Hva Er Dataklassifisering? Retningslinjer Og Prosess

Posted on by admin

Tenk DEG at DU er CISO for en 10.000-personers organisasjon der brukere lager millioner av filer og e-poster hver dag. Noe av denne informasjonen er svært følsom—hvis lekket eller stjålet, du står overfor en overskrift-making brudd og syv-tallet straffer. De fleste av dataene som opprettes hver dag, kan imidlertid bli publisert på Forsiden Av Times uten hendelser.

det kan være praktisk talt umulig å prioritere risikoreduksjon eller overholde personvernlovgivningen når du ikke vet hvilken informasjon som krever militær beskyttelse. Det er her dataklassifisering kommer inn.

Dataklassifisering Definisjon

illustrasjon av dataklassifisering

dataklassifisering er prosessen med å analysere strukturerte eller ustrukturerte data og organisere den i kategorier basert på filtype, innhold og andre metadata.

dataklassifisering hjelper organisasjoner med å svare på viktige spørsmål om deres data som informerer om hvordan de reduserer risiko og administrerer retningslinjer for datastyring. Det kan fortelle deg hvor du lagrer dine viktigste data eller hva slags sensitive data brukerne oppretter oftest. Omfattende dataklassifisering er nødvendig (men ikke nok) for å overholde moderne databeskyttelsesforskrifter.

skjermbilde AV dce-og dw-konfigurasjon

dataklassifiseringsprogramvare lar organisasjoner identifisere informasjon som er relevant for en organisasjons interesser. For eksempel kan du ha et krav om å finne alle referanser til «Szechuan Saus» på nettverket ditt, finne alle nevner av «glyfosat» for juridisk oppdagelse, eller merke ALLE HIPAA-relaterte filer på nettverket ditt slik at de kan krypteres automatisk.

for å overholde databeskyttelsesforskrifter, spinner organisasjoner vanligvis opp klassifiseringsprosjekter for å oppdage personlig identifiserbar informasjon (PII) på datalagrene dine, slik at du kan bevise for revisorer at den er riktig styrt.

dataklassifisering er ikke det samme som dataindeksering, selv om det er noen paralleller mellom de to. Mens begge krever å se på innhold for å avgjøre om det er relevant for et søkeord eller et konsept, produserer klassifisering ikke nødvendigvis en søkbar indeks.

i mange tilfeller vil klassifiseringsresultater vise objektnavnet og policyen eller mønsteret som ble matchet uten å lagre en indeks over objektets innhold:

  • Objekt: Kunder.xls
  • Matchede mønstre: California Førerkort (CCPA), American Express (PCI-DSS)

noen dataklassifiseringsløsninger oppretter en indeks for å muliggjøre raskt og effektivt søk for å oppfylle forespørsler om tilgang til data subject (DSAR) og forespørsler om rett til å bli glemt.

Formål Med Dataklassifisering

illustrasjon av dataklassifisering

I Den nyeste Markedsveiledningen For Programvare For Filanalyse viser Gartner fire brukstilfeller på høyt nivå:

  • Risikoreduksjon
    • Begrens tilgang til personlig identifiserbar informasjon (PII)
    • Kontroller plassering og tilgang til immaterielle rettigheter (IP)
    • Reduser angrepsoverflateareal til sensitive data
    • Integrer klassifisering i DLP og andre programmer som håndhever retningslinjer
    • Identifiser data som styres AV GDPR, HIPAA, CCPA, PCI, SOX og fremtidige forskrifter
    • Bruk metadatakoder på beskyttede data for å muliggjøre ytterligere sporing og kontroller
    • Aktiver karantene, lovlig hold, arkivering og andre reguleringsforpliktede tiltak
    • Letter «Retten til Å Bli Glemt» og Forespørsler Om Tilgang Til Datasubjekter (DSARs)
  • Effektivitet Og Optimalisering
    • Muliggjør effektiv tilgang til innhold basert på type, bruk osv.
    • Oppdag og eliminer foreldede eller overflødige data
    • Flytt tungt utnyttede data til raskere enheter eller skybasert infrastruktur
  • Analytics
    • Aktiver metadatakoding for å optimalisere forretningsaktiviteter
    • Informer organisasjonen om plassering og bruk av data

det er viktig å merke seg at klassifisering av data – mens et grunnleggende første skritt-ikke er typisk nok til å ta meningsfulle tiltak for å oppnå mange av de ovennevnte brukssakene. Hvis du legger til flere metadatastrømmer, for eksempel tillatelser og aktivitet for databruk, kan du dramatisk øke muligheten til å bruke klassifiseringsresultatene for å oppnå viktige mål.

