طبقه‌بندی داده‌ها و نحوه اجرای آن در سازمان

به طور کلی طبقه‌بندی داده، به فرایند سازمان‌دهی داده‌ها به دسته‌بندی‌های مرتبط گفته می‌شود تا بتوان به روشی کارآمدتر و مؤثرتر از آنها استفاده و حفاظت کرد. فرایند طبقه‌بندی داده‌ها برای مدیریت مخاطرات، انطباق با استانداردهای قانونی و امنیت داده‌ها اهمیت بسیار زیادی دارد. در این فرایند، بر روی داده‌ها برچسب‌های مربوط به هر داده گذاشته می‌شود تا عملیات پیدا کردن و بازیابی داده‌ها آسان‌تر شده و جستجو و پیگیری آنها راحت‌تر انجام شود. همچنین این کار باعث حذف داده‌های تکراری نیز می‌شود. بنابراین در فضای ذخیره اطلاعات و هزینه‌های پشتیبان‌گیری صرفه‌جویی شده و فرایند جستجو با سرعت بالاتری انجام می‌شود.

 

چرا داده‌ها را طبقه‌بندی می‌کنیم؟

به مرور زمان طبقه‌بندی داده پیشرفت قابل توجهی پیدا کرده است. امروزه از این فناوری برای اهداف مختلفی همچون پشتیبانی از راهکارهای امنیتی استفاده می‌شود. دسترسی راحت‌تر، پیروی از قوانین و دستیابی به اهداف شخصی یا کاری از جمله دلایلی هستند که مدیران سازمان‌ها را به طبقه‌بندی نمودن داده‌ها ترغیب می‌کنند.

گاهی وقت ها طبقه‌بندی داده‌ها بر اساس قانون الزامی است چون باید امکان جستجو و بازیابی داده‌ها در بازه زمانی تعیین شده وجود داشته باشد. همچنین در حوزه امنیت داده، طبقه‌بندی داده روش مفیدی است که بر اساس نوع داده‌هایی که قرار است بازیابی، منتقل یا کپی شوند واکنش‌های امنیتی مناسبی را ایجاد می‌کند.

 

انواع طبقه‌بندی داده

طبقه‌بندی داده اغلب شامل استفاده از برچسب‌های مختلفی می‌شود که نوع داده‌ها، محرمانگی و جامعیت آنها را مشخص می‌کند. ممکن است در فرایند طبقه‌بندی داده‌ها، دسترس‌پذیری هم مورد توجه قرار گیرد. سطح حساسیت داده‌ها معمولاً بر اساس میزان اهمیت یا محرمانگی آنها مشخص می‌شود که در نهایت با راهکارهای امنیتی پیاده‌سازی شده برای حفاظت از هر سطح، ارتباط پیدا می‌کند.

در مجموع، مدل‌های استاندارد طبقه‌بندی داده شامل موارد زیر هستند:

 استفاده از هر یک از این روش‌های طبقه‌بندی می‌بایست با توجه به نوع داده‌ها و نیازمندی‌های هر سازمان انتخاب شود.

تعیین مخاطرات داده‌ها

علاوه بر انواع طبقه‌بندی، سازمان‌ها باید مخاطرات نسبی مربوط به هر نوع داده، نحوه مدیریت داده و محل ذخیره یا ارسال (نقاط انتهایی) آن را در نظر داشته باشند. یکی از روش‌های رایج، تفکیک داده‌ها و سیستم‌ها در سه سطح مخاطرات مختلف است که به شرح زیر هستند:

  1. مخاطرات کم: اگر داده‌ها عمومی بوده و از دست رفتن آنها به راحتی ممکن نباشد (یعنی بازیابی آنها به راحتی انجام شود)، جمع‌آوری چنین داده‌ها و سیستم‌های مربوط به آنها مخاطرات کمتری نسبت به بقیه دارد.
  2. مخاطرات متوسط: این گروه، داده‌هایی را شامل می‌شود که عمومی نبوده یا به صورت داخلی توسط سازمان شما یا شرکای‌تان استفاده می‌شوند. با این وجود، بعید است که این داده‌ها برای عملیات سازمان شما بسیار حیاتی باشند یا آنقدر حساس باشند که جزو گروه مخاطرات بالا تلقی شوند. رویه‌های عملیاتی اختصاصی، هزینه کالاها و بعضی مستندات سازمان در این گروه قرار می‌گیرند.
  3. مخاطرات بالا: تمام داده‌هایی که حساس بوده یا برای امنیت عملیاتی سازمان حیاتی باشند، همه داده‌های محرمانه و همچنین داده‌هایی که در صورت از دست رفتن، بازیابی آنها سخت باشد در این گروه قرار می‌گیرند.

توجه کنید گاهی اوقات از یک مقیاس کامل‌تر استفاده شده و از مخاطرات «شدید» یا سایر دسته‌بندی‌ها نیز برای کمک به تفکیک هر چه بیشتر آنها استفاده می‌شود.

 

استفاده از ماتریس طبقه‌بندی داده

ممکن است طبقه‌بندی و برچسب‌گذاری داده‌ها برای بعضی از سازمان‌ها راحت باشد. اگر انواع داده‌ها زیاد نباشد یا کسب‌وکار شما تراکنش‌های کمتری داشته باشد، تعیین مخاطرات داده‌ها و سیستم‌ها آسان‌تر خواهد بود. با این حال بسیاری از سازمان‌هایی که با داده‌های حجیم یا متنوع سروکار دارند از روش جامع‌تری مانند ماتریس طبقه‌بندی داده برای تعیین مخاطرات آنها استفاده می‌کنند.

