به طور کلی طبقهبندی داده، به فرایند سازماندهی دادهها به دستهبندیهای مرتبط گفته میشود تا بتوان به روشی کارآمدتر و مؤثرتر از آنها استفاده و حفاظت کرد. فرایند طبقهبندی دادهها برای مدیریت مخاطرات، انطباق با استانداردهای قانونی و امنیت دادهها اهمیت بسیار زیادی دارد. در این فرایند، بر روی دادهها برچسبهای مربوط به هر داده گذاشته میشود تا عملیات پیدا کردن و بازیابی دادهها آسانتر شده و جستجو و پیگیری آنها راحتتر انجام شود. همچنین این کار باعث حذف دادههای تکراری نیز میشود. بنابراین در فضای ذخیره اطلاعات و هزینههای پشتیبانگیری صرفهجویی شده و فرایند جستجو با سرعت بالاتری انجام میشود.
چرا دادهها را طبقهبندی میکنیم؟
به مرور زمان طبقهبندی داده پیشرفت قابل توجهی پیدا کرده است. امروزه از این فناوری برای اهداف مختلفی همچون پشتیبانی از راهکارهای امنیتی استفاده میشود. دسترسی راحتتر، پیروی از قوانین و دستیابی به اهداف شخصی یا کاری از جمله دلایلی هستند که مدیران سازمانها را به طبقهبندی نمودن دادهها ترغیب میکنند.
گاهی وقت ها طبقهبندی دادهها بر اساس قانون الزامی است چون باید امکان جستجو و بازیابی دادهها در بازه زمانی تعیین شده وجود داشته باشد. همچنین در حوزه امنیت داده، طبقهبندی داده روش مفیدی است که بر اساس نوع دادههایی که قرار است بازیابی، منتقل یا کپی شوند واکنشهای امنیتی مناسبی را ایجاد میکند.
انواع طبقهبندی داده
طبقهبندی داده اغلب شامل استفاده از برچسبهای مختلفی میشود که نوع دادهها، محرمانگی و جامعیت آنها را مشخص میکند. ممکن است در فرایند طبقهبندی دادهها، دسترسپذیری هم مورد توجه قرار گیرد. سطح حساسیت دادهها معمولاً بر اساس میزان اهمیت یا محرمانگی آنها مشخص میشود که در نهایت با راهکارهای امنیتی پیادهسازی شده برای حفاظت از هر سطح، ارتباط پیدا میکند.
در مجموع، مدلهای استاندارد طبقهبندی داده شامل موارد زیر هستند:
- طبقهبندی مبتنی بر محتوا: این مدل، فایلها را برای دسترسی به اطلاعات حساس بررسی و تفسیر میکند.
- طبقهبندی مبتنی بر شرایط: در این مدل کاربرد، محل جغرافیایی، تولیدکننده داده و سایر عوامل جزو مواردی در نظر گرفته میشوند که به صورت غیرمستقیم در میزان حساس بودن دادهها تأثیرگذار هستند.
- طبقهبندی مبتنی بر کاربر: در این نوع، کاربر نهایی هر سند را به صورت دستی انتخاب میکند. کاربر با اتکا بر دانش و اختیار خود دادهها را طبقهبندی نموده و آنها را ویرایش، بازبینی یا منتشر میکند.
استفاده از هر یک از این روشهای طبقهبندی میبایست با توجه به نوع دادهها و نیازمندیهای هر سازمان انتخاب شود.
تعیین مخاطرات دادهها
علاوه بر انواع طبقهبندی، سازمانها باید مخاطرات نسبی مربوط به هر نوع داده، نحوه مدیریت داده و محل ذخیره یا ارسال (نقاط انتهایی) آن را در نظر داشته باشند. یکی از روشهای رایج، تفکیک دادهها و سیستمها در سه سطح مخاطرات مختلف است که به شرح زیر هستند:
- مخاطرات کم: اگر دادهها عمومی بوده و از دست رفتن آنها به راحتی ممکن نباشد (یعنی بازیابی آنها به راحتی انجام شود)، جمعآوری چنین دادهها و سیستمهای مربوط به آنها مخاطرات کمتری نسبت به بقیه دارد.
