w organizacji co najmniej na poziomie średnim. Zmień oczekiwania, jeśli dane są klasyfikowane jawnie jako poufne lub do użytku publicznego.
Publiczny (niski poziom): te dane mogą być wyświetlane poza organizacją. Często są to dane, które muszą być celowo udostępnione na zewnątrz w celach biznesowych. Oto przykłady:
- Dokumentacja interfejsu API dla produktu lub usługi, którą organizacja oferuje klientom.
- Nowa publiczna witryna internetowa, która przedstawia nowe rozwiązanie.
- Publiczny wywiad z ogłoszeniem o nowej strategii.
Przechowywanie danych ze strukturą i bez struktury
Ogólnie rzecz biorąc, dane można podzielić na ustrukturyzowane i bez struktury.
Dane ustrukturyzowane mogą znajdować się w arkuszu kalkulacyjnym lub relacyjnej bazie danych. Ten typ danych znajduje się w stałym polu, które jest częścią większego rekordu. Weźmy arkusz kalkulacyjny zawierający szczegóły pracowników. Masz kolumny do wyświetlania szczegółowych informacji o każdym pracowniku, takich jak identyfikator, rola i wynagrodzenie pracownika. Oto przykład pokazujący, jak może wyglądać typ danych ustrukturyzowanych:
| Identyfikator pracownika | Rola | Wynagrodzenie |
|---|---|---|
| 12345 | Kasjer | 25 102 USD |
| 67890 | Kasjer | 25 102 USD |
| 10123 | Zabezpieczenia | 25 301 USD |
Dane bez struktury mogą obejmować obrazy, filmy wideo oraz pliki, na przykład dokumenty edytora tekstów. Ten typ danych nie jest przechwytywany w konwencjonalnych, wstępnie zdefiniowanych stałych polach. Na przykład dane źródłowe dokumentu PDF są w formacie bez struktury, ale aplikacja dla tego dokumentu przedstawia dane w zrozumiały sposób. W innym przykładzie dane wideo przesyłane strumieniowo z transmisji strumieniowej na żywo są w postaci nieprzetworzonej danymi bez struktury, ale są prezentowane w zrozumiały sposób dla osób przeglądających.
Wszystkie dane, niezależnie od tego, czy są w formacie ustrukturyzowanym, czy bez struktury, muszą być zarządzane i sklasyfikowane na podstawie ich wpływu na organizację i biorących udział w projekcie.