Esempio di Policy per la Data Classification
1. Scopo della Data Classification Policy
Spiega perché dovrebbe essere effettuata la classificazione dei dati e quali benefici dovrebbe portare.
Lo scopo di questa politica è stabilire un quadro per la classificazione dei dati in base alla loro sensibilità, valore e criticità per l'organizzazione, in modo che i dati aziendali e dei clienti sensibili possano essere adeguatamente protetti.
2. Ambito della Politica
Definire i tipi di dati che devono essere classificati e specificare chi è responsabile della corretta classificazione, protezione e gestione dei dati.
Questa politica si applica a qualsiasi forma di dati, inclusi documenti cartacei e dati digitali memorizzati su qualsiasi tipo di supporto. Si applica a tutti i dipendenti dell'organizzazione, così come agli agenti terzi autorizzati ad accedere ai dati.
3. Ruoli e Responsabilità
Descrivere i ruoli e le responsabilità associati allo sforzo di classificazione dei dati. I dipartimenti dovrebbero designare individui che saranno responsabili per l'esecuzione dei compiti associati a ciascuno dei ruoli.
Responsabilità del Data Owner
Proprietario dei dati — La persona che è ultimamente responsabile dei dati e delle informazioni raccolte e mantenute dal suo dipartimento o divisione, solitamente un membro della direzione. Il proprietario dei dati dovrà affrontare i seguenti punti:
- Revisione e categorizzazione — Revisionare e categorizzare i dati e le informazioni raccolte dal proprio dipartimento o divisione
- Assegnazione di etichette di Netwrix Data Classification — Assegna etichette di Netwrix Data Classification in base al livello di impatto potenziale dei dati
- Compilazione dei dati — Assicurati che i dati raccolti da più fonti siano classificati almeno con il livello di classificazione più sicuro di qualsiasi dato classificato individualmente
- Coordinamento della Netwrix Data Classification — Assicurati che i dati condivisi tra i dipartimenti siano classificati e protetti in modo coerente
- Conformità alla Netwrix Data Classification (in collaborazione con i custodi dei dati) — Assicurarsi che le informazioni di livello di impatto alto e moderato siano protette in conformità con le normative e le linee guida federali o statali
- Accesso ai dati (in collaborazione con i custodi dei dati) — Sviluppare linee guida per l'accesso ai dati per ogni etichetta di classificazione dei dati
Responsabilità del Custode dei Dati
Custodi dei dati — Tecnici del dipartimento IT o, nelle organizzazioni più grandi, dell'ufficio Sicurezza delle Informazioni. I custodi dei dati sono responsabili della manutenzione e del backup dei sistemi, dei database e dei server che archiviano i dati dell'organizzazione. Inoltre, questo ruolo è responsabile del dispiegamento tecnico di tutte le regole stabilite dai proprietari dei dati e di garantire che le regole applicate all'interno dei sistemi funzionino. Alcune responsabilità specifiche dei custodi dei dati includono:
- Controllo degli accessi — Assicurati che i controlli di accesso appropriati siano implementati, monitorati e verificati in conformità con le etichette di classificazione dei dati assegnate dal proprietario dei dati
- Rapporti di audit — Presentare un rapporto annuale ai proprietari dei dati che tratti della disponibilità, integrità e riservatezza dei dati classificati
- Backup dei dati — Eseguire backup regolari dei dati di stato
- Convalida dei dati — Validare periodicamente l'integrità dei dati
- Ripristino dei dati — Ripristina dati dai supporti di backup
- Conformità — Soddisfare i requisiti dei dati specificati nelle politiche di sicurezza dell'organizzazione, negli standard e nelle linee guida relative alla sicurezza delle informazioni e alla protezione dei dati
- Monitorare l'attività — Monitorare e registrare l'attività dei dati, inclusi dettagli su chi ha avuto accesso a quali dati
- Archiviazione sicura — Crittografa i dati sensibili a riposo mentre si trovano in archiviazione; audita l'attività dell'amministratore della rete di area di archiviazione (SAN) e rivedi regolarmente i registri di accesso
- Conformità alla Netwrix Data Classification (in collaborazione con i proprietari dei dati) — Assicurarsi che le informazioni di livello di impatto alto e moderato siano protette in conformità con le normative e le linee guida federali o statali
- Accesso ai dati (in collaborazione con i proprietari dei dati) — Sviluppare linee guida per l'accesso ai dati per ogni etichetta di Data Classification
Responsabilità degli utenti dei dati
Utente dei dati — Persona, organizzazione o entità che interagisce con, accede, utilizza o aggiorna i dati allo scopo di eseguire un compito autorizzato dal proprietario dei dati. Gli utenti dei dati devono utilizzare i dati in modo coerente con lo scopo previsto e conformarsi a questa politica e a tutte le politiche applicabili all'uso dei dati.
4. Procedura di Data Classification
Descrivi ogni procedura di Netwrix Data Classification passo dopo passo. Dettaglia chi esegue ogni passaggio, come vengono valutati i dati per la sensibilità, cosa fare quando i dati non si adattano a una categoria stabilita e così via.
Esempio di una procedura dettagliata:
1. I proprietari dei dati esaminano ogni singolo dato di cui sono responsabili e ne determinano il livello di impatto complessivo, come segue:
- Se corrisponde a uno dei tipi predefiniti di informazioni riservate elencate nell'Appendice A, il proprietario dei dati gli assegna un livello di impatto complessivo di “Alto”.
- Se non corrisponde a nessuno dei tipi predefiniti nell'Appendice A, il proprietario dei dati dovrebbe determinare il tipo di informazione e i livelli di impatto basandosi sulle indicazioni fornite nelle Sezioni 5 e 6 di questo documento, e NIST 800-600 Volume 2. Il più alto dei tre livelli di impatto è il livello di impatto complessivo.
- Se il tipo di informazione e il livello di impatto generale non possono ancora essere determinati, il proprietario dei dati deve lavorare con i custodi dei dati per risolvere la questione
2. Il proprietario dei dati assegna a ogni pezzo di dati un'etichetta di classificazione basata sul livello di impatto complessivo:
Livello di impatto complessivo | Etichetta di classificazione |
|---|---|
|
Alto |
Riservato |
|
Moderato |
Confidenziale |
|
Basso |
Pubblico |
3. Il proprietario dei dati registra l'etichetta di classificazione e il livello di impatto complessivo per ogni pezzo di dati nella tabella ufficiale di classificazione dei dati, sia in un database che su carta.
4. I custodi dei dati applicano i controlli di sicurezza appropriati per proteggere ogni singolo dato in base all'etichetta di classificazione e al livello di impatto complessivo registrato nella tabella ufficiale di Netwrix Data Classification.
Esempio di una procedura di base:
1. I proprietari dei dati esaminano e assegnano a ogni dato di loro proprietà un tipo di informazione basato sulle categorie presenti in NIST 800-600 Volume 1.
2. I proprietari dei dati assegnano a ciascun dato un livello di impatto potenziale per ciascuno degli obiettivi di sicurezza (confidenzialità, integrità, disponibilità), utilizzando la guida nella Sezione 6 di questo documento. Il più alto dei tre è il livello di impatto complessivo.
3. I proprietari dei dati assegnano a ciascun pezzo di dati un'etichetta di classificazione basata sul livello di impatto complessivo:
Livello di impatto complessivo | Etichetta di classificazione |
|---|---|
|
Alto |
Riservato |
|
Moderato |
Confidenziale |
|
Basso |
Pubblico |
4. I proprietari dei dati registrano il livello di impatto e l'etichetta di classificazione per ogni dato nella tabella di Netwrix Data Classification.
5. I custodi dei dati applicano controlli di sicurezza delle informazioni a ogni pezzo di dati in base alla sua etichetta di classificazione e al livello di impatto complessivo.
5. Linee guida per la Data Classification
Creare una tabella che descriva ogni tipo di risorsa informativa conservata dall'agenzia, dettagli l'impatto di ciascuno dei tre obiettivi di sicurezza e specifichi i livelli di impatto e la classificazione da assegnare a ogni tipo di risorsa.
Utilizza questa tabella per determinare il livello di impatto complessivo e l'etichetta di classificazione per molti beni informativi comunemente utilizzati nell'organizzazione.