- مخاطرات متوسط: این گروه، دادههایی را شامل میشود که عمومی نبوده یا به صورت داخلی توسط سازمان شما یا شرکایتان استفاده میشوند. با این وجود، بعید است که این دادهها برای عملیات سازمان شما بسیار حیاتی باشند یا آنقدر حساس باشند که جزو گروه مخاطرات بالا تلقی شوند. رویههای عملیاتی اختصاصی، هزینه کالاها و بعضی مستندات سازمان در این گروه قرار میگیرند.
- مخاطرات بالا: تمام دادههایی که حساس بوده یا برای امنیت عملیاتی سازمان حیاتی باشند، همه دادههای محرمانه و همچنین دادههایی که در صورت از دست رفتن، بازیابی آنها سخت باشد در این گروه قرار میگیرند.
توجه کنید گاهی اوقات از یک مقیاس کاملتر استفاده شده و از مخاطرات «شدید» یا سایر دستهبندیها نیز برای کمک به تفکیک هر چه بیشتر آنها استفاده میشود.
استفاده از ماتریس طبقهبندی داده
ممکن است طبقهبندی و برچسبگذاری دادهها برای بعضی از سازمانها راحت باشد. اگر انواع دادهها زیاد نباشد یا کسبوکار شما تراکنشهای کمتری داشته باشد، تعیین مخاطرات دادهها و سیستمها آسانتر خواهد بود. با این حال بسیاری از سازمانهایی که با دادههای حجیم یا متنوع سروکار دارند از روش جامعتری مانند ماتریس طبقهبندی داده برای تعیین مخاطرات آنها استفاده میکنند.
ایجاد ماتریسی برای رتبهبندی دادهها یا سیستمها بر اساس احتمال به مخاطره افتادن و میزان حساسیت آنها به شما کمک میکند تا آنها را بهتر طبقهبندی نموده و از همه داراییهای حساستان محفاظت کنید.
نمونهای از طبقهبندی داده
دادهها را میتوان با عناوین محدود شده، خصوصی یا عمومی طبقهبندی کرد. در این حالت، دادههای عمومی کمترین سطح حساسیت و کمترین الزامات امنیتی را دارند. دادههای محدود شده نیز بالاترین سطح امنیتی را به خود اختصاص داده و از جمله حساسترین نوع داده محسوب میشوند. این نوع طبقهبندی برای بسیاری از سازمانها معمولاً به عنوان نقطه شروع محسوب میشود.
سپس لازم است روشهای شناسایی و برچسبگذاری، اجرا شده و دادهها برحسب میزان ارتباطشان با سازمان، کیفیت و سایر موارد برچسبگذاری شوند. در فرایندهای طبقهبندی داده که عملکرد موفقی داشته اند از چارچوبها و عملیات ویژهای برای محافظت از دادههای حساس و نگهداری آنها در همان مکانی که باید باشند، استفاده میشود.
فرایند طبقهبندی داده
اگرچه سیستمهای خودکار، اجرای عملیات مربوط به فرایند طبقهبندی دادهها را روانتر میکنند اما انجام این کار همچنان پیچیده و پرزحمت است؛ زیرا سازمانها باید دستهبندیها و ضوابط مورد استفاده برای طبقهبندی دادهها را مشخص نموده، هدف از انجام این کار را درک و آن را به صورت واضح تعریف کنند. همچنین آنها باید نقش و مسئولیت کارمندان برای پیروی از پروتکلهای طبقهبندی دادهها را مشخص نموده و برای هر دسته از دادهها، استانداردهای امنیتی مناسب را پیادهسازی کنند. اگر این فرایند به صورت صحیح انجام شود یک چارچوب عملیاتی برای کارمندان و اشخاص ثالث دخیل در عملکردهای ذخیره، انتقال یا بازیابی دادهها فراهم میگردد.