skjermbilde av filservere

En Av De mest populære funksjonene I Varonis Datasikkerhetsplattform er et dashbord som avslører delmengden av sensitive data som også er utsatt for hver ansatt, slik at du vet nøyaktig hvor du skal begynne med risikoreduserende innsats.

Datafølsomhetsnivåer

illustrasjoner av datafølsomhetsnivåer

Organisasjoner etablerer ofte datafølsomhetsnivåer for å skille mellom hvordan man behandler ulike typer klassifiserte data. Den Amerikanske regjeringen, for eksempel, har syv nivåer av klassifisering. De er, fra høyeste til laveste:

  1. Begrensede Data/Tidligere Begrensede Data
  2. kodeordklassifisering
  3. Topphemmelig
  4. Hemmelig
  5. Konfidensiell
  6. Offentlig Tillit
  7. Kontrollert Uklassifisert Informasjon (CUI)

Center For Internet Security (CIS) bruker begrepene «sensitive», «business confidential» og «public» for høye, middels og lave klassifiseringsfølsomhetsnivåer.

Tre klassifiseringsnivåer er vanligvis det riktige tallet for de fleste organisasjoner. Mer enn tre nivåer legger til kompleksitet som kan være vanskelig å opprettholde, og færre enn tre er for forenklet og kan føre til utilstrekkelig personvern og beskyttelse.

her er anbefalte definisjoner for en klassifiseringstaksonomi med tre følsomhetsnivåer:

  • Høysensitivitetsdata: krever strenge tilgangskontroller og beskyttelse, både fordi de ofte er beskyttet av lover SOM GDPR, CCPA og HIPAA, og fordi det kan forårsake betydelig skade på en person eller organisasjonen hvis de brytes.
  • Data For Middels Sensitivitet: kun beregnet for internt bruk, men virkningen av et datainnbrudd er ikke katastrofal. Eksempler er ikke-identifiserbare personaldata eller arkitekturplaner til et næringsbygg under utvikling.
  • Data Med Lav Følsomhet: Data Med Lav følsomhet er offentlig informasjon som ikke krever tilgangsbegrensninger. Eksempler er offentlige nettsider, jobbannonser og blogginnlegg.

du kan bruke annen nomenklatur,og du kan ha mer enn tre kategorier, avhengig av brukstilfellene dine.

Typer Dataklassifisering

illustrasjoner av dataklassifiseringstyper

det er to primære paradigmer å følge når du implementerer en dataklassifiseringsprosess. Det er andre, men de fleste brukssaker vil falle inn i en av disse kategoriene. Du kan oppgave brukere med å klassifisere dataene de oppretter, eller du kan gjøre det for dem med en automatisert løsning.

Bruker

når du oppgave brukere å klassifisere sine egne data, må du definere følsomhetsnivåer, trene brukerne til å identifisere hvert nivå og gi en mekanisme for å merke og klassifisere alle nye filer de oppretter.

økonomisk historie skjermbilde

de fleste klassifikasjonssystemer gir integrasjoner til policyhåndhevende løsninger, for eksempel DLP-programvare, som sporer og beskytter sensitive data merket av brukere. ET EKSEMPEL DLP-policy vil kanskje blokkere filer merket «Høy Følsomhet» fra å bli lastet opp Til Dropbox.

fordelen med brukerklassifisering er at mennesker er ganske gode til å bedømme om informasjon er sensitiv eller ikke. Med passende verktøy og enkle å forstå regler, klassifisering nøyaktighet kan være ganske bra, men det er svært avhengig av flid av brukerne, og vil ikke skalere for å holde tritt med data etableringen.

manuell merking av data Er kjedelig, og mange brukere vil enten glemme eller forsømme oppgaven. Hvis du har store mengder eksisterende data (eller maskingenererte data), er det også en monumental utfordring å få brukerne til å gå tilbake og merke historiske data med tilbakevirkende kraft.

