大多数信息安全从业人员都会同意这样的观点,即数据的重要性是各不相同的。换句话说,某些数据与其他数据相比更为敏感,更应该受到严格的保护。数据有很多不同的类型,其相应的敏感性程度也大不相同。金融机构内的安全团队应当如何去保护这些各不相同的数据类型呢?这就是数据分类(data classification)所涉及的领域,即每种数据类型都有自己特定的“标签”,而这些标签与基本的规则关联紧密,比如访问控制、加密、业务流程和数据处理等规则。
许多数据分类的最佳实践和计划都源自经典的安全和风险管理框架,例如ISO 27001 和COBIT。在很多情况下,ISO 27001被用来开发与Gramm-Leac……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
大多数信息安全从业人员都会同意这样的观点,即数据的重要性是各不相同的。换句话说,某些数据与其他数据相比更为敏感,更应该受到严格的保护。数据有很多不同的类型,其相应的敏感性程度也大不相同。金融机构内的安全团队应当如何去保护这些各不相同的数据类型呢?这就是数据分类(data classification)所涉及的领域,即每种数据类型都有自己特定的“标签”,而这些标签与基本的规则关联紧密,比如访问控制、加密、业务流程和数据处理等规则。
许多数据分类的最佳实践和计划都源自经典的安全和风险管理框架,例如ISO 27001 和COBIT。在很多情况下,ISO 27001被用来开发与Gramm-Leach-Bliley Act (GLBA,金融服务现代化法案)相吻合的控制。该标准的A.7.2.1节规定了数据分类指导方针应该如何进行创建和维护。FFIEC(美国联邦机构检查委员会)在颁布的信息安全IT考试手册中特别声明了数据分类的必要性。手册将数据分类与“保护设定文件(protection profiles)”相联系,描述了应该采取何种措施去保护特定的数据类型不受曝光和丢失的危害。
既然数据分类如此重要,金融机构应该如何进行这项过程呢?下面是一些在数据分类的最佳实践中,所有机构都应该遵循的关键步骤。
1、规定哪些数据是重要的,知道这些数据如何储存和转移。对金融机构而言,这一步 骤主要由以下方面的财务数据构成:客户(银行账户和个人信息)、公司财务记录(收入信息、销售数据)、与金融系统有关的知识产权,以及与认证和访问控制信息有关的数据。然后,与个体业务单元合作,评估应用结构和网络图,进而确定在何处存储数据,如何存储,以及数据在环境中如何移动。要确信已经将所有的合伙人和互联网都考虑到了。
2、规定数据分类类别和标签。这一步骤应该与业务单位共同开展,把重点放在金融或其它具有敏感性的数据类型上。首先,依据数据的保密性和危急层次对分类类别进行定义。举个例子,针对保密性进行的分类可以包括:公开(任何人都可以访问)、受限访问(只有特定的群体可以访问)、保密(受规则和法律授权的控制)。金融服务团队建议,应该将这些标签与危险程度结合起来:
a. 低:数据曝光和不正确使用不会造成财产损失和法律责任。
b. 中:数据曝光会造成有限程度的法律责任、客户信任的丧失和财产损失。
c. 高:数据曝光会导致重大的法律责任、客户信任的丧失和财产损失。
d. 很高:数据曝光和误用能带来灾难性的罚款、法律责任、客户信任的丧失和财产损失。
3、规定可接受性使用。数据的可接受性使用应该将内部和外部的规则遵从要求作为基础(包括各州颁布的数据泄露法),还要考虑谁会使用这些数据以及如何使用。在大多数情况下,数据的创建者会被指定为“所有者”,而创建数据的个人或者团体应该具有对数据的使用权限。例如,客户的银行数据只能有客户本人(数据“所有者”)和交易处理员工才能使用。
4、升级政策要反映出数据分类。确定了政策中已包含数据分类类型和规则遵从的影响,金融机构就可以将数据分类类型与安全意识、事件响应以及其他的危机处理方案措施结合起来。
5、建立一个维护过程。一个标准的数据生命周期包括以下阶段:创建、存储、使用、修改、保留和存档,以及清除。在每一个阶段里,数据的分类和安全都要通过常规的过程来处理。
虽然数据的分类是一项很复杂的过程,但有一些工具可以提供帮助。几家供应商提供了一些具有电子发现功能并结合了存储系统的产品,(如,EMC公司的Kazeon系列产品和StoredIQ 公司的智能信息平台),它们都能支持大型企业的数据分类工作。
尽管对数据进行分类和追踪不是一件容易的事情,但这些工作是金融服务机构进行数据保护的核心部分。许多规则遵从规定以及安全最佳实践框架都要求必须具备一定程度的数据分类,而且需要将安全工作的努力集中在更为敏感的数据类型上,从而有利于实现操作效果和效率的最优化。根据以最敏感客户和内部数据为基础创建的“保护设定文件”来看,金融机构可以更好的规划和制定自己的预防、检测和响应措施。
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
翻译
相关推荐
-
数据分类标准:最简单的就是最好的
我们尝试用各种方法降低数据分类项目的合规成本,对不同的数据类型设置不同的控制权限。其实,一个信息分类项目成功最关键的因素是简单。
-
数据传输的保护与网络界限的消亡
数据在各组织间的传输带给人一种网络界限已经消亡的感觉。在这样一个如此高度分散的、多组织系统中开展数据保护工作需要注意那些问题呢?应采取怎样的策略呢?
-
金融公司应对经济混乱时期的身份管理策略
对一些金融服务机构来说,这是艰难的一年,金融服务机构正在扩大他们的身份管理措施,以此来应对这些挑战。本文针对金融服务行业的特点提出了几种有效的身份认证策略。
-
内部诈骗的威胁随着经济的恶化而增长
Actimize公司最近的一份调查显示,金融机构中的内部诈骗有逐渐增多的趋势,而放缓的经济被看做是幕后的推手。