یک فرایند طبقهبندی داده فقط در صورتی به شیوه صحیح اجرا میشود که اولاً سیاستها و رویهها به صورت دقیق تعریف شده باشند، همه الزامات امنیتی و محرمانگی انواع داده در آنها در نظر گرفته شده و همچنین تفسیر این سیاستها و قوانین امنیتی برای کارمندان آسان باشد. برای مثال هر بخش باید شامل اطلاعاتی درباره نوع دادههای موجود در آن بخش، ملاحظات امنیتی، قوانین بازیابی، انتقال و ذخیره دادهها و همچنین مخاطرات ناشی از نقص سیاستهای امنیتی باشد.
طبقهبندی دادهها بر اساس قانون GDPR
با اجرایی شدن مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR[1])، طبقهبندی دادهها برای سازمانهایی که دادههای مربوط به شهروندان اتحادیه اروپا را ذخیره، منتقل یا پردازش میکنند از همیشه مهمتر شده است. این سازمانها باید دادهها را به درستی طبقهبندی کرده تا همه دادههای تحت پوشش قانون GDPR، به راحتی قابل تشخیص بوده و بتوان راهکارهای امنیتی مناسب را برای آنها پیادهسازی نمود.
همچنین GDPR سازوکارهای حفاظتی بیشتری برای هر گروه از دادههای امنیتی دارد. برای مثال، در این قانون پردازش دادههای مربوط به ریشههای نژادی یا قومی، عقاید سیاسی و اعتقادات مذهبی یا فلسفی ممنوع شده است. طبقهبندی چنین دادههایی بر اساس این ویژگیها میتواند به کاهش چشمگیر خطر مواجه شدن با مشکلات قانونی کمک کند.
مراحل لازم برای طبقهبندی کارآمد دادهها
- درک مرحله کنونی: بهترین نقطه شروع برای طبقهبندی کارآمد دادهها بررسی دقیق محل دادههای کنونی و تمام قوانین مورد اعمال به سازمان تان است. شما باید قبل از طبقهبندی دادهها در جریان باشید که آن دادهها چه ماهیتی دارند.
- ایجاد سیاستی برای طبقهبندی دادهها: پیروی از اصول حفاظت از دادهها در یک سازمان، آن هم بدون داشتن سیاستهای مناسب تقریباً غیرممکن است. در نتیجه باید تدوین و اجرای چنین سیاستی جزو اولویت های اصلی شما باشد.
- اولویت بندی و سازماندهی دادهها: در این مرحله شما یک سیاست مشخص و یک تصویر کلی از دادههای فعلی خودتان دارید؛ اکنون نوبت به طبقهبندی درست و مناسب این دادهها میرسد. پس باید بهترین روش برچسبگذاری دادهها را بر اساس میزان حساسیت و خصوصی بودن آنها انتخاب کنید.
طبقهبندی دادهها مزایایی فراتر از کمک به پیدا کردن آنها دارد. انجام این کار برای سازمانهای یک امر ضروری است. این فرایند به سازمانها کمک میکند تا بتوانند از انبوه دادههایی که هر لحظه در اختیارشان قرار دارد، به اطلاعات معنادار دست یابند.
طبقهبندی دادهها تصویری واضح از همه دادههای در اختیار سازمان فراهم نموده و درباره محل ذخیره این دادهها، میزان راحتی دسترسی به آنها و بهترین روشهای حفاظت از آنها در برابر مخاطرات امنیتی به شما اطلاعرسانی میکند. پس از پیادهسازی طبقهبندی داده، یک چارچوب سازماندهی شده در اختیار خواهید داشت که امکان پیادهسازی راهکارهای حفاظتی بهتر را فراهم کرده و به پیروی هر چه بیشتر کارمندان از سیاستهای امنیتی کمک میکند.
[1] General Data Protection Regulation
منبع: digitalguardian