Was sind die Grundvoraussetzungen für eine effektive Datenklassifizierung?

Konzept Verständnis

Eine effektive Datenklassifizierung erfordert das Verständnis der folgenden Konzepte:

Datenzustände:
Daten existieren in drei Zuständen (in Ruhe, in Bearbeitung und während des Transports). Unabhängig vom Status sollten vertrauliche Informationen verschlüsselt und vertraulich bleiben.

Datenformat:
Daten können strukturiert und unstrukturiert sein. Das Klassifizieren strukturierter Daten ist im Allgemeinen weniger komplex, zeitaufwändig und billiger als unstrukturierte Daten.

Strukturierte Daten:
Lesbar und indizierbar, z. B. Datenbankobjekte und Tabellenkalkulationen.

Unstrukturierte Daten:
Nicht lesbar oder indizierbar, z. B. Quellcode, Dokumente und Binärdateien.

Datenerkennung:
Bevor Daten klassifiziert werden können, müssen Sie ihren Standort, ihr Volumen und ihren Kontext kennen. Dies gilt unabhängig davon, wo es gehostet wird (vor Ort, in der Cloud, in Legacy-Datenbanken oder bei einem Dienstanbieter).

Datensensitivität:
Um die Priorisierung zu erleichtern, werden Daten im Allgemeinen in Universitätsstufen eingeteilt.

Daten mit hoher Empfindlichkeit:
Daten gelten als Daten mit hoher Empfindlichkeit, wenn Exposition oder Zerstörung katastrophale Auswirkungen auf Ihr Unternehmen oder Ihre Kunden haben würden. Häufige Beispiele für hochsensible Daten sind Kreditkartennummern, Sozialversicherungsnummern, Führerscheinnummern, geschützte Gesundheitsinformationen (PHI), personenbezogene Daten (PII), Karteninhaberinformationen, geistiges Eigentum, Geschäftsprozesse, Biometrie und Bankkontonummern.

Daten mit mittlerer Empfindlichkeit:
Daten f
ür den internen Gebrauch, bei denen eine nicht autorisierte Offenlegung keine katastrophalen Auswirkungen auf Ihr Unternehmen oder Ihre Kunden haben würde. Beispiele hierfür sind E-Mails und Dokumente, die keine vertraulichen Daten enthalten

Daten mit geringer Empfindlichkeit:
Daten, die als öffentliche Informationen konzipiert sind. Beispiele hierfür sind Pressemitteilungen, Marketingmaterial, Website-Inhalte und andere öffentliche Daten.

Regulatorische Anforderungen:
Mit der zunehmenden Anzahl von Datenschutzgesetzen auf der ganzen Welt wird die Klassifizierung von Daten zunehmend zu einer regulatorischen Anforderung. Beispielsweise fordert die EU-Datenschutzgrundverordnung (DSGVO), dass alle personenbezogenen Daten geschützt werden, ebenso wie PIPEDA, FIPA, das SHIELD-Gesetz und LGPD.

Branchenspezifische Mandate:
Neben der Regulierung erfordern viele branchenspezifische Mandate jetzt die Klassifizierung verschiedener Datenattribute. Beispielsweise verlangt die Cloud Security Alliance (CSA), dass Daten und Datenobjekte den Datentyp, die Zuständigkeit für Herkunft und Wohnsitz, den Kontext, rechtliche Einschränkungen und die Vertraulichkeit enthalten.