Information Classification Process.

Proces klasyfikacja informacji o którym będę dziś pisał jest jednym z kluczowych. Po co klasyfikować ? Odpowiedź jest prosta, bo nie wszystko jest “równie ważne”. Są takie dane które są bardziej wartościowe dla firmy a są takie które są mniej co wcale nie oznacza że nie mają żadnej wartości. Myślę że to jest logiczne więc o tym czy i po co rozpisywać się nie będę. Dla zachęty dodam może coś o tych profitach z klasyfikowania danych.

• Pokazuje oddanie firmy zagadnieniom bezpieczeństwa danych.
• Pozwala wskazać które dane są najbardziej wartościowe dla firmy. Które są najwrażliwsze, które najbardziej cenne w dla zachowania poufności i integralności danych o których wspominałem w którymś z wcześniejszych tekstów.
• Pomaga ustalić do jakich danych zastosować jaką politykę bezpieczeństwa.
• No i klasyfikacja może się przydać w kwestiach legalnych/prawnych.

Classification Terms czyli pojęcia związane z klasyfikacją.

• Unclassified (niesklasyfikowane) – dane o nieokreślonej wartości, których upublicznienie nie naruszy przyjętych zasad poufności.
• Sensitive but Unclassified (wrażliwe lecz nie sklasyfikowane, w skrócie SBU) – dane które mogą być uznane za poufne ale ich upublicznienie nie sprawiłoby większych szkód.
• Confidential (poufne) – informacje które są z założenia poufne. Nieautoryzowany dostęp do nich mógłby spowodować zagrożenie dla bezpieczeństwa kraju (np). Ten poziom znajduje się między dokumentami oznaczonymi SBU a tymi z etykietką “Secret”.
• Secret (tajne) – Tajne informacje. Nieautoryzowany dostęp mógłby spowodować poważne zagrożenie dla bezpieczeństwa kraju.
• Top Secret (ściśle tajne) – najwyższy poziom klasyfikacji dla informacji ( w stanach tylko prezydent ma prawa do tego poziomu ).

no ale to by było odnośnie bardziej takich hmmm formal spraw… a co z sektorem prywatnym ? Tutaj klasyfikacja wygląda odrobinkę inaczej :

• Public - tak jak poziom “unclassified” w poprzednim listingu poziomów.
• Sensitive – te dane są “troszku” bardziej ważne i zabezpieczone przed nieautoryzowanym dostępem.
• Private – dane które mogą mieć skutek dla firm i jej pracowników, dane poufne. Np lista płac, badań pracowników to dane klasy “private”.
• Confidential – wyłącznie do wewnętrznego użytku firmy. Nieautoryzowany wgląd na nie mógłby bardzo zagrozić firmie i negatywnie wpłynąć na jej wizerunek.

Ok to teraz jak już wiemy jak się dzielą musimy się dowiedzieć jak przydzielić jakieś informacje konkretnym grupkom…

Kryteria klasyfikacji :

• Value (wartość) – najważniejszy z kryteriów dla klasyfikacji dancyh w sektorze prywatnym. Jeśli informacja jest wartościowa musi zostać sklasyfikowana.
• Age (wiek) – klasyfikacja informacjimoże być obniżona jeśli wartość jej maleje z czasem. W departamencie obrony ( Department of Defense) pewne sklasyfikowane dane po określonym czasie zostają zdeklasyfikowane.
• Useful Life (czas użyteczności) – jeśli informacja stała się przeterminowana z powodu nowych informacji, zmian w firmie lub innych powodów może zostać zdeklasyfikowana.
• Personal Association (powiązania personalne) – jeśli informacja jest powiązana z pewnymi indywidualnymi osobami bądź jest chroniona prawami właności może wymagać klasyfikacji.

No to już coś nieco wiemy, nadeszła więc pora na działania. Wiadomym jest że przy tak ważnym i kluczowym zadaniu jak klasyfikacja informacji nie możemy sobie pozwolić na “odwalenie roboty”. Aby więc wszystko poszło sprawnie i dokładnie musimy wykonać kilka konkretnych kroków :

1. Identyfikacja Administratora/Opiekuna informacji.
2. Ustalenie kryteriów klasyfikacji i etykietowania informacji.
3. Klasyfikacja danych przez właściciela,
4. Ustalenie i udokumentowanie wszystkich wyjątków od polityki klasyfikowania danych. (hmmm z tego co zrozumialem to ta polityka ktora powstaje w punkcie drugim).
5. Ustalenie kontrolek które będą zastosowane do każdego poziomu klasyfikacji.
6. Ustalenie procedur przedawnienia dla deklasyfikacji informacji bądź przekazania opieki nad informacją innej jednostce.
7. Stworzenie programu “wiarygodności” dla przedsiębiorstwa odnośnie kontroli klasyfikacji.

no i ok, 03:04 na zegarku… chwilowo kończę, jutro opiszę jeszcze informacje o dystrybucji danych i podziału na Właściciela, Opiekuna i Użytkownika (w odniesieniu do danych rzecz jasna :] )…