تتمثل الخطوة الأولى في حماية البيانات بالقيام بعملية التحديد والتصنيف الصحيح لها. وغالباً ما تقوم الحكومات و الشركات بتضمين تعريفات وتصنيفات البيانات ضمن سياسة الحماية الخاصة بها. وعلى التوازي يعمل المعنيون على تحديد و تصنيف البيانات بشكل يتناسب مع متطلبات سياسة الحماية. وهذا الأمر يشمل البيانات الحساسة والأجهزة المستخدمة لمعالجتها وسائط الاحتفاظ بها.
تعريف البيانات الحساسة:
البيانات الحساسة هي المعلومات التي تتضمن بيانات سرية أو خاصة أو محمية أو لها قيمة مهمة بالنسبة للبلدان أو الشركات. أو تلك التي لها تأثير على الأمور الخاصة بالامتثال بالقوانين واللوائح المطبقة.
تحديد وتصنيف بيانات التعريف الشخصية:
بيانات التعريف الشخصية Personally Identifiable Information( PII) هي أي معلومات يمكن من خلالها الاستدلال على هوية الأشخاص. أو أي معلومات عن الأشخاص تحتفظ بها الشركات وتشمل الأمور التالية:
- أي معلومات يمكن استخدامها لتمييز أو تتبع هوية الشخص. مثل الاسم أو رقم الضمان الاجتماعي أو تاريخ الميلاد ومكان الولادة واسم الأم والسجلات الحيوية.
- أي معلومات أخرى مرتبطة بالشخص مثل المعلومات الطبية والتعليمة والمالية والوظيفية.
يجب على المنظمات والشركات تحمل مسؤولية حماية معلومات التعريف الشخصية PII. وهذا الأمر يشمل معلومات تحديد الهوية الشخصية الخاصة بالموظفين والعملاء.
إن قوانين و تشريعات مثل GDPR تتطلب من المنظمات إعلام الأفراد في حال أدت حالات الاختراق إلى تسريب معلومات تحديد الهوية الشخصية PII.
تحديد وتصنيف البيانات الصحية:
المعلومات الصحية هي أي معلومات متعلقة بالصحة ومرتبطة بشخص معين. في بعض الدول مثل الولايات المتحدة يفرض القانون حماية هذه المعلومات ويمكن اعتبار المعلومات الصحية على أنها:
- المعلومات التي يتم انشاؤها أو تلقيها من قبل مقدم خدمات الرعاية الصحية أو الهيئات الصحية العامة أو شركات التأمين على الحياة أو المدارس أو الجامعات.
- المعلومات التي تتعلق بالصحة الجسدية أو العقلية السابقة أو الحالية أو المستقبلية لأي شخص. بالإضافة لمعلومات المدفوعات المالية الخاصة بتوفير الرعاية الصحية.
بيانات الملكية Proprietary Data:
وهي الأصول المعلوماتية التي تساعد المؤسسة في الحفاظ على الميزة التنافسية. وقد تكون تلك المعلومات هي الأكواد الخاصة بالبرامج التي تعمل على تطويرها. أو الخطط الفنية للمنتجات أو العمليات الداخلية أو الملكية الفكرية أو الأسرار التجارية. وفي حال تمكن المنافسون من الوصول لهذه المعلومات فمن الممكن ان يؤثر هذا الأمر بشكل كبير على المهمة الأساسية للشركة.
على الرغم من أن قوانين حقوق النشر وبراءