Veri sınıflandırması
Veri Sınıflandırması Nedir?
Veri sınıflandırması, verileri türüne, duyarlılığına göre, gizli, hizmete özel, gelen kullanım gibi etiketler veren sistemdir.
Bir kuruluÅŸun verilerinin deÄŸerini anlamasına, verilerin risk altında olup olmadığını belirlemesine ve riskleri azaltmak için kontroller uygulamasına yardımcı olur. Veri sınıflandırması aynı zamanda bir kuruluÅŸun PCI DSS , KVKK ,ISO 27001, CB DDO gibi ilgili sektöre özel yasal zorunluluklara uymasına da yardımcı olur.
Duyarlılık düzeyleri
Veri Duyarlılık Düzeyleri
Veriler duyarlılık düzeyine göre sınıflandırılır. ÖrneÄŸin: yüksek, orta veya düÅŸük.
Yüksek hassasiyetli veriler
Yetkisiz bir iÅŸlemde veri sızması veya yok edilirse, kuruluÅŸ veya bireyler üzerinde olumsuz etkisi olabilir. ÖrneÄŸin, finansal kayıtlar, fikri mülkiyet hakları, kimlik doÄŸrulama verileri.
Orta hassasiyetli veriler
Yalnızca dahili kullanım amaçlıdır, ancak tehlikeye atılırsa veya yok edilirse, kuruluÅŸ veya bireyler üzerinde feci bir etkisi olmaz. ÖrneÄŸin, gizli veri içermeyen e-postalar ve belgeler.
DüÅŸük hassasiyetli veriler
GizliliÄŸi olmayan ortak kullanıma yöneliktir. ÖrneÄŸin, genel web sitesi içeriÄŸi.
Sınıflandırma türleri
Veri Sınıflandırma Türleri
Veri sınıflandırması içerik, baÄŸlam veya kullanıcı seçimlerine göre gerçekleÅŸtirilebilir:
Ä°çeriÄŸe dayalı sınıflandırma
01
Dosyaları ve belgeleri gözden geçirmeyi ve sınıflandırmayı içerir.
Bağlama dayalı sınıflandırma
02
Dosyaları oluÅŸturan uygulama (örneÄŸin muhasebe yazılımı), belgeyi oluÅŸturan kiÅŸi (örneÄŸin finans personeli) veya dosyaların yazıldığı veya yazıldığı konum gibi metadata öznitelik verilerine dayalı olarak dosyaları sınıflandırmayı içerir. örneÄŸin, finans veya hukuk departmanı binaları.
Kullanıcı tabanlı sınıflandırma
03
Bilgili bir kullanıcının manuel deÄŸerlendirmesine göre dosyaları sınıflandırmayı içerir. Belgelerle çalışan kiÅŸiler, ne kadar hassas olduklarını belirtebilirler; bunu belgeyi oluÅŸtururken, önemli bir düzenleme veya incelemeden sonra veya belge yayınlanmadan önce yapabilirler.
Veri KeÅŸfi
Verileri sınıflandırmak için verilerin konumlarını, hacmini ve baÄŸlamını bilmeyi gerektirir. ÇoÄŸu modern iÅŸletme, birden lokasyona yayılmış olabilecek büyük hacimli verileri depolar:
Åžirket içinde veya bulutta dağıtılan veritabanları
Büyük veri platformlarındaki datalar Microsoft SharePoint, Dropbox ve Google Dokümanlar gibi bulut depolama hizmetleri
Ofis dosyaları, PDF'ler veya e-postalar gibi dosyalar
* Veri sınıflandırmasını gerçekleÅŸtirmeden önce doÄŸru ve kapsamlı veri keÅŸfi gerçekleÅŸtirmelisiniz. Otomatik araçlar, hassas verilerin büyük ölçekte keÅŸfedilmesine yardımcı olur.
Politika oluÅŸturma
Veri Sınıflandırma Politikanızı Oluşturma
Bir veri sınıflandırma politikası, veri sınıflandırmasından kimin sorumlu olduÄŸunu tanımlar - tipik olarak, farklı programlar veya organizasyon birimleri için verileri sınıflandırmaktan sorumlu olan kiÅŸileri belirler.
Veri sınıflandırma politikası aşağıdaki soruları dikkate almalıdır:
Bilgileri hangi kiÅŸi, kuruluÅŸ veya program oluÅŸturdu ve/veya sahibi?
Hangi kuruluÅŸ biriminin içeriÄŸi ve baÄŸlamı hakkında ne kadar bilgiye sahip olduÄŸu bilgisi
Verilerin bütünlüÄŸünden ve doÄŸruluÄŸundan kim sorumludur?
Bilgiler nerede saklanıyor?
Bilgiler herhangi bir düzenlemeye veya uyum standardına tabi mi?
* Veri sınıflandırması, bilgi oluşturanların, konu uzmanlarının veya verilerin doğruluğundan sorumlu olanların sorumluluğunda olabilir.
Politika ayrıca veri sınıflandırma sürecini de belirler: veri sınıflandırmasının ne sıklıkla yapılması gerektiÄŸi, hangi veriler için, farklı veri türleri için hangi veri sınıflandırmasının uygun olduÄŸu ve verileri sınıflandırmak için hangi teknik araçların kullanılması gerektiÄŸi. Veri sınıflandırma ilkesi, hassas verilerin nasıl korunacağını belirten genel bilgi güvenliÄŸi ilkesinin bir parçasıdır.