|
Documenti per la pianificazione del bilancio federale |
|||
|
I documenti di pianificazione del bilancio federale indicano le potenziali spese per l'anno successivo. Includono dati sui partner e fornitori, così come dati analitici e di ricerca. |
|||
|
Tipi di informazioni |
|||
|
Controllo dei fondi |
I documenti di controllo dei fondi includono informazioni sulla gestione del processo di bilancio federale, compreso lo sviluppo di piani e programmi di utilizzo, bilanci e risultati delle prestazioni, nonché informazioni sul finanziamento dei programmi e delle operazioni federali attraverso l'assegnazione e la ripartizione dell'autorità di spesa diretta e rimborsabile, trasferimenti di fondi, investimenti e altri meccanismi. |
||
|
Obiettivi di sicurezza |
Impatto sulla riservatezza |
Impatto dell'integrità |
Impatto sulla Disponibilità |
|
Descrizione dell'impatto |
La divulgazione non autorizzata di informazioni sul controllo dei fondi (in particolare le assegnazioni di bilancio per programmi specifici o elementi di programma) può essere seriamente dannosa per gli interessi del governo nei processi di approvvigionamento. In molte istanze, tale divulgazione non autorizzata è proibita per ordine esecutivo o per legge. Il rilascio prematuro di bozze di informazioni sul controllo dei fondi può fornire vantaggi a interessi concorrenti e mettere seriamente in pericolo le operazioni dell'agenzia o addirittura la missione dell'agenzia. |
Le attività di controllo dei fondi generalmente non sono critiche per il tempo. Un accumulo di piccole modifiche ai dati o la cancellazione di piccole voci può risultare in carenze di bilancio o casi di obbligazioni o erogazioni eccessive. |
I processi di controllo dei fondi sono generalmente tolleranti nei confronti dei ritardi. Tipicamente, l'interruzione dell'accesso alle informazioni di controllo dei fondi si prevede abbia solo un effetto avverso limitato sulle operazioni dell'agenzia, sui beni dell'agenzia o sugli individui. |
|
Livello di impatto |
Moderato |
Moderato |
Basso |
|
Livello di impatto complessivo |
Moderato |
||
|
Etichetta di Data Classification |
Confidenziale |
||
6. Determinazione del Livello di Impatto
Fornire una tabella che aiuterà i proprietari dei dati a determinare il livello di impatto per ogni pezzo di dati descrivendo gli obiettivi di sicurezza che si desidera raggiungere e come il mancato raggiungimento di ciascun obiettivo influirebbe sull'organizzazione.
Utilizza questa tabella per valutare l'impatto potenziale per l'azienda della perdita di riservatezza, integrità o disponibilità di un bene informativo che non rientra in nessuno dei tipi di informazione descritti nella Sezione 5 e NIST 800-600 Volume 2.
|
Obiettivo di sicurezza |
Impatto potenziale |
||
|
Basso |
Moderato |
Alto |
|
|
Riservatezza. Limitare l'accesso ai dati e la loro divulgazione solo agli utenti autorizzati al fine di proteggere la privacy personale e la sicurezza delle informazioni proprietarie. |
La divulgazione non autorizzata delle informazioni si prevede abbia effetti limitati sulle operazioni, sui beni organizzativi o sugli individui. |
La divulgazione non autorizzata delle informazioni si prevede abbia un grave effetto negativo sulle operazioni, sui beni organizzativi o sulle persone. |
La divulgazione non autorizzata delle informazioni si prevede abbia un effetto grave o catastrofico sulle operazioni, sui beni organizzativi o sugli individui. |
|
Integrità. Proteggersi contro la modifica o distruzione impropria dei dati, il che include garantire la non ripudiabilità e l'autenticità delle informazioni. |
Si prevede che la modifica o distruzione non autorizzata delle informazioni abbia un effetto limitato sulle operazioni, sui beni o sulle persone. |
Si prevede che la modifica o distruzione non autorizzata delle informazioni abbia un effetto negativo grave sulle operazioni, sui beni o sulle persone. |
La modifica o distruzione non autorizzata delle informazioni si prevede abbia un effetto grave o catastrofico sulle operazioni, sui beni o sulle persone. |
|
Disponibilità. Garantire un accesso e un utilizzo dell'informazione tempestivi e affidabili. |
Si prevede che l'interruzione dell'accesso o dell'uso delle informazioni o del sistema informativo avrà un effetto negativo limitato sulle operazioni, sui beni o sulle persone. |
La perturbazione dell'accesso o dell'uso delle informazioni o del sistema informativo si prevede abbia un grave effetto negativo sulle operazioni, sui beni o sulle persone. |
Si prevede che l'interruzione dell'accesso o dell'uso delle informazioni o del sistema informativo avrà un effetto grave o catastrofico sulle operazioni, sui beni o sulle persone. |
7. Appendice A
Descrivi i tipi di informazioni che dovrebbero essere automaticamente classificate come “Riservate” e assegnate un livello di impatto “Alto”. Avere questo elenco renderà il processo di Netwrix Data Classification più semplice per i proprietari dei dati.