Automatisert

automatiserte dataklassifiseringsmotorer bruker en filparser kombinert med et strenganalysesystem for å finne data i filer. En fil parser lar data klassifisering motor for å lese innholdet i flere forskjellige typer filer. Et strenganalysesystem matcher deretter data i filene til definerte søkeparametere.

Automatisert klassifisering er mye mer effektiv enn brukerbasert klassifisering, men nøyaktigheten avhenger av kvaliteten på parseren. Varonis ‘ Dataklassifiseringsmotor inneholder noen få viktige funksjoner for å validere resultater og redusere falske positiver—nemlig nærhet til tekst, negative søkeord, kampområder og valideringsalgoritmer.

edit rule screenshot

i tillegg til nøyaktighet, effektivitet og skalerbarhet er viktige hensyn når du velger en automatisert klassifisering produkt. For miljøer med hundrevis av store datalager, vil du ha en distribuert, multi-threaded motor enn kan takle flere systemer samtidig uten å bruke for mange ressurser på butikkene som skannes.

tiden for å fullføre en innledende klassifiseringsskanning av et stort multi-petabyte-miljø kan være betydelig. Sann inkrementell skanning kan bidra til å øke hastigheten på påfølgende skanninger. Fordi Varonis overvåker alle data som opprettes / endres, skanner vår skannemotor bare de filene som er nylig opprettet eller endret siden forrige skanning uten å måtte sjekke hver fil for en» dato endret » tidsstempel.

noen klassifiseringsmotorer krever en indeks for hvert objekt de klassifiserer. Hvis lagringskapasitet er et problem, se etter en motor som ikke krever en indeks eller bare indekserer objekter som samsvarer med en bestemt policy eller mønster.

Organisasjoner kan slå seg ned på den ene eller den andre, eller en kombinasjon av både bruker-og automatiseringsklassifisering. Det er alltid godt å gi brukerne opplæring og funksjonalitet for å engasjere seg i databeskyttelse, og det er lurt å følge opp med automatisering for å sikre at ting ikke faller gjennom sprekker.

Dataklassifiseringsprosessen

dataklassifiseringsprosessen

dataklassifiseringsprosessen varierer noe avhengig av målene for prosjektet. De fleste dataklassifiseringsprosjekter krever automatisering for å behandle den forbløffende mengden data som bedrifter lager hver dag. Generelt er det noen gode fremgangsmåter som fører til vellykkede dataklassifiseringsinitiativer:

1. Definer Målene For Dataklassifiseringsprosessen

  • Hva leter du etter? Hvorfor?
  • Hvilke systemer er i omfang for den første klassifiseringsfasen?
  • hvilke samsvarsregler gjelder for organisasjonen din?
  • Er det andre forretningsmål du vil takle? (f. eks. risikoreduksjon, lagringsoptimalisering, analyse)

2. Kategoriser Datatyper

  • Identifiser hvilke typer data organisasjonen oppretter (f. eks. kundelister, finansielle poster, kildekode, produktplaner)
  • Avgrense proprietære data vs. offentlige data
  • forventer du Å finne GDPR, CCPA eller andre regulerte data?

3. Etablere Klassifiseringsnivåer

  • Hvor mange klassifiseringsnivåer trenger du?
  • Dokumentere hvert nivå og gi eksempler
  • Trene brukere til å klassifisere data (hvis manuell klassifisering er planlagt)

4. Definer Den Automatiserte Klassifiseringsprosessen

  • Definer hvordan du skal prioritere hvilke data som skal skannes først (f. eks. prioritere aktiv over foreldet, åpne over beskyttet)
  • Fastslå frekvensen og ressursene du vil bruke til automatisert dataklassifisering

5. Definer Kategoriene Og Klassifiseringskriteriene

  • Definer kategoriene på høyt nivå og gi eksempler (f. eks., PII, PHI)
  • Definer eller aktiver gjeldende klassifiseringsmønstre og etiketter
  • Opprett en prosess for å gjennomgå og validere både brukerklassifiserte og automatiserte resultater

