mi az adatok osztályozása? Útmutató és folyamat

képzelje el, hogy Ön egy 10 000 fős szervezet CISO-ja, ahol a felhasználók naponta több millió fájlt és e-mailt hoznak létre. Ezen információk egy része nagyon érzékeny—ha kiszivárogtatják vagy ellopják, akkor a címsor megsértésével és hét számjegyű büntetésekkel kell szembenéznie. A naponta létrehozott adatok nagy része azonban incidens nélkül közzétehető a Times címlapján.

gyakorlatilag lehetetlen prioritásként kezelni a kockázatcsökkentést vagy betartani az adatvédelmi törvényeket, ha nem tudja, mely információk igényelnek katonai szintű védelmet. Itt jön be az adatok osztályozása.

az adatok osztályozása definíció

az adatok osztályozása a strukturált vagy strukturálatlan adatok elemzésének folyamata, és a Fájltípus, tartalom és egyéb metaadatok alapján kategóriákba rendezése.

az adatok osztályozása segít a szervezeteknek megválaszolni az adataikkal kapcsolatos fontos kérdéseket, amelyek tájékoztatják őket arról, hogyan mérséklik a kockázatokat és hogyan kezelik az Adatkezelési politikákat. Meg tudja mondani, hogy hol tárolja a legfontosabb adatait, vagy milyen érzékeny adatokat hoz létre a felhasználók leggyakrabban. Az adatok átfogó osztályozása szükséges (de nem elegendő) a modern adatvédelmi előírásoknak való megfeleléshez.

az Adatosztályozási szoftver lehetővé teszi a szervezetek számára, hogy azonosítsák a szervezet érdekeinek megfelelő információkat. Előfordulhat például, hogy meg kell találnia az összes hivatkozást a “Szechuan szószra” a hálózaton, keresse meg a “glifozát” összes említését a jogi felfedezés érdekében, vagy meg kell jelölnie a hálózat összes HIPAA-val kapcsolatos fájlját, hogy azok automatikusan titkosíthatók legyenek.

az adatvédelmi előírásoknak való megfelelés érdekében a szervezetek általában osztályozási projekteket hoznak létre, hogy felfedezzék a személyes azonosításra alkalmas információkat (PII) az adattárolókban, hogy bizonyítani tudják az auditorok számára, hogy azok megfelelően szabályozottak.

az adatok osztályozása nem azonos az adatok indexelésével, bár van néhány párhuzam a kettő között. Bár mindkettőnek meg kell vizsgálnia a tartalmat annak eldöntéséhez, hogy releváns-e egy kulcsszó vagy egy fogalom szempontjából, az osztályozás nem feltétlenül eredményez kereshető indexet.

sok esetben az osztályozási eredmények felsorolják az objektum nevét és az egyező házirendet vagy mintát anélkül, hogy az objektum tartalmának indexét tárolnák:

• tárgy: ügyfelek.xls
• egyező minták: Kaliforniai vezetői engedély (CCPA), American Express (PCI-DSS)

egyes adatosztályozási megoldások létrehoznak egy indexet, amely lehetővé teszi a gyors és hatékony keresést az Adatalany hozzáférési kérelmeinek (dsar) és az elfelejtéshez való jog kéréseinek teljesítéséhez.

az adatok osztályozásának célja

a Fájlelemző szoftverek legfrissebb piaci útmutatójában a Gartner négy magas szintű felhasználási esetet sorol fel:

• kockázatcsökkentés
  • a személyazonosításra alkalmas információkhoz való hozzáférés korlátozása (PII)
  • a szellemi tulajdonhoz való hozzáférés ellenőrzése
  • a támadás felületének érzékeny adatokra való csökkentése
  • integrálja a besorolást a DLP-be és más irányelv-érvényesítő alkalmazásokba

• irányítás / megfelelés
  • a GDPR, a HIPAA, a CCPA, a PCI, A SOX és a jövőbeli szabályozások által szabályozott adatok azonosítása
  • metaadat-címkék alkalmazása a védett adatokra további nyomon követés és ellenőrzés lehetővé tétele érdekében
  • karanténba helyezés, jogi visszatartás engedélyezése, archiválás és egyéb szabályozás-szükséges intézkedések
  • az “elfeledtetéshez való jog” és az érintett hozzáférési kérelmeinek (Dsar) megkönnyítése)

• hatékonyság és optimalizálás
  • lehetővé teszi a Tartalomhoz való hatékony hozzáférést típus, használat stb.alapján.
  • az elavult vagy redundáns adatok felfedezése és megszüntetése
  • az erősen felhasznált adatok áthelyezése gyorsabb eszközökre vagy felhőalapú infrastruktúrára

