Veri sınıflandırması
Veri Sınıflandırması Nedir?
Veri sınıflandırması, verileri türüne, duyarlılığına göre, gizli, hizmete özel, gelen kullanım gibi etiketler veren sistemdir.
Bir kuruluşun verilerinin değerini anlamasına, verilerin risk altında olup olmadığını belirlemesine ve riskleri azaltmak için kontroller uygulamasına yardımcı olur. Veri sınıflandırması aynı zamanda bir kuruluşun PCI DSS , KVKK ,ISO 27001, CB DDO gibi ilgili sektöre özel yasal zorunluluklara uymasına da yardımcı olur.
Duyarlılık düzeyleri
Veri Duyarlılık Düzeyleri
Veriler duyarlılık düzeyine göre sınıflandırılır. Örneğin: yüksek, orta veya düşük.
Yüksek hassasiyetli veriler
Yetkisiz bir işlemde veri sızması veya yok edilirse, kuruluş veya bireyler üzerinde olumsuz etkisi olabilir. Örneğin, finansal kayıtlar, fikri mülkiyet hakları, kimlik doğrulama verileri.
Orta hassasiyetli veriler
Yalnızca dahili kullanım amaçlıdır, ancak tehlikeye atılırsa veya yok edilirse, kuruluş veya bireyler üzerinde feci bir etkisi olmaz. Örneğin, gizli veri içermeyen e-postalar ve belgeler.
Düşük hassasiyetli veriler
Gizliliği olmayan ortak kullanıma yöneliktir. Örneğin, genel web sitesi içeriği.


Sınıflandırma türleri
Veri Sınıflandırma Türleri
Veri sınıflandırması içerik, bağlam veya kullanıcı seçimlerine göre gerçekleştirilebilir:
İçeriğe dayalı sınıflandırma
01
Dosyaları ve belgeleri gözden geçirmeyi ve sınıflandırmayı içerir.
Bağlama dayalı sınıflandırma
02
Dosyaları oluşturan uygulama (örneğin muhasebe yazılımı), belgeyi oluşturan kişi (örneğin finans personeli) veya dosyaların yazıldığı veya yazıldığı konum gibi metadata öznitelik verilerine dayalı olarak dosyaları sınıflandırmayı içerir. örneğin, finans veya hukuk departmanı binaları.
Kullanıcı tabanlı sınıflandırma
03
Bilgili bir kullanıcının manuel değerlendirmesine göre dosyaları sınıflandırmayı içerir. Belgelerle çalışan kişiler, ne kadar hassas olduklarını belirtebilirler; bunu belgeyi oluştururken, önemli bir düzenleme veya incelemeden sonra veya belge yayınlanmadan önce yapabilirler.
Veri Keşfi
Verileri sınıflandırmak için verilerin konumlarını, hacmini ve bağlamını bilmeyi gerektirir. Çoğu modern işletme, birden lokasyona yayılmış olabilecek büyük hacimli verileri depolar:
Şirket içinde veya bulutta dağıtılan veritabanları
Büyük veri platformlarındaki datalar Microsoft SharePoint, Dropbox ve Google Dokümanlar gibi bulut depolama hizmetleri
Ofis dosyaları, PDF'ler veya e-postalar gibi dosyalar
* Veri sınıflandırmasını gerçekleştirmeden önce doğru ve kapsamlı veri keşfi gerçekleştirmelisiniz. Otomatik araçlar, hassas verilerin büyük ölçekte keşfedilmesine yardımcı olur.


Politika oluşturma
Veri Sınıflandırma Politikanızı Oluşturma
Bir veri sınıflandırma politikası, veri sınıflandırmasından kimin sorumlu olduğunu tanımlar - tipik olarak, farkl ı programlar veya organizasyon birimleri için verileri sınıflandırmaktan sorumlu olan kişileri belirler.
Veri sınıflandırma politikası aşağıdaki soruları dikkate almalıdır:
Bilgileri hangi kişi, kuruluş veya program oluşturdu ve/veya sahibi?
Hangi kuruluş biriminin içeriği ve bağlamı hakkında ne kadar bilgiye sahip olduğu bilgisi
Verilerin bütünlüğünden ve doğruluğundan kim sorumludur?
Bilgiler nerede saklanıyor?
Bilgiler herhangi bir düzenlemeye veya uyum standardına tabi mi?
* Veri sınıflandırması, bilgi oluşturanların, konu uzmanlarının veya verilerin doğruluğundan sorumlu olanların sorumluluğunda olabilir.
Politika ayrıca veri sınıflandırma sürecini de belirler: veri sınıflandırmasının ne sıklıkla yapılması gerektiği, hangi veriler için, farklı veri türleri için hangi veri sınıflandırmasının uygun olduğu ve verileri sınıflandırmak için hangi teknik araçların kullanılması gerektiği. Veri sınıflandırma ilkesi, hassas verilerin nasıl korunacağını belirten genel bilgi güvenliği ilkesinin bir parçasıdır.