ایجاد ماتریسی برای رتبه‌بندی داده‌ها یا سیستم‌ها بر اساس احتمال به مخاطره افتادن و میزان حساسیت آنها به شما کمک می‌کند تا آنها را بهتر طبقه‌بندی نموده و از همه دارایی‌های حساس‌تان محفاظت کنید.

نمونه‌ای از طبقه‌بندی داده

داده‌ها را می‌توان با عناوین محدود شده، خصوصی یا عمومی طبقه‌بندی کرد. در این حالت، داده‌های عمومی کمترین سطح حساسیت و کمترین الزامات امنیتی را دارند. داده‌های محدود شده نیز بالاترین سطح امنیتی را به خود اختصاص داده و از جمله حساس‌ترین نوع داده محسوب می‌شوند. این نوع طبقه‌بندی برای بسیاری از سازمان‌ها معمولاً به عنوان نقطه شروع محسوب می‌شود.

سپس لازم است روش‌های شناسایی و برچسب‌گذاری، اجرا شده و داده‌ها برحسب میزان ارتباط‌شان با سازمان، کیفیت و سایر موارد برچسب‌گذاری شوند. در فرایندهای طبقه‌بندی داده که عملکرد موفقی داشته اند از چارچوب‌ها و عملیات ویژه‌ای برای محافظت از داده‌های حساس و نگهداری آنها در همان مکانی که باید باشند، استفاده می‌شود.

فرایند طبقه‌بندی داده

اگرچه سیستم‌های خودکار، اجرای عملیات مربوط به فرایند طبقه‌بندی داده‌ها را روان‌تر می‌کنند اما انجام این کار همچنان پیچیده و پرزحمت است؛ زیرا سازمان‌ها باید دسته‌بندی‌ها و ضوابط مورد استفاده برای طبقه‌بندی داده‌ها را مشخص نموده، هدف از انجام این کار را درک و آن را به صورت واضح تعریف کنند. همچنین آنها باید نقش و مسئولیت کارمندان برای پیروی از پروتکل‌های طبقه‌بندی داده‌ها را مشخص نموده و برای هر دسته از داده‌ها، استانداردهای امنیتی مناسب را پیاده‌سازی کنند. اگر این فرایند به صورت صحیح انجام شود یک چارچوب عملیاتی برای کارمندان و اشخاص ثالث دخیل در عملکردهای ذخیره، انتقال یا بازیابی داده‌ها فراهم می‌گردد.

یک فرایند طبقه‌بندی داده فقط در صورتی به شیوه صحیح اجرا می‌شود که اولاً سیاست‌ها و رویه‌ها به صورت دقیق تعریف شده باشند، همه الزامات امنیتی و محرمانگی انواع داده در آنها در نظر گرفته شده و همچنین تفسیر این سیاست‌ها و قوانین امنیتی برای کارمندان آسان باشد. برای مثال هر بخش باید شامل اطلاعاتی درباره نوع داده‌های موجود در آن بخش، ملاحظات امنیتی، قوانین بازیابی، انتقال و ذخیره داده‌ها و همچنین مخاطرات ناشی از نقص سیاست‌های امنیتی باشد.

 

طبقه‌بندی داده‌ها بر اساس قانون GDPR

با اجرایی شدن مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR[1])، طبقه‌بندی داده‌ها برای سازمان‌هایی که داده‌های مربوط به شهروندان اتحادیه اروپا را ذخیره، منتقل یا پردازش می‌کنند از همیشه مهم‌تر شده است. این سازمان‌ها باید داده‌ها را به درستی طبقه‌بندی کرده تا همه داده‌های تحت پوشش قانون GDPR، به راحتی قابل تشخیص بوده و بتوان راهکارهای امنیتی مناسب را برای آنها پیاده‌سازی نمود.

همچنین GDPR سازوکارهای حفاظتی بیشتری برای هر گروه از داده‌های امنیتی دارد. برای مثال، در این قانون پردازش داده‌های مربوط به ریشه‌های نژادی یا قومی، عقاید سیاسی و اعتقادات مذهبی یا فلسفی ممنوع شده است. طبقه‌بندی چنین داده‌هایی بر اساس این ویژگی‌ها می‌تواند به کاهش چشم‌گیر خطر مواجه شدن با مشکلات قانونی کمک کند.

 

مراحل لازم برای طبقه‌بندی کارآمد داده‌ها

طبقه‌بندی داده‌ها مزایایی فراتر از کمک به پیدا کردن آنها دارد. انجام این کار برای سازمان‌های یک امر ضروری است. این فرایند به سازمان‌ها کمک می‌کند تا بتوانند از انبوه داده‌هایی که هر لحظه در اختیارشان قرار دارد، به اطلاعات معنادار دست یابند.

طبقه‌بندی داده‌ها تصویری واضح از همه داده‌های در اختیار سازمان فراهم نموده و درباره محل ذخیره این داده‌ها، میزان راحتی دسترسی به آنها و بهترین روش‌های حفاظت از آنها در برابر مخاطرات امنیتی به شما اطلاع‌رسانی می‌کند. پس از پیاده‌سازی طبقه‌بندی داده، یک چارچوب سازمان‌دهی شده در اختیار خواهید داشت که امکان پیاده‌سازی راهکارهای حفاظتی بهتر را فراهم کرده و به پیروی هر چه بیشتر کارمندان از سیاست‌های امنیتی کمک می‌کند.

[1] General Data Protection Regulation

 

منبع: digitalguardian

 

خروج از نسخه موبایل