Klasyfikacja informacji a klasyfikacja danych – byliśmy tu przed IT!
Ze względu na bardzo różnorodną wartość informacji, ludzie wcześnie nauczyli się je kategoryzować by „oddzielić ziarno od plew” i skupić swoje wysiłki na ochronie niezbędnych informacji. Niezależnie od tego, czy chodziło o liczbę wojsk Cezara w kolejnym starciu z Hannibalem, czy o warunki handlowe sprowadzania bursztynu z terytoriów Polski w czasach średniowiecznych czy nawet listę i proporcję składników potrzebnych do wyprodukowania prochu w starożytnych Chinach – wszystkie te informacje były dostępne jedynie dla wybranych. Ludzie podświadomie wyczuwali – komu powierzyć te informacje, a przed kim je zataić. To „czucie” tajności informacji pozwoliło stworzyć koncepcję informacji i atrybuty informacji.
Klasyfikacja informacji – czyli nadawanie danym etykiety wskazującej na to kto i w jaki sposób może je przetwarzać (a właściwie zawarte w nich informacje).
Atrybuty informacji – popularne CIA (chociaż warto znać również model ACID):
- Confidentiality – czyli „tajność”, natężenie tej cechy określa jak wysokie środki ochrony informacji musimy podjąć, by ochronić ją przed niepowołanym dostępem.
- Integrity – czyli „niezmienialność”, natężenie tej cechy określa jak wysokie środki ochrony informacji musimy podjąć, by uniemożliwić zmianę jej treści.
- Availability – „dostępność” – mówiącym o tym – komu możemy je udostępnić i na jakich zasadach.
Klasyfikacja informacji
Klasyfikacja informacji jest fundamentalnym elementem zabezpieczania informacji organizacji niezależnie od interpretacji informacji i organizacji. Jest to proces identyfikacji i przypisywania z góry określonych poziomów wrażliwości do różnych typów informacji.
Poszczególne organizacje na własny sposób definiują rodzaje informacji pasujące do poszczególnych kategorii.
Zazwyczaj, co jest dobrą praktyką, mają one zunifikowany system oceny wrażliwości:
- Krytyczne
- Chronione
- Wewnętrzne
- Publiczne
Jeśli Twoja organizacja nie klasyfikuje odpowiednio Twoich danych, nie możesz ich odpowiednio chronić.
Zobacz także:
Klasyfikacja informacji wymaga znajomości ich lokalizacji, treści, objętości i kontekstu. Priorytetowa lokalizacja w dobie przymusowej transformacji technologicznej to oczywiście zasoby informatyczne. I tutaj wkracza bezpieczeństwo IT, czyli proces zapewnienia stanu zgodnego z polityką bezpieczeństwa dla skomputeryzowanej części systemu informacyjnego. Informacje są przedmiotem wycieków, informacje o podatnościach pozwalają je wykorzystać, eksfiltracja informacji jest celem ataku itd.
Każdy z wymienionych scenariuszy skutkuje stratami finansowymi, operacyjnymi czy reputacyjnymi. Jeżeli chcesz dowiedzieć się więcej dobrym punktem wyjścia będzie analiza ryzyka opracowana przez Twój dział IT.
Dziś wszystkie nowoczesne firmy przechowują lwią część swoich informacji w formie danych – przetwarzają je, przechowują, współdzielą, tracą i pozyskują. Są one rozmieszczone w wielu repozytoriach, do których uzyskiwany jest natychmiastowy (często słabo kontrolowany dostęp), z różnych urządzeń, przez różnorodnych (niekoniecznie autoryzowanych) użytkowników:
- Bazach danych – lokalnie lub w chmurze
- Platformach typu Microsoft SharePoint
- Usługach typu Cloud Storage
- Plikach, takich jak arkusze kalkulacyjne, pliki PDF, Word czy e-maile
Powiedzmy, że jesteś analitykiem bezpieczeństwa w instytucji finansowej bądź publicznej. Organizacji, w której użytkownicy codziennie tworzą miliony plików, zawierających informacje. Niektóre z tych informacji są bardzo poufne i jeżeli znajdą się w niepowołanych rękach możecie stracić od setek tysięcy do milionów w ramach kar, odszkodowań i utraconych szans sprzedażowych. Jednak nie zmienia to faktu, że większość danych tworzonych każdego dnia można by było bez problemu puścić w pasku wiadomości na TV i obyłoby się bez incydentu.
