Richtlinie zur Datenklassifizierung

Vorgaben für die Datenklassifizierung

Zweck

Der Zweck der Erstellung dieser Richtlinien ist es, einen Rahmen für die Klassifizierung von Daten auf der Grundlage der Empfindlichkeitsstufe zu schaffen,er Zweck der Erstellung dieser Richtlinien ist es, einen Rahmen für die Klassifizierung von Daten auf der Grundlage der Empfindlichkeitsstufe zu schaffen, ihren Wert und ihre Kritikalität für Appy Pie, wie in der Informationssicherheitspolitik von Appy Pie gefordert. Dieser Prozess der Datenklassifizierung hilft bei der weiteren Bestimmung der grundlegenden Sicherheitskontrollen für die Datensicherheit oder den Datenschutz.

Gilt für

Die Richtlinie gilt für die Mitarbeiter und wird auf die Beauftragten von Appy Pie sowie auf alle anderen Partner von Appy Pie ausgedehnt, die Zugang zu den Daten von Appy Pie haben. Die Richtlinie gilt insbesondere für die Ressourcen, die für die Klassifizierung und den Schutz der Daten von Appy Pie verantwortlich sind, wie dies in den Rollen und Verantwortlichkeiten für die Informationssicherheit festgelegt ist.

Begriffserklärung

Vertrauliche Daten ist ein allgemeiner Ausdruck, der alle Daten bezeichnet, die gemäß dem in dieser Richtlinie dargelegten Datenklassifizierungsschema als eingeschränkt eingestuft sind. Es wird oft auch als sensible Daten bezeichnet.

Ein Data Steward ist ein designierter leitender Mitarbeiter bei Appy Pie, der den Lebenszyklus eines oder mehrerer Sätze von Appy Pie Daten überwacht.

Appy Pie Data umfasst alle Daten, die Appy Pie gehören oder für die Appy Pie eine Lizenz besitzt.

Nicht-öffentliche Informationen sind alle Informationen, die gemäß dem in der Richtlinie dargelegten Datenklassifizierungsschema als private oder eingeschränkte Informationen eingestuft sind.

Sensible Daten ist ein allgemeiner Begriff, der alle Daten bezeichnet, die gemäß dem in dieser Richtlinie dargelegten Datenklassifizierungsschema als eingeschränkt eingestuft sind. Es wird auch sehr oft als vertrauliche Daten bezeichnet.

Daten Klassifizierung

Datenklassifizierung ist im Kontext der Informations- bzw. Datensicherheit die Einstufung von Daten auf Basis ihrer Sensibilitätsstufe und die Auswirkungen, die sie auf Appy Pie haben können, wenn sie ohne Sanktion oder Genehmigung weitergegeben, verändert oder zerstört werden würden. Dieser Datenklassifizierungsprozess hilft dabei, die geeigneten Basiskontrollen für den Datenschutz zu identifizieren. Alle Appy Pie Daten müssen in eine von drei Empfindlichkeitsstufen oder Klassifizierungen eingeordnet werden:

A- Eingeschränkte Daten
Nur die Daten sollten als eingeschränkt eingestuft werden, die, wenn sie ohne Genehmigung offengelegt, verändert oder zerstört werden, ein erhebliches Risiko für Appy Pie, seine Kunden oder seine verbundenen Unternehmen darstellen können. Zum Beispiel – Daten, die durch staatliche oder bundesstaatliche Datenschutzbestimmungen geschützt sind oder Daten, die durch Vertraulichkeitsvereinbarungen geschützt sind. Eingeschränkte Daten müssen durch die höchste Stufe von Sicherheitskontrollen geschützt werden.
B- Private Daten
Nur die Daten sollten als privat eingestuft werden, die, wenn sie unbefugt offengelegt, verändert oder zerstört werden, ein moderates Risiko für Appy Pie, seine Kunden oder seine Partner darstellen können. Alle Appy Pie Daten, die nicht ausdrücklich als Eingeschränkte oder Öffentliche Daten klassifiziert sind, sollten standardmäßig als Private Daten betrachtet werden. Private Daten müssen durch ein angemessenes Maß an Sicherheitskontrollen geschützt werden.
C- Allgemeine Daten
Nur die Daten sollten als öffentlich eingestuft werden, die, wenn sie ohne Genehmigung offengelegt, verändert oder zerstört werden, ein geringes oder gar kein Risiko für Appy Pie, seine Kunden und seine verbundenen Unternehmen darstellen. Zum Beispiel – Pressemitteilungen, Bildungsressourcen und Fallstudien. Obwohl zum Schutz der Vertraulichkeit öffentlicher Daten nur wenige oder gar keine Kontrollen erforderlich sind, muss dennoch ein gewisses Maß an Kontrolle angewendet werden, um eine unbefugte Änderung oder Zerstörung öffentlicher Daten zu verhindern.

Die Datenklassifizierung muss von einem geeigneten Data Steward durchgeführt werden. Data Stewards sind leitende Mitarbeiter bei Appy Pie, die für die Überwachung der kompletten Lebenszyklen eines oder mehrerer Sätze von Appy Pie Daten verantwortlich sind.