• Analytics
  • metaadatok címkézésének engedélyezése az üzleti tevékenységek optimalizálása érdekében
  • tájékoztassa a szervezetet az adatok helyéről és használatáról

fontos megjegyezni, hogy az adatok osztályozása—bár alapvető első lépés-általában nem elegendő ahhoz, hogy értelmes lépéseket tegyen a fenti felhasználási esetek sokaságának elérése érdekében. További metaadatfolyamok, például engedélyek és adathasználati tevékenységek hozzáadása jelentősen növelheti az osztályozási eredmények felhasználásának képességét a legfontosabb célok elérése érdekében.

a Varonis adatbiztonsági Platform egyik legnépszerűbb funkciója egy irányítópult, amely feltárja az érzékeny adatok részhalmazát, amely szintén ki van téve minden alkalmazottnak, így pontosan tudja, hol kezdje a kockázatcsökkentési erőfeszítéseit.

Adatérzékenységi szintek

a szervezetek gyakran megállapítják az adatérzékenységi szinteket, hogy megkülönböztessék a különböző típusú minősített adatok kezelését. Az Egyesült Államok kormányának például hét besorolási szintje van. Ők, a legmagasabbtól a legalacsonyabbig:

1. korlátozott adatok / korábban korlátozott adatok
2. kódszó besorolás
3. szigorúan titkos
4. titkos
5. bizalmas
6. közbizalom
7. ellenőrzött, nem minősített információk (CUI)

a Center for Internet Security (CIS) az “érzékeny”, “üzleti bizalmas” és “nyilvános” kifejezéseket használja a magas, közepes és alacsony osztályozási érzékenységi szintekre.

három osztályozási szint általában a megfelelő szám a legtöbb szervezet számára. Több mint három szint növeli a bonyolultságot, amelyet nehéz fenntartani, és kevesebb, mint három túl egyszerű, és elégtelen magánélethez és védelemhez vezethet.

itt vannak a három érzékenységi szintű osztályozási taxonómia ajánlott definíciói:

• Nagy érzékenységű adatok: szigorú hozzáférési ellenőrzéseket és védelmet igényel, mind azért, mert gyakran olyan törvények védik őket, mint a GDPR, a CCPA és a HIPAA, és mert megsértésük jelentős kárt okozhat az egyénnek vagy a szervezetnek.
• Közepes Érzékenységű Adatok: kizárólag belső használatra szánják, de az adatok megsértésének hatása nem katasztrofális. Ilyenek például a fejlesztés alatt álló kereskedelmi épület nem azonosítható személyi adatai vagy építészeti tervei.
• alacsony érzékenységű adatok: az alacsony érzékenységű adatok olyan nyilvános információk, amelyekhez nincs szükség hozzáférési korlátozásra. Ilyenek például a nyilvános weboldalak, álláshirdetések és blogbejegyzések.

eltérő nómenklatúrát használhat, és a Felhasználási esetektől függően háromnál több kategóriája is lehet.

az adatok osztályozásának típusai

az adatok osztályozásának végrehajtása során két elsődleges paradigmát kell követni. Vannak mások is, de a használati esetek többsége e kategóriák egyikébe tartozik. A felhasználókat az általuk létrehozott adatok osztályozásával bízhatja meg, vagy automatizált megoldással teheti meg helyettük.

User

amikor a felhasználókat saját adataik osztályozására bízza, meg kell határoznia az érzékenységi szinteket, be kell képeznie a felhasználókat az egyes szintek azonosítására, és meg kell adnia egy mechanizmust az általuk létrehozott összes új fájl címkézésére és osztályozására.

a legtöbb osztályozási rendszer integrációt biztosít a házirend-érvényesítő megoldásokhoz, például az adatvesztés-megelőző (DLP) szoftverekhez, amelyek nyomon követik és védik a felhasználók által címkézett érzékeny adatokat. Egy példa DLP politika érdemes blokk fájlokat címkézett “nagy érzékenység” attól, hogy feltöltötte a Dropbox.

a felhasználói besorolás előnye, hogy az emberek elég jól tudják megítélni, hogy az információ érzékeny-e vagy sem. Megfelelő szerszámokkal és könnyen érthető szabályokkal az osztályozás pontossága meglehetősen jó lehet, de nagymértékben függ a felhasználók szorgalmától, és nem fog lépést tartani az adatok létrehozásával.

az adatok kézi címkézése fárasztó, és sok felhasználó elfelejti vagy elhanyagolja a feladatot. Továbbá, ha nagy mennyiségű már meglévő adat (vagy gép által generált adat) van, monumentális kihívás, hogy a felhasználókat visszamenőlegesen megcímkézhessék a történelmi adatokat.

automatizált

az automatizált adatosztályozási motorok egy fájlelemzőt használnak egy karakterlánc-elemző rendszerrel kombinálva, hogy adatokat találjanak a fájlokban. A fájl elemző lehetővé teszi az adatok osztályozása motor olvasni a tartalmát több különböző típusú fájlokat. Ezután egy karakterlánc-elemző rendszer illeszti a fájlok adatait a meghatározott keresési paraméterekhez.

az automatizált osztályozás sokkal hatékonyabb, mint a felhasználó alapú osztályozás, de a pontosság az elemző minőségétől függ. A Varonis Data Classification Engine néhány kulcsfontosságú funkciót tartalmaz, amelyek segítenek az eredmények érvényesítésében és a hamis pozitív eredmények csökkentésében—nevezetesen a szöveg közelsége, a kizáró kulcsszavak, az egyezési tartományok és az érvényesítési algoritmusok.

a pontosság mellett a hatékonyság és a skálázhatóság is fontos szempont az automatizált osztályozási termék kiválasztásakor. Több száz nagy adattárolóval rendelkező környezetekben elosztott, többszálú motort szeretne, amely egyszerre több rendszert képes kezelni anélkül, hogy túl sok erőforrást fogyasztana a beolvasott üzletekben.

a nagy, több petabájtos környezet kezdeti osztályozási vizsgálatának befejezéséhez szükséges idő jelentős lehet. A valódi inkrementális szkennelés felgyorsíthatja a későbbi vizsgálatokat. Mivel a Varonis figyeli az összes adatot, amely Létrehozza/módosítja, a szkennelő motorunk csak azokat a fájlokat vizsgálja, amelyeket az előző vizsgálat óta újonnan hoztak létre vagy módosítottak, anélkül, hogy minden fájlt “módosított dátum” időbélyeggel kellene ellenőrizni.

egyes osztályozási motorok megkövetelik az általuk Osztályozott objektumok indexét. Ha a tárolókapacitás aggodalomra ad okot, keressen olyan motort, amelyhez nincs szükség indexre, vagy csak olyan objektumokat indexel, amelyek megfelelnek egy adott házirendnek vagy mintának.

a szervezetek megállapodhatnak az egyik vagy a másik, vagy mind a felhasználói, mind az automatizálási osztályozás kombinációjával. Mindig jó, ha a felhasználók számára képzést és funkcionalitást biztosítunk az adatvédelemhez, és bölcs dolog követni az automatizálást, hogy megbizonyosodjon arról, hogy a dolgok nem esnek át a repedéseken.

Adatosztályozási folyamat

az adatosztályozási folyamatok kissé eltérnek a projekt célkitűzéseitől függően. A legtöbb adatosztályozási projekt automatizálást igényel a vállalatok által naponta létrehozott elképesztő mennyiségű adat feldolgozásához. Általában vannak olyan bevált gyakorlatok, amelyek sikeres adatosztályozási kezdeményezésekhez vezetnek:

1. Határozza meg az Adatosztályozási folyamat céljait

• mit keres? Miért?
• mely rendszerek tartoznak a kezdeti osztályozási szakasz hatálya alá?
• milyen megfelelőségi szabályok vonatkoznak az Ön szervezetére?
• vannak más üzleti célok, amelyekkel foglalkozni szeretne? (pl. kockázatcsökkentés, Tárolás optimalizálás, analitika)

2. Adattípusok kategorizálása

• határozza meg, hogy a szervezet milyen típusú adatokat hoz létre (pl. ügyféllisták, pénzügyi nyilvántartások, forráskód, terméktervek)
• határozza meg a védett adatokat a nyilvános adatokkal szemben
• várhatóan megtalálja a GDPR-t, a CCPA-t vagy más szabályozott adatokat?

3. Osztályozási szintek létrehozása

• hány osztályozási szintre van szüksége?
• dokumentálja az egyes szinteket és adjon példákat
• tanítsa meg a felhasználókat az adatok osztályozására (ha kézi osztályozást terveznek)

4. Határozza meg az automatizált osztályozási folyamatot

• határozza meg, hogyan rangsorolja az első beolvasandó adatokat (pl. az aktívat rangsorolja az elavult helyett, a nyitottat a védett helyett)
• határozza meg az automatizált adatok osztályozására szánt gyakoriságot és erőforrásokat

5. Határozza meg a kategóriákat és osztályozási kritériumokat

• határozza meg a magas szintű kategóriákat, és adjon példákat (pl., PII, PHI)
• az alkalmazandó osztályozási minták és címkék meghatározása vagy engedélyezése
• hozzon létre egy folyamatot a felhasználó által minősített és automatizált eredmények áttekintésére és érvényesítésére

6. A minősített adatok eredményeinek és felhasználásának meghatározása

• dokumentálja a kockázatcsökkentési lépéseket és az automatizált irányelveket (pl., a PHI áthelyezése vagy archiválása, ha 180 napig nem használják, automatikusan eltávolítja a globális hozzáférési csoportokat az érzékeny adatokat tartalmazó mappákból)
• adjon meg egy folyamatot az elemzés alkalmazásához az osztályozási eredményekhez
• az analitikai elemzés várható eredményeinek megállapítása

7.