6. Definer Utfall Og Bruk Av Klassifiserte Data

  • dokument risikoreduserende trinn og automatiserte retningslinjer (f. eks. hvis den ikke brukes i 180 dager, fjern automatisk globale tilgangsgrupper fra mapper med sensitive data)
  • Definer en prosess For å bruke analyser på klassifiseringsresultater
  • Opprett forventede resultater fra den analytiske analysen

7. Overvåk Og Vedlikehold

  • Opprett en pågående arbeidsflyt for å klassifisere nye eller oppdaterte data
  • Gjennomgå klassifiseringsprosessen og oppdater om nødvendig på grunn av endringer i virksomheten eller nye forskrifter

Eksempler På Dataklassifisering

RegEx –forkortelse for regular expression – er et av de vanligste strenganalysesystemene som definerer detaljer om søkemønstre. For eksempel, hvis jeg ønsket å finne ALLE VISA kredittkortnumre i mine data, RegEx ville se ut:

\b(?<!)(4\d{3}\d{4}\d{4}\d{4}\b|4\d{12}(?:\d{3})?)\b

denne sekvensen ser etter et tall på 16 tegn som starter med en ‘ 4 ‘og har 4 kvartetter avgrenset av en’ -. ‘Bare en streng av tegn som samsvarer Med RegEx direkte genererer et positivt resultat. Går et skritt videre, kan dette resultatet valideres av En Luhn-algoritme.

Her er et tilfelle der En RegEx alene ikke vil gjøre jobben. Denne RegEx finner validere e-postadresser, men kan ikke skille personlig fra business e-post:

uttrykksskjermbilde

en mer sofistikert dataklassifiseringspolicy kan bruke En RegEx for mønstergjenkjenning og deretter bruke et ordboksoppslag for å begrense resultatene basert på et bibliotek med personlige e-postadressetjenester som Gmail, Outlook, etc.

i tillegg til vanlige uttrykk som ser etter mønstre i tekst, vil mange parsere også se på filens metadata—som filtypen, eieren og utvidede egenskaper—for å bestemme klassifiseringen. Noen skannemotorer er robuste nok til å gå utover innholdet i filen og innlemme tillatelser og bruksaktivitet i klassifiseringsregelen.

Avansert dataklassifisering bruker maskinlæring til å finne data uten å stole utelukkende på forhåndsdefinerte regler eller retningslinjer som består av ordbøker og Regexer. For eksempel kan du kanskje mate en maskinlæringsalgoritme et korpus på 1000 juridiske dokumenter for å trene motoren hva et typisk juridisk dokument ser ut. Motoren kan oppdage nye juridiske dokumenter basert på modellen uten å stole på strengmatching.

Anbefalte Fremgangsmåter For Dataklassifisering

her er noen anbefalte fremgangsmåter som skal følges når du implementerer og utfører en dataklassifiseringspolicy i stor skala.

  • Identifiser hvilke samsvarsforskrifter eller personvernlover som gjelder for organisasjonen din, og bygg klassifiseringsplanen din i henhold til dette
  • Start med et realistisk omfang (ikke kok havet) Og tett definerte mønstre (som PCI-DSS)
  • Bruk automatiserte verktøy til å behandle store datamengder raskt
  • Opprett egendefinerte klassifiseringsregler ved behov, Men ikke finn opp hjulet på nytt
  • juster klassifiseringsregler/ – nivåer etter behov
  • valider klassifiseringsresultatene
  • finn ut hvordan du best kan bruke resultatene og bruke klassifisering til alt fra datasikkerhet til business intelligence

dataklassifisering er en del av en overordnet strategi for databeskyttelse. Når du vet hvilke data som er sensitive, kan du finne ut hvem som har tilgang til dataene, og hva som skjer med dataene til enhver tid. På den måten kan du beskytte sensitive data og holde organisasjonen vises i en uheldig overskrift.

Dataklassifiseringsressurser

  • Slik Gjør Du Dataklassifisering I Skala
  • Dataklassifiseringstips: Finne Kredittkortnumre
  • Dataklassifiseringsmerker
  • CCPA-Klassifisering
  • Personvern
  • Datastyring

dataklassifisering trenger ikke å være komplisert. Varonis har pre-bygget regler, intelligent validering, og nærhet matching du trenger for å gjøre det meste av arbeidet. Sjekk Ut Denne Masterclassen for å se hvordan kunder klassifiserer deres sensitive data.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.