3. What is Data Classification? What is Data Classification?
Data classification is the act of placing data into categories that will dictate
the level of internal controls to protect that data against theft, compromise,
and inappropriate use.
Information security is best managed when data is classified and the
risks associated with each category is uniform and understood.
Data classification is an essential part of audit and compliance activities
at any organization; public or private sector.
4. Top 6 Reasons Companies Classify Data
1.Compliance with regulations
2.Protect customer data and your
reputation
3.Improve accuracy of data loss
prevention (DLP) systems
4.Increase user awareness and
accountability
5.Simplify encryption
6.Enhance records management and
governance
5. Основні проблеми при класифікації даних в організації:
1) Великі об’єми інформації, які потрібно класифікувати
2) Висока динаміка змін
3) Нерозуміння бізнес-процесів
4) Відсутність прав доступу
6. Документи, що регламентують необхідність класифікації ІА:
ГСТУ СУІБ 2.0/ISO/IEC 27001:2010
ГСТУ СУІБ 2.0/ISO/IEC 27002:2010
Закону України «Про банки і банківську діяльність»
Закон України «Про захист персональних даних»
7. ГСТУ СУІБ 1.0/ISO/IEC 27001:2010
Явні та неявні вимоги ISO27001 стосовно класифікації:
Section 5.1 – Політика інформаційної безпеки-
Ціль: Забезпечити регулювання та підтримку з боку
керівництва інформаційної безпеки згідно з вимогами бізнесу
та відповідними законами і нормативами.
Section 6.2 – Зовнішні сторони
Ціль: Підтримування безпеки інформації організації та її
засобів оброблення інформації, до яких мають доступ,
обробляють, якими управляють або з якими підтримують
зв'язок зовнішні сторони.
8. ISO 27001 – задоволення вимог
класифікації інформації
Section 7.1 – Відповідальність за активи
Усі активи необхідно чітко ідентифікувати та скласти і
підтримувати інвентарний опис усіх важливих активів.
Section 7.2 – Класифікація інформації
Ціль: Забезпечити, що інформація одержує належний рівень
захисту.
Інформація повинна бути класифікована в термінах її цінності,
правових вимог, чутливості та критичності для організації
Належно множина процедур для маркування та оброблення
інформації повинна бути розроблена та впроваджена згідно з
схемою класифікації, прийнятою організацією.
Section 10.6 – Управління безпекою мережі
Забезпечити захист інформації в мережах та захист
інфраструктури, що їх підтримує
9. ISO 27001 – задоволення вимог
класифікації інформації
Section 10.7 – Поводження з носіями
Ціль: Запобігти неавторизованому розголошенню, модифікації,
вилученню або знищенню активів та перериванню бізнес-
діяльності.
Section 10.8 - Обмін інформацією
Повинні бути наявними офіційно оформлені політики,
процедури та контролі обміну для захисту обміну інформацією
з використанням всіх видів засобів комунікації .
Section 15 – Відповідність правовим вимогам
Ціль: Уникнути порушень будь-якого закону, вимог, що діють на
підставі закону, нормативних або контрактних зобов’язань та
будь-яких вимог безпеки.
10. ГСТУ СУІБ 2.0/ISO/IEC 27002:2010
7.2.1 Настанови щодо класифікації
Інформація повинна бути класифікована в термінах її цінності,
правових вимог, чутливості та критичності для організації.
Національна примітка. Банки повинні чітко визначити повний
перелік інформації, яка відноситься до «банківської
таємниці» відповідно до Закону України «Про банки і
банківську діяльність»
Настанови щодо класифікації повинні містити домовленості
щодо первинної класифікації та повторної класифікації через
певний час; відповідно до заздалегідь визначеній політиці
контролю доступу
11. Дані, що потребують захисту:
Банківська таємниця
• відомості про банківські рахунки клієнтів;
• операції, які були проведені на користь чи за дорученням клієнта, здійснені
ним угоди;
• фінансово-економічний стан клієнтів;
• системи охорони банку та клієнтів;
• інформація про організаційно-правову структуру юридичної особи — клієнта,
її керівників, напрями діяльності;
• відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці,
будь-якого проекту, винаходів, зразків продукції та інша комерційна
інформація
12. Дані, що потребують захисту:
Персональні дані
•відомості чи сукупність відомостей про фізичну особу, яка ідентифікована
або може бути конкретно ідентифікована;
Biometric Information
Medical Information
License Number
Birth Date
Social Security Numbers, Citizen Visa
Code, etc.
Employee ID
13. Дані, що потребують захисту:
Комерційна таємниця
•інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній
формі та сукупності її складових є невідомою та не є легкодоступною для
осіб, які звичайно мають справу з видом інформації, до якого вона належить,
у зв'язку з цим має комерційну цінність та була предметом адекватних
існуючим обставинам заходів щодо збереження її секретності, вжитих особою,
яка законно контролює цю інформацію.