• folyamatos munkafolyamat létrehozása az új vagy frissített adatok osztályozásához
• tekintse át az osztályozási folyamatot, és frissítse, ha szükséges az üzleti változások vagy az új szabályok miatt

példák az adatok osztályozására

a RegEx –a reguláris kifejezés rövidítése – az egyik leggyakoribb karakterlánc-elemző rendszer, amely meghatározza a keresési minták sajátosságait. Például, ha meg akartam találni az összes VISA hitelkártya számot az adataimban, a RegEx így nézne ki:

\b(?<!)(4\d{3}\d{4}\d{4}\d{4}\b|4\d{12}(?:\d{3})?)\b

ez a sorozat egy 16 karakteres számot keres, amely ‘4’-vel kezdődik, és 4 kvartettje van, amelyeket ‘- határol. ‘Csak egy karakterlánc, amely megfelel a Regexnek, közvetlenül generál pozitív eredményt. Egy lépéssel tovább haladva ezt az eredményt egy Luhn algoritmus érvényesítheti.

itt van egy eset, amikor a RegEx önmagában nem fogja elvégezni a munkát. Ez a RegEx megtalálja az e-mail címek érvényesítését, de nem tudja megkülönböztetni a személyes e-maileket az üzleti e-mailektől:

a kifinomultabb adatosztályozási politika Regexet használhat a mintaillesztéshez, majd szótárkereséssel szűkítheti az eredményeket a személyes e-mail-címszolgáltatások, például a Gmail, Az Outlook stb.

a reguláris kifejezések mellett, amelyek mintákat keresnek a szövegben, sok elemző a fájl metaadatait is megvizsgálja—például a fájl kiterjesztését, tulajdonosát és kiterjesztett tulajdonságait—a besorolás meghatározásához. Egyes szkennelési motorok elég robusztusak ahhoz, hogy túllépjenek a fájl tartalmán, és beépítsék az engedélyeket és a használati tevékenységet az osztályozási szabályba.

az Advanced data classification a gépi tanulást használja az adatok keresésére anélkül, hogy kizárólag előre meghatározott szabályokra vagy szabályokra támaszkodna, amelyek szótárakból és Regexekből állnak. Előfordulhat például, hogy egy gépi tanulási algoritmust 1000 jogi dokumentumból álló korpuszba táplálhat, hogy kiképezze a motort, hogy néz ki egy tipikus jogi dokumentum. A motor a modell alapján új jogi dokumentumokat fedezhet fel anélkül, hogy a karakterlánc-illesztésre támaszkodna.

az adatok osztályozásának legjobb gyakorlatai

Íme néhány bevált gyakorlat, amelyet követni kell az adatok osztályozási politikájának végrehajtása és végrehajtása során.

• határozza meg, hogy mely megfelelőségi szabályok vagy adatvédelmi törvények vonatkoznak a szervezetére, és ennek megfelelően készítse el osztályozási tervét
• kezdje reális hatókörrel (ne forralja fel az óceánt) és szorosan meghatározott mintákkal (például PCI-DSS)
• automatizált eszközökkel gyorsan dolgozzon fel nagy mennyiségű adatot
• szükség esetén hozzon létre egyedi osztályozási szabályokat, de ne találja fel újra a kereket
• osztályozási szabályok/szintek módosítása szükség szerint
• osztályozási eredmények érvényesítése
• Találd ki, hogyan használhatod a legjobban az eredményeket, és alkalmazd a besorolást az adatbiztonságtól az üzleti intelligenciáig minden

az adatok osztályozása egy átfogó adatvédelmi stratégia része. Miután megtudta, hogy mely adatok érzékenyek, derítse ki, kinek van hozzáférése ezekhez az adatokhoz, és mi történik ezekkel az adatokkal mindenkor. Így megvédheti érzékeny adatait, és megakadályozhatja, hogy szervezete egy szerencsétlen címsorban jelenjen meg.

adatok osztályozása források

• hogyan kell csinálni adatok osztályozása skálán
• adatok osztályozása tippek: Hitelkártya számok keresése
• Adatosztályozási címkék
• CCPA besorolás
• Adatvédelem
• adatkezelés

az adatok osztályozásának nem kell bonyolultnak lennie. A Varonis rendelkezik az előre elkészített szabályokkal, az intelligens érvényesítéssel és a közelségillesztéssel, amire a munka nagy részében szükség van. Nézze meg ezt a mesterkurzust, hogy megnézze, hogyan osztályozzák az ügyfelek érzékeny adataikat.