Klassifizierung berechnen

Der Zweck der Informationssicherheit, wie in unserer Informationssicherheitsrichtlinie erwähnt, ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Appy Pie Daten zu schützen. Die Klassifizierung der Daten zeigt den Grad der Auswirkung auf Appy Pie an, wenn es zu einer Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit kommt.

Bedauerlicherweise gibt es kein perfektes quantitatives System zur Berechnung der Klassifizierung eines bestimmten Datenelements. In manchen Situationen kann die richtige Klassifizierung offensichtlicher sein, z. B. wenn Bundesgesetze Appy Pie dazu verpflichten, bestimmte Datentypen zu schützen (z. B. personenbezogene Daten). In Fällen, in denen die geeignete Klassifizierung nicht von vornherein ersichtlich ist, betrachten Sie jedes Sicherheitsziel wie in der folgenden Tabelle beschrieben. Die folgende Tabelle stammt aus der Veröffentlichung 199 der Federal Information Processing Standards (FIPS), die vom National Institute of Standards and Technology herausgegeben wurde und sich mit der Klassifizierung von Informationen und Informationssystemen beschäftigt.

POTENZIELLE AUSWIRKUNG
Objektive Sicherheit NIEDRIG MÄSSIG HOCH
Vertraulichkeit
Aufrechterhaltung autorisierter Beschränkungen des Informationszugriffs und der Offenlegung, einschließlich Mitteln zum Schutz der persönlichen Privatsphäre und geschützter Informationen
Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen eine begrenzte nachteilige Auswirkung auf den organisatorischen Betrieb, das Organisationsvermögen oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen schwerwiegende nachteilige Auswirkungen auf den organisatorischen Betrieb, das Organisationsvermögen oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Offenlegung von Informationen schwerwiegende oder katastrophale nachteilige Auswirkungen auf den organisatorischen Betrieb, das Organisationsvermögen oder Einzelpersonen haben könnte.
Integrität
Schutz vor unsachgemäßer Änderung oder Zerstörung von Informationen und beinhaltet die Sicherstellung der Nichtabstreitbarkeit und Authentizität von Informationen.
Es ist zu erwarten, dass die unbefugte Änderung oder Zerstörung von Informationen eine begrenzte nachteilige Auswirkung auf den organisatorischen Betrieb, das Organisationsvermögen oder Einzelpersonen hat. Es ist zu erwarten, dass die unbefugte Änderung oder Zerstörung von Informationen schwerwiegende nachteilige Auswirkungen auf den organisatorischen Betrieb, die Vermögenswerte der Organisation oder Einzelpersonen haben könnte. Es ist zu erwarten, dass die unbefugte Änderung oder Zerstörung von Informationen schwere oder katastrophale nachteilige Auswirkungen auf den Geschäftsbetrieb, die Vermögenswerte der Organisation oder auf Einzelpersonen haben kann.
Verfügbarkeit
Sicherstellung des rechtzeitigen und zuverlässigen Zugangs zu und der Nutzung von Informationen
Es ist zu erwarten, dass die Unterbrechung des Zugriffs auf oder der Nutzung von Informationen oder eines Informationssystems eine begrenzte oder vielfältige Auswirkung auf organisatorische Abläufe, Organisationsvermögen oder Einzelpersonen hat. Es ist zu erwarten, dass die Unterbrechung des Zugriffs auf oder der Nutzung von Informationen oder eines Informationssystems schwerwiegende nachteilige Auswirkungen auf den organisatorischen Betrieb, die Vermögenswerte der Organisation oder Einzelpersonen haben könnte. Es ist zu erwarten, dass die Unterbrechung des Zugriffs auf oder der Nutzung von Informationen oder eines Informationssystems schwerwiegende oder katastrophale nachteilige Auswirkungen auf den Geschäftsbetrieb der Organisation, auf Vermögenswerte der Organisation oder auf Einzelpersonen haben könnte.

Wenn die potenzielle Auswirkung auf Appy Pie von “Niedrig” zu “Hoch” geht, muss die Datenklassifizierung schrittweise restriktiver werden und von “Öffentlich” zu “Eingeschränkt” gehen. Falls eine geeignete Klassifizierung nach Abwägung der oben genannten Punkte immer noch vage ist, wenden Sie sich an den Informationssicherheitsbeauftragten.

INFORMATIONSART DATENKLASSIFIZIERUNG VERTRAULICHKEITSWIRKUNG INTEGRITÄTSWIRKUNG AUSWIRKUNG AUF DIE VERFÜGBARKEIT
Persönliche Daten (Kunde) Vertraulich Hoch Hoch Hoch
Persönliche Daten (Mitarbeiter) Vertraulich Niedrig Mitte Mitte
Finanzdaten (Kunden) Vertraulich Hoch Hoch Hoch
Finanzdaten (Mitarbeiter) Vertraulich Hoch Hoch Hoch
Herstellerdaten Öffentlich Niedrig Niedrig Niedrig