داده پایش کارن (نرم افزارهای امنیت شبکه و اطلاعات)
داده پایش کارن (نرم افزارهای امنیت شبکه و اطلاعات)
خواندن ۶ دقیقه·۲ سال پیش

نکات عملی برای اجرای طرح طبقه بندی اطلاعات

طبقه بندی اطلاعات
طبقه بندی اطلاعات

طبقه بندی اطلاعات یک نیاز اساسی برای امنیت اطلاعات است، اما چه چیزی این عدم موفقیت را توضیح میدهد؟؟

اول، برخی از متخصصان امنیتی بر طرحی اصرار دارند که از نظر تئوری کامل است، اما اجرای آن در همه سازمانها بجز منظم ترین سازمانها دشوار است.

مثال: اگر بیشتر کاربران از اقدامات اساسی امنیتی بی اطلاع باشند، اجرای موفقیت آمیز یک طرح طبقه بندی اطلاعات چالش برانگیز خواهد بود. برنامه طبقه بندی اطلاعات درصورتی موثر خواهد بود که کارمندان بخواهند اطلاعات را بدرستی طبقه بندی کرده و آنرا حفظ کنند. اگر طرح بیش از حد پیچیده یا محدود کننده باشد، بدلیل عدم استفاده از آن شکست میخورد.

یک سازمان با استفاده از یک طرح طبقه بندی اطلاعات ساده که بصورت عملی- حتی از نظر تئوریک ناقص باشد- بهتر از یک طرح کامل که فقط به نام وجود دارد، عمل خواهد کرد.

دوم، توسعه و اجرای طبقه بندی اطلاعات میتواند کاملاً گران باشد.

هزینه ها دو برابر هزینه توسعه طرح طبقه بندی اطلاعات با کنترلهای مناسب بر اساس هر کلاس داده و سپس آموزش کارکنان برای شناسایی و طبقه بندی اطلاعات است. برای سازمانهای مراقبتهای بهداشتی و خدمات مالی که طبق قانون، طبقه بندی اطلاعات لازم است، هزینه از نظر انطباق با مقررات منطقی است. اما برای سازمانهای غیرتنظیمی، درصورتیكه مستقیماً منجر به درآمدزایی نشوند، توجیه آن برای مدیریت دشوار است.

در بسیاری از شرکتها، برنامه امنیتی از نفوذ سیاسی لازم برای جلب مقبولیت برای چنین ابتکار جاه طلبانه ای برخوردار نیست. این نوع تلاش با الزام به تغییر در روش انجام کار، بر کل سازمان تأثیر میگذارد.

با توجه به اینکه این چالشها اکنون روی میز است، بیایید برخی از رویکردهای عملی برای اجرای طرح طبقه بندی اطلاعات را بررسی کنیم:

1. تأثیرگذارهای اصلی را زود بیاورید.

صرف نظر از رویکرد انتخاب شده، مهم است که ذینفعان اصلی، بخشی از استراتژی و طراحی طبقه بندی اطلاعات باشند. افرادی که احساس میکنند بخشی از استراتژی هستند، به احتمال زیاد در حین اجرا از آن حمایت میکنند.

2. انواع اطلاعات را دسته بندی کنید.

تعیین اینکه چه نوع داده های حساسی در سازمان شما وجود دارد، میتواند چالشهایی بوجود آورد. تلاشی است که باید حول فرآیندهای کسب و کار سازماندهی شود و صاحبان فرآیند آن را هدایت کنند. ردیابی جریان داده، بینشی را در مورد اینکه چه داده هایی و چگونه باید محافظت شوند، فراهم میکند.

سوالات زیر را در نظر بگیرید:

  • سازمان شما چه داده های مشتری و شریک را جمع آوری میکند؟
  • چه اطلاعاتی در مورد آنها ایجاد میکنید؟
  • چه داده های اختصاصی ایجاد میکنید؟
  • با چه داده های معامله ای سروکار دارید؟
  • از بین تمام داده های جمع آوری شده و ایجاد شده، چه مواردی محرمانه است؟

3. مکان اطلاعات خود را کشف کنید.

پس از ایجاد انواع اطلاعات در سازمان، مهم است که همه مکانهایی را که اطلاعات بصورت الکترونیکی ذخیره میشوند فهرست کنید. جریان اطلاعات به داخل و خارج از سازمان یک نکته اساسی است.

  • چگونه سازمان شما اطلاعات داخلی و خارجی را ذخیره و به اشتراک میگذارد؟
  • آیا از سرویسهای مبتنی بر cloud مانند Dropbox، Box، OneDrive و غیره استفاده میکنید؟ دستگاههای موبایل چطور؟

ابزارهای کشف داده میتوانند به تولید موجودی از اطلاعات غیرساختاری کمک کرده و به شما کمک کنند بدون در نظر گرفتن قالب و مکان، دقیقاً محل ذخیره اطلاعات شرکت خود را درک کنید. این ابزارها همچنین با ارائه بینش درباره کاربرانی که اطلاعات را مدیریت میکنند، به رفع مشکلات شناسایی مالکان داده کمک میکنند.

در تلاشهای خود برای کشف، میتوانید کلمات کلیدی یا انواع خاص یا قالبهای داده مانند شماره پرونده پزشکی، شماره های تأمین اجتماعی یا شماره کارت اعتباری را در آن بگنجانید.

4. داده ها را شناسایی و طبقه بندی کنید.

فقط پس از دانستن اینکه اطلاعات شما در کجا ذخیره شده اند، میتوانید آنها را شناسایی کرده و سپس طبقه بندی کنید تا بطور مناسب محافظت شود. سیستمهای طبقه بندی قوی قابلیتهای؛ کاربر محور، پیشنهادی سیستم و خودکار را ارائه میدهند:

  • تهیه منویی از گزینه های طبقه بندی داده های متناسب.
  • شناسایی محتوا در یک مورد داده و به دنبال آن ارائه گزینه های طبقه بندی برای انتخاب توسط کاربر.
  • اتوماسیون که از طریق آن سیستم طبقه بندی مناسب را بر اساس موتورهای تجزیه و تحلیل با ورودی کاربر محدود (در صورت وجود) انتخاب میکند.

5. کنترلها را فعال کنید.

برای اطمینان از وجود راه حلهای مناسب، اقدامات اساسی امنیت سایبری را تعیین کرده و کنترلهای مبتنی بر سیاست را برای هر برچسب طبقه بندی اطلاعات تعریف کنید. داده های با ریسک بالا به سطح محافظت پیشرفته تری نیاز دارند در حالیکه داده های کم خطر به محافظت کمتری نیاز دارند.

با درک محل استقرار اطلاعات و ارزش سازمانی آنها، میتوانید کنترلهای امنیتی مناسب را بر اساس خطرات مرتبط پیاده سازی کنید. فراداده طبقه بندی را میتوان با جلوگیری از سرقت اطلاعات (DLP)، رمزگذاری و سایر راه حلهای امنیتی برای تعیین حساسیت اطلاعات و نحوه محافظت از آنها، استفاده کرد.

6. نظارت و نگهداری کنید.

برای نظارت و حفظ سیستم طبقه بندی اطلاعات سازمان، در صورت لزوم، بروزرسانی ها را انجام دهید. سیاستهای طبقه بندی باید پویا باشد. شما باید فرآیندی برای بررسی و بروزرسانی ایجاد کنید که شامل کاربران شود و اطمینان حاصل کنند که رویکرد شما پاسخگوی نیازهای متغیر تجارت است.

7. شبکه ها را بجای داده ها طبقه بندی کنید.

برای سازمانهایی که بنظر میرسد طبقه بندی داده ها یک هدف غیرقابل دسترسی است، سعی کنید شبکه ها را بجای داده ها طبقه بندی کنید. اگر یک شبکه حاوی داده های حساس باشد، آنرا بعنوان یک شبکه محرمانه یا حساس طبقه بندی میکند. سپس طبقه بندی شبکه نوع کنترلهای امنیتی را که شبکه باید داشته باشد الزام میکند.

برای مثال، شبکه ای که دسترسی به اطلاعات محرمانه را فراهم میکند ممکن است فایروال هایی را که از محیط محافظت میکنند و اتصال از طریق شبکه های دیگر و همچنین نظارت و ورود به سیستم گسترده تر را محدود میکند، محافظت کند.

طبقه بندی شبکه یک تمرین بی اهمیت نیست، اما اغلب آسانتر از اجرای یک طرح جامع طبقه بندی داده برای اطلاعاتی است که بصورت دیجیتالی در سازمانهای بزرگ ذخیره میشود.

همانطور که دیدیم، طبقه بندی داده ها یک نیاز اساسی برای امنیت اطلاعات و پیشگیری از نشت اطلاعات است و عواقب عدم اجرای کامل طرح طبقه بندی داده ها میتواند شدید باشد. با این وجود، بسیاری از سازمانها طبقه بندی اطلاعات را اجرا نمیکنند. بنابراین، مدیر ارشد امنیت اطلاعات باید بر اساس انتظارات واقع بینانه، در پیشنهاد و توسعه این طرح خردمندانه عمل کند.

در پایان، دستورالعملهای عملی ذکر شده در این مقاله سودآور خواهد بود، حتی اگر طرح ایده آل طبقه بندی اطلاعات بلافاصله قابل دستیابی نباشد.

همه داده ها برابر نیستند

از زمان ایجاد اطلاعات تا نابودی آنها، طبقه بندی اطلاعات میتواند به سازمان شما کمک کند تا از محافظت، ذخیره و مدیریت موثر آنها اطمینان حاصل کند. قرار دادن طبقه بندی اطلاعات در قلب استراتژی محافظت از داده ها به شما امکان میدهد خطرات مربوط به اطلاعات حساس را کاهش دهید، تصمیم گیری را افزایش داده و اثربخشی DLP، رمزگذاری و سایر کنترلهای امنیتی را افزایش دهید.

با ایجاد یک طرح طبقه بندی ساده، ارزیابی و مکان یابی جامع اطلاعات و پیاده سازی راه حلهای مناسب، سازمان شما میتواند اطمینان حاصل کند که اطلاعات حساس بطور مناسب اداره میشوند و تهدیدات مربوط به تجارت شما را کاهش میدهد.

سیمانتکClassificationsymantec
شرکت داده پایش کارن ارائه دهنده راهکارها و محصولات امنیت شبکه و اطلاعات (نرم افزارهای امنیت شرکت سیمانتک، وریتاس، سوفوس و ..)
شاید از این پست‌ها خوشتان بیاید