Celem klasyfikacji danych, jest wychwycenie tych kilku procent krytycznych danych wśród organizacyjnego „szumu” i zapewnienie ich widoczności. Niemniej nie jest to cel jedyny.
W przewodniku rynkowym dotyczącym File Analysis Software (do którego włączają się systemy do klasyfikacji danych), firma Gartner wymienia cztery ogólne obszary przydatności tego oprogramowania:
Ograniczenie ryzyka
- Ograniczają dostęp do informacji zawierających dane osobowe (PII)
- Pozwalają kontrolować lokalizację i dostęp do własności intelektualnej (IP)
- Zmniejszają obszar ataku do wrażliwych danych
- Pozwalają dodać dodatkowy parametr egzekucji reguł w innych programach np. DLP
Zarządzanie/Zgodność z regulacjami
- Pomagają zidentyfikować dane podlegające RODO, HIPAA, CCPA, PCI, SOX i przyszłymi przepisami
- Stosują znaczniki metadanych do chronionych danych, aby umożliwić dodatkowe śledzenie i kontrolę
- Umożliwiają kwarantannę, prawne wstrzymanie, archiwizację i inne czynności wymagane przez przepisy
- Znacznie ułatwiają wdrożenie „prawa do bycia zapomnianym” i wniosków o dostęp do danych (DSAR)
Wydajność i optymalizacja
- Zapewniają skuteczny dostęp do treści w oparciu o typ, wykorzystanie itp.
- Pozwalają zlokalizować nieaktualne lub nadmiarowe dane
- Pomagają optymalizować procesy – np. wskazać mocno wykorzystywane dane celem przeniesienia do szybszych technologii lub infrastruktury w chmurze
Analityka
- Tagowanie metadanych, aby zoptymalizować działania biznesowe
- Informują organizację o lokalizacji i wykorzystaniu danych
Poszczególne organizacje na własny sposób definiują rodzaje informacji pasujące do poszczególnych kategorii oraz obszary (z powyższych), które chcą poprawić. Często zawierają wspólną hierarchię wrażliwości: chronione, wrażliwe, poufne i publiczne. Niemniej rodzaje klasyfikacji danych to dużo szerszy aspekt.
Klasyfikację danych można przeprowadzić na podstawie treści, kontekstu lub wyborów użytkownika:
- Oparta o treść (content-based) – obejmuje skanowanie plików i dokumentów oraz ich klasyfikację na podstawie tego co zawierają/przedstawiają
- Kontekstowa (context-based) – obejmuje klasyfikowanie plików na podstawie metadanych, takich jak aplikacja, która utworzyła plik (np. MS WORD), osoba, która utworzyła dokument (konto z AD) lub lokalizacja, w której utworzono pliki lub zmodyfikowano (np. repozytorium)
- Oparta o użytkowników (user-based) – to użytkownik tworzący bądź edytujący dokument/plik
Powyższe schematy klasyfikacji stosowane są w narzędziach typu File Analysis Software, które pozwalają firmom wykonać pierwszy krok do ochrony informacji. Nie można bowiem chronić czegoś, co nie jest precyzyjnie zlokalizowane i określone. Nie od dziś wiadomo, że inwentaryzacja zwłaszcza danych jest łakomym kąskiem dla audytorów.
W kolejnym artykule przybliżymy narzędzia do klasyfikacji danych i przedstawimy dodatkowe możliwości poprawy efektywności, jakie ze sobą niosą.
Jakie jeszcze inne systemy zabezpieczające proponujemy i wdrażamy w organizacjach sprawdzisz tutaj.