Categorizzazione dei dati: critici o no

Naviga le tue risposte
4

Ho bisogno di fornire due mezzi per proteggere i dati all'interno della mia applicazione. Per prima cosa viene utilizzato il modello di sandbox del sistema operativo (sto parlando del sistema operativo dei telefoni cellulari) e il secondo utilizza l'algoritmo di crittografia OpenSSL AES oltre al modello sandbox.

La cosa migliore è consentire all'utente dell'applicazione di configurare i dati come critici o meno. Ma mi chiedo se qualcuno è a conoscenza di un sondaggio o qualcosa di simile che classifica i dati in termini o critici o non critici. Finora sto considerando due categorie per non renderlo così complesso, ma se ci sono delle classifiche standard, anch'io sarò un acquirente.

    
posta smiley 13.07.2011 - 10:45
fonte

4 risposte

8

La classificazione dei dati è essenziale per orientarti in termini di spesa per le risorse: non vuoi spendere pesantemente per proteggere le risorse a bassa sensibilità.

Il modello Riservatezza, integrità e disponibilità è molto usato, tuttavia non aiuta a definire gli standard di classificazione per il tuo ambiente. Potresti voler esaminare le specifiche per le tue esigenze. Ad esempio:

  • Se si conservano i dati della carta di credito del cliente, PCI-DSS richiede che sia protetto in modo da poterlo classificare come elevato.
  • Allo stesso modo, i dati medici personali dovrebbero essere protetti (molte giurisdizioni lo impongono per legge)

Un'alternativa, se non si detengono i dati che vengono sottoposti a regolamentazione, è di classificare in base all'impatto sul business. Ad esempio:

  • Dati che inciderebbero pesantemente sull'azienda se divulgati o distrutti
  • Dati che possono essere pubblici senza impatto sull'azienda
risposta data 13.07.2011 - 11:28
fonte
2

Penso che tu abbia solo bisogno di due categorie: privata e non privata.

  • Se l'utente contrassegna i dati come privati, li crittografa.
  • Se lo contrassegnano come non privato, non crittografarlo.

La sandboxing avviene indipendentemente da quali siano i dati.

A meno che non stiate pianificando di implementare altri meccanismi di protezione dei dati, qualsiasi altra categoria non cambierà il modo in cui la vostra applicazione gestisce i dati.

    
risposta data 14.07.2011 - 06:50
fonte
1

Mantieni una scala per Riservatezza (C), Integrità (I) e Disponibilità (A). Mantieni una scala fino a 5 e lascia che l'utente applichi i valori C, I, A. Ad esempio, considera un Data xyz che è Altamente critico in termini di riservatezza, integrità e disponibilità in modo che l'utente possa avere Dati XYZ, C = 5, I = 5, A = 5 (sulla scala 1-5 e 5 che sono Max) . Ora esce con una formula come C + I + A, Lets ha una mappa critica. Criticità = C + I + A. Criticità superiore a 7 indica il suo Critico. Criticità Meno di 7 significa Non critico.

La Formula per questo può essere modificata come vuoi, che si adatta alle tue esigenze aziendali.

    
risposta data 13.07.2011 - 11:07
fonte
1

Puoi utilizzare le classificazioni utilizzate dai militari.

  • Top Secret (molti soldati muoiono, un politico perde il lavoro)
  • Segreto (Un numero di soldati muore, un politico deve spiegare a wifey)
  • Sensibile (un numero di soldati potrebbe morire, un politico è imbarazzato)
  • Riservato (un generale è imbarazzato)
  • Limitato (una major è imbarazzata)
  • Non classificato (anche i secondi luogotenenti sanno)

E vorrei inoltre etichettare l'informazione soggetta alle varie leggi / obblighi (HIPPA, PCIDSS, SOX ecc.)

P.S. Per favore non essere offeso dalle lievi battute sopra, rispetto il lavoro e le vite perse per proteggere me e la mia famiglia.

    
risposta data 13.07.2011 - 14:01
fonte

Leggi altre domande sui tag

PHP ha un'API XSS? Elenco di certificazione definitiva [chiuso]