Tipi di informazioni che devono essere classificate come “Restricted”
Informazioni di autenticazione
Le informazioni di autenticazione sono dati utilizzati per dimostrare l'identità di un individuo, sistema o servizio. Esempi includono:
- Password
- Segreti condivisi
- Chiavi private crittografiche
- Tabelle hash
Electronic Protected Health Information (ePHI)
ePHI è definito come qualsiasi informazione sanitaria protetta (PHI) che viene memorizzata o trasmessa tramite supporti elettronici. I supporti elettronici includono dischi rigidi di computer così come supporti rimovibili o trasportabili, come un nastro magnetico o disco, disco ottico o scheda di memoria digitale.
La trasmissione è il movimento o lo scambio di informazioni in forma elettronica. I mezzi di trasmissione includono internet, un extranet, linee dedicate, linee dial-up, reti private e il movimento fisico di supporti di memorizzazione elettronici rimovibili o trasportabili.
Informazioni sulla carta di pagamento (PCI)
Le informazioni sulla carta di pagamento sono definite come il numero di una carta di credito in combinazione con uno o più dei seguenti elementi di dati:
- Nome del titolare della carta
- Codice del servizio
- Data di scadenza
- Valore CVC2, CVV2 o CID
- PIN o blocco PIN
- Contenuto della striscia magnetica di una carta di credito
Informazioni Personali Identificabili (PII)
Il PII è definito come il nome o l'iniziale del nome e il cognome di una persona in combinazione con uno o più dei seguenti elementi di dati:
- Numero di previdenza sociale
- Numero della patente di guida rilasciata dallo stato
- Numero della carta d'identità rilasciata dallo stato
- Numero di conto finanziario in combinazione con un codice di sicurezza, codice di accesso o password che ne consentirebbe l'accesso
- Informazioni sull'assicurazione medica e/o sanitaria
8. Cronologia delle revisioni
Assicurati di tracciare tutte le modifiche alla tua politica di Netwrix Data Classification.
Versione | Pubblicato | Autore | Descrizione |
|---|---|---|---|
|
0.1 |
01/01/2018 |
John Smith |
Originale |
Domande frequenti sulla Data Classification
1. Cos'è una politica di classificazione dei dati e perché è importante?
Una politica di classificazione dei dati definisce come un'organizzazione identifica e categorizza le sue informazioni in base alla sensibilità, al valore e ai requisiti normativi. Questo processo aiuta a garantire che i dati sensibili come i registri dei clienti, le informazioni finanziarie e la proprietà intellettuale, siano adeguatamente protetti, gestiti e accessibili solo al personale autorizzato. Gioca anche un ruolo fondamentale nel soddisfare gli obblighi di conformità come il GDPR, HIPAA e altri.
Per comprendere meglio i fondamenti e imparare come costruire una strategia efficace, leggi il nostro post: Data Classification: What It Is and How to Implement It. Questo post ti guida attraverso il processo di classificazione, i benefici chiave e consigli pratici per l'implementazione.
2. Chi è responsabile della Netwrix Data Classification in un'organizzazione?
Di solito, i proprietari dei dati, i custodi e gli utenti condividono la responsabilità. I proprietari dei dati determinano i livelli di classificazione, i custodi applicano i controlli e gli utenti devono seguire le procedure di gestione.
3. Quali sono i livelli di classificazione dei dati più comuni?
La maggior parte delle organizzazioni utilizza da tre a quattro livelli, come:
- Pubblico – Informazioni non sensibili
- Confidenziale – Dati aziendali interni
- Riservato – Dati altamente sensibili o regolamentati
- Top Secret – Informazioni rare e critiche (per alcuni settori)
4. Come posso determinare il livello di impatto di un asset di dati?
Valutare le potenziali conseguenze di una violazione della riservatezza, integrità o disponibilità utilizzando una scala bassa, moderata o alta. Il punteggio individuale più alto determina solitamente il livello di impatto complessivo.
5. Con quale frequenza dovrebbe essere rivista o aggiornata una politica di classificazione dei dati?
Al minimo, le politiche dovrebbero essere riviste annualmente o quando c'è un importante cambiamento organizzativo o normativo. Uno storico delle revisioni chiaro aiuta a tenere traccia degli aggiornamenti.
Condividi su