veri sinif - 1-min.jpg
f7.png
t2.png

Supernova ZeroRisk

Veri Sınıflandırma ve Veri Maskeleme

Supernova'nın aşağıdaki konularda nasıl yardımcı olduğunu öğrenin:

Veri sınıflandırması

Veri Sınıflandırması Nedir?

Veri sınıflandırması, verileri türüne, duyarlılığına ve değiştirilmiş, çalınmış veya yok edilmişse kuruluş için değerine göre etiketler.

Bir kuruluşun verilerinin değerini anlamasına, verilerin risk altında olup olmadığını belirlemesine ve riskleri azaltmak için kontroller uygulamasına yardımcı olur. Veri sınıflandırması aynı zamanda bir kuruluşun SOX, HIPAA, PCI DSS , KVKK ,ISO 27001 ve GDPR gibi ilgili sektöre özel yasal zorunluluklara uymasına da yardımcı olur.

Duyarlılık düzeyleri

Veri Duyarlılık Düzeyleri

Veriler duyarlılık düzeyine göre sınıflandırılır - yüksek, orta veya düşük.

Yüksek hassasiyetli veriler

Yetkisiz bir işlemde tehlikeye atılırsa veya yok edilirse, kuruluş veya bireyler üzerinde feci bir etkisi olabilir. Örneğin, finansal kayıtlar, fikri mülkiyet, kimlik doğrulama verileri.

Orta hassasiyetli veriler

Yalnızca dahili kullanım amaçlıdır, ancak tehlikeye atılırsa veya yok edilirse, kuruluş veya bireyler üzerinde feci bir etkisi olmaz. Örneğin, gizli veri içermeyen e-postalar ve belgeler.

Düşük hassasiyetli veriler

Kamu kullanımına yöneliktir. Örneğin, genel web sitesi içeriği.

En İyi Veri Duyarlılığı Uygulamaları

Yüksek, orta ve düşük etiketler biraz genel olduğundan, en iyi uygulama, her bir duyarlılık düzeyi için kuruluşunuz için anlamlı olan etiketleri kullanmaktır. Aşağıda yaygın olarak kullanılan iki model gösterilmiştir.

Bir veritabanı, dosya veya başka bir veri kaynağı iki farklı düzeyde sınıflandırılabilen veriler içeriyorsa, tüm verileri daha yüksek düzeyde sınıflandırmak en iyisidir.

 
 
veri sinif - 2-min.jpg
t1.png

Sınıflandırma türleri

Veri Sınıflandırma Türleri

Veri sınıflandırması içerik, bağlam veya kullanıcı seçimlerine göre gerçekleştirilebilir:

İçeriğe dayalı sınıflandırma

01

Dosyaları ve belgeleri gözden geçirmeyi ve sınıflandırmayı içerir.

Bağlama dayalı sınıflandırma

02

Dosyaları oluşturan uygulama (örneğin muhasebe yazılımı), belgeyi oluşturan kişi (örneğin finans personeli) veya dosyaların yazıldığı veya yazıldığı konum gibi meta verilere dayalı olarak dosyaları sınıflandırmayı içerir. değiştirilmiş (örneğin, finans veya hukuk departmanı binaları).

Kullanıcı tabanlı sınıflandırma

03

Bilgili bir kullanıcının manuel değerlendirmesine göre dosyaları sınıflandırmayı içerir. Belgelerle çalışan kişiler, ne kadar hassas olduklarını belirtebilirler; bunu belgeyi oluştururken, önemli bir düzenleme veya incelemeden sonra veya belge yayınlanmadan önce yapabilirler.

Veri Durumları ve Veri Formatı

Veri sınıflandırmalarının iki ek boyutu şunlardır:

Veri Durumları

 

Veriler, beklemede, işlemde veya aktarım sırasında üç durumdan birinde bulunur. Devletten bağımsız olarak, gizli olarak sınıflandırılan veriler gizli kalmalıdır.

Veri Formatı

 

Veriler yapılandırılmış veya yapılandırılmamış olabilir. Yapılandırılmış veriler genellikle insan tarafından okunabilir ve dizine eklenebilir. Yapılandırılmış veri örnekleri, veritabanı nesneleri ve elektronik tablolardır. Yapılandırılmamış veriler genellikle insanlar tarafından okunamaz veya dizine eklenemez. Yapılandırılmamış verilere örnek olarak kaynak kodu, belgeler ve ikili dosyalar verilebilir. Yapılandırılmış verileri sınıflandırmak, yapılandırılmamış verileri sınıflandırmaktan daha az karmaşık ve zaman alıcıdır.

Veri Keşfi

Verileri sınıflandırmak, verilerin konumunu, hacmini ve bağlamını bilmeyi gerektirir. Çoğu modern işletme, birden çok havuza yayılmış olabilecek büyük hacimli verileri depolar:

Şirket içinde veya bulutta dağıtılan veritabanları

Büyük veri platformları

Microsoft SharePoint gibi işbirliği sistemleri

Dropbox ve Google Dokümanlar gibi bulut depolama hizmetleri

Elektronik tablolar, PDF'ler veya e-postalar gibi dosyalar

* Veri sınıflandırmasını gerçekleştirmeden önce doğru ve kapsamlı veri keşfi gerçekleştirmelisiniz. Otomatik araçlar, hassas verilerin büyük ölçekte keşfedilmesine yardımcı olabilir.

Veri Sınıflandırması ve Uygunluk İlişkisi

Veri sınıflandırması, farklı veri özelliklerinin sınıflandırılmasını gerektirebilecek ilgili düzenleyici ve sektöre özel yönergelere uygun olmalıdır. Örneğin, Cloud Security Alliance (CSA), veri ve veri nesnelerinin veri türünü, menşe ve yerleşim yerini, bağlamı, yasal kısıtlamaları, hassasiyeti vb. içermesi gerektiğini gerektirir. PCI DSS, kaynak veya yerleşim yeri etiketleri gerektirmez.

 
kvkk-min.jpg

Bir Sonraki Hizmet

KVKK Teknik Tedbirler ve Uyum Süreci

Kodlama
t1.png

Politika oluşturma

Veri Sınıflandırma Politikanızı Oluşturma

Bir veri sınıflandırma politikası, veri sınıflandırmasından kimin sorumlu olduğunu tanımlar - tipik olarak, farklı programlar veya organizasyon birimleri için verileri sınıflandırmaktan sorumlu olan Program Alanı Görevlilerini (PAD) tanımlayarak.

Veri sınıflandırma politikası aşağıdaki soruları dikkate almalıdır:

Bilgileri hangi kişi, kuruluş veya program oluşturdu ve/veya sahibi?

Hangi kuruluş biriminin içeriği ve bağlamı hakkında en fazla bilgiye sahip olduğu bilgi

Verilerin bütünlüğünden ve doğruluğundan kim sorumludur?

Bilgiler nerede saklanıyor?

Bilgiler herhangi bir düzenlemeye veya uyum standardına tabi mi ve uygunsuzlukla ilgili cezalar nelerdir?

* Veri sınıflandırması, bilgi oluşturanların, konu uzmanlarının veya verilerin doğruluğundan sorumlu olanların sorumluluğunda olabilir.

Politika ayrıca veri sınıflandırma sürecini de belirler: veri sınıflandırmasının ne sıklıkla yapılması gerektiği, hangi veriler için, farklı veri türleri için hangi veri sınıflandırmasının uygun olduğu ve verileri sınıflandırmak için hangi teknik araçların kullanılması gerektiği. Veri sınıflandırma ilkesi, hassas verilerin nasıl korunacağını belirten genel bilgi güvenliği ilkesinin bir parçasıdır.

 
Security-Operation-Center-SecureOps-min.jpg

Bir Sonraki Hizmet

7/24 Siber Güvenlik Operasyon Merkezi