Embed Size (px)
Citation preview
Класифікація даних на підприємстві: підходи та
інструменти
Доповідач: Андрій Дробенко
What is Data Classification? What is Data Classification?
Data classification is the act of placing data into categories that will dictate the level of internal controls to protect that data against theft, compromise, and inappropriate use.
Information security is best managed when data is classified and the risks associated with each category is uniform and understood.
Data classification is an essential part of audit and compliance activities at any organization; public or private sector.
Top 6 Reasons Companies Classify Data
1.Compliance with regulations
2.Protect customer data and your reputation
3.Improve accuracy of data loss prevention (DLP) systems
4.Increase user awareness and accountability
5.Simplify encryption
6.Enhance records management and governance
Основні проблеми при класифікації даних в організації:
1) Великі об’єми інформації, які потрібно класифікувати
2) Висока динаміка змін
3) Нерозуміння бізнес-процесів
4) Відсутність прав доступу
Документи, що регламентують необхідність класифікації ІА:
ГСТУ СУІБ 2.0/ISO/IEC 27001:2010
ГСТУ СУІБ 2.0/ISO/IEC 27002:2010
Закону України «Про банки і банківську діяльність»
Закон України «Про захист персональних даних»
ГСТУ СУІБ 1.0/ISO/IEC 27001:2010
Явні та неявні вимоги ISO27001 стосовно класифікації:
Section 5.1 – Політика інформаційної безпеки-
Ціль: Забезпечити регулювання та підтримку з боку керівництва інформаційної безпеки згідно з вимогами бізнесу та відповідними законами і нормативами.
Section 6.2 – Зовнішні сторони
Ціль: Підтримування безпеки інформації організації та її засобів оброблення інформації, до яких мають доступ, обробляють, якими управляють або з якими підтримують зв'язок зовнішні сторони.
ISO 27001 – задоволення вимог класифікації інформації
Section 7.1 – Відповідальність за активиУсі активи необхідно чітко ідентифікувати та скласти і підтримувати інвентарний опис усіх важливих активів.
Section 7.2 – Класифікація інформаціїЦіль: Забезпечити, що інформація одержує належний рівеньзахисту.Інформація повинна бути класифікована в термінах її цінності, правових вимог, чутливості та критичності для організаціїНалежно множина процедур для маркування та обробленняінформації повинна бути розроблена та впроваджена згідно з схемою класифікації, прийнятою організацією.
Section 10.6 – Управління безпекою мережі
Забезпечити захист інформації в мережах та захистінфраструктури, що їх підтримує
ISO 27001 – задоволення вимог класифікації інформації
Section 10.7 – Поводження з носіями
Ціль: Запобігти неавторизованому розголошенню, модифікації, вилученню або знищенню активів та перериванню бізнес-діяльності.
Section 10.8 - Обмін інформацієюПовинні бути наявними офіційно оформлені політики, процедури та контролі обміну для захисту обміну інформацією з використанням всіх видів засобів комунікації .
Section 15 – Відповідність правовим вимогам
Ціль: Уникнути порушень будь-якого закону, вимог, що діють на підставі закону, нормативних або контрактних зобов’язань та будь-яких вимог безпеки.
ГСТУ СУІБ 2.0/ISO/IEC 27002:20107.2.1 Настанови щодо класифікації
Інформація повинна бути класифікована в термінах її цінності, правових вимог, чутливості та критичності для організації.
Національна примітка. Банки повинні чітко визначити повний перелік інформації, яка відноситься до «банківської таємниці» відповідно до Закону України «Про банки і банківську діяльність»
Настанови щодо класифікації повинні містити домовленості щодо первинної класифікації та повторної класифікації через певний час; відповідно до заздалегідь визначеній політиці контролю доступу
Дані, що потребують захисту:
Банківська таємниця
• відомості про банківські рахунки клієнтів;• операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;• фінансово-економічний стан клієнтів;• системи охорони банку та клієнтів;• інформація про організаційно-правову структуру юридичної особи — клієнта, її керівників, напрями діяльності;• відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація
Дані, що потребують захисту:
Персональні дані
•відомості чи сукупність відомостей про фізичну особу, яка ідентифікованаабо може бути конкретно ідентифікована;
Biometric InformationMedical InformationLicense NumberBirth DateSocial Security Numbers, Citizen Visa Code, etc.Employee ID
Дані, що потребують захисту:
Комерційна таємниця
•інформація, яка є секретною в тому розумінні, що вона в цілому чи в певнійформі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв'язку з цим має комерційну цінність та була предметом адекватнихіснуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Первинна класифікація
Класифікація вручну
Автоматизована класифікація
Цифрові відбитки
Морфологічний аналіз
За формальним
и знаками
За місцем зберігання
Аналіз бінарного
файлу
Аналіз текстового
вмісту
Підтримка класифікації
Класифікація вручну
Наслідування рівнів
Автоматизована класифікація
вручну
за розкладом
За місцем збереження
За формальними ознаками
За морфологічним аналізом
По цифрових відбитках
За вимогою
Створення документів по шаблонах
Класифікація документів
адміністратором
Аналіз бінарного файлу
Аналіз текстового вмісту
DocumentsFiles
Collaboration Email
Files Documents
TITUS: Solutions for your Organization
RightsWATCH integration across different platforms
Questions \ Answers
