CISSP - Data classification (Phân loại dữ liệu )

 CISSP - Data classification (Phân loại dữ liệu )

Trong tổ chức, có rất nhiều dữ liệu nhưng không phải dữ liệu nào cũng giống nhau về tính quan trọng, độ nhạy cảm và mức độ bí mật. Áp dụng chung một mức độ bảo vệ đối với tất cả dữ liệu không phải là một chiến thuật tốt. Nếu áp dụng một mức độ bảo vệ thấp cho tất cả các loại dữ liệu, có nghĩa là các dữ liệu nhạy cảm có thể dễ dàng truy xuất. Ngược lại nếu áp dụng một mức độ bảo vệ cao cho tất cả các loại dữ liệu thì sẽ khó khăn trong vận hành và hao tổn chi phí.

Việc phân loại dữ liệu giúp tổ chức xác định mức độ bảo vệ một loại dữ liệu nào đó tùy thuộc vào tính quan trọng, độ nhạy cảm hay mức độ bí mật của dữ liệu. Nói cụ thể hơn, việc phân loại dữ liệu giúp xác định cần bao nhiêu tiền, bao nhiêu tài nguyên phải cung cấp để bảo vệ một loại dữ liệu nào đó. Phân loại dữ liệu làm căn cứ cho việc lưu trữ, xử lý, vận chuyển dữ liệu, hay ngay cả việc tiêu hủy dữ liệu.

Khi thực hiện công việc phân loại dữ liệu, tổ chức sẽ đạt được các lợi ích

– Khẳng định cam kết của tổ chức về việc bảo vệ tài sản thông tin có giá trị (Ít có tổ chức nào tiến hành phân loại dữ liệu chỉ để … phân loại)

– Hỗ trợ việc xác định được những tài sản thông tin có giá trị trong tổ chức (mà ngay cả hàng ngày tổ chức sử dụng cũng không biết là nó quan trọng)

– Tạo căn cứ để lựa chọn các giải pháp bảo vệ dữ liệu

– Thông thường còn hỗ trợ cho các yêu cầu về pháp lý (quản lý tài sản, kiểm toán, …)

– Hỗ trợ việc định nghĩa và xây dựng ra các cấp độ truy cập, kiểu phân quyền và các tính chất cho quá trình loại bỏ dữ liệu không cần thiết. Cụ thể hơn, sau khi phân loại xong, tổ chức có thể dựa vào đó để xây dựng ra (nghĩ ra, tưởng tượng ra) các cách đối xử với từng loại dữ liệu như các kiểu truy cập, người nào truy cập, …

Để phân loại dữ liệu, mỗi tổ chức có một cách, một bộ tiêu chí riêng. Tuy nhiên, cần cân nhắc các tham số sau

– Tính hữu dụng của dữ liệu

– Tính phù hợp – cập nhật (Timeliness)

– Giá trị (tính bằng tiền)

– Tuổi đời hay hạn của dữ liệu

– Thời gian sống (lifetime)

– Cá nhân (personnel) liên quan

– Mức độ thiệt hại khi bị rò rỉ / sửa đổi / mất mát

– Mức độ tác động đến an ninh quốc gia
(ghê quá)

– Ai có quyền truy cập vào dữ liệu

– Ai không có quyền truy cập vào dữ liệu

– Ai giám sát và bảo trì dữ liệu

– Vị trí, phương pháp lưu trữ

Theo đánh giá cá nhân, 2 tính chất được in đậm ở trên được sử dụng nhiều và có hiệu quả nhất. Đặc biệt đối với các tổ chức tài chính.

Để tiến hành phân loại dữ liệu, thông thường thực hiện qua 7 bước: 

• Bước 1: Xác định người chịu trách nhiệm bảo vệ dữ liệu, định nghĩa trách nhiệm của họ
• Bước 2: Xác định bộ tiêu chí để phân loại dữ liệu
• Bước 3: Phân loại và dán nhãn cho dữ liệu (bước này thì chủ sở hữu thực hiện, bộ phận giám sát kiểm tra)
• Bước 4: Ghi lại tất cả các trường hợp ngoại lệ (không biết phân loại vào loại nào), tích hợp thêm vào trong bộ tiêu chí phân loại
• Bước 5: Lựa chọn phương pháp bảo vệ đối với từng loại dữ liệu đã được phân loại
• Bước 6: Xác định quy trình để hủy phân loại dữ liệu và quy trình để chuyển quyền bảo vệ dữ liệu cho các đối tượng khác
• Bước 7: Xây dựng chường trình huấn luyện cho toàn bộ tổ chức về công tác phân loại

Việc hủy phân loại đối với dữ liệu thông thường bị bỏ qua khi thiết kế hệ thống phân loại và xây dựng các văn bản hướng dẫn quy trình thực hiện công việc phân loại. Khi một dữ liệu hay một tài sản thông tin không cần bảo vệ bởi các cơ chế bảo vệ tương ứng với phân loại của nó, cần phải có quy trình để hủy phân loại và thu hồi các cơ chế bảo vệ.

Thông thường có 2 mô hình phân loại dữ liệu phổ biến

– Quân đội / chính phủ

– Doanh nghiệp

Trong khối Quân đội/chính phủ, dữ liệu được xếp vào 5 loại như sau

– Top secret (Tuyệt mật)

– Secret (bảo mật)

– Confidential (Bí mật)

– Sensitive but unclassified (nhạy cảm nhưng không phân loại)

– Unclassified: không phân loại

Các mức độ trên đều được đánh giá bởi sự ảnh hưởng liên quan đến an ninh quốc gia khi bị xâm phạm, từ trầm trọng có thể đổ vỡ, nghiêm trọng, đáng chú ý, không đáng kể và không nguy hại.

Ở khối doanh nghiệp, dữ liệu được phân ra làm 4 loại

– Confidential (bí mật)

– Private (riêng tư)

– Sensitive

– Public

Thông thường thì 2 loại được dán nhãn Confidential và Private được bảo vệ bởi cùng 1 mức độ. 2 loại này chỉ khác nhau là loại dán nhãn Bí mật là tài sản của tổ chức (ví dụ hồ sơ dự án), còn dán nhãn Riêng tư là tài sản của cá nhân (ví dụ hồ sơ bệnh án).

Lưu ý phân biệt việc phân loại dữ liệu (hoặc tài sản) với việc đi dán nhãn vô mấy cái tài sản công mà chúng ta thấy hàng năm.

Source: phongbt.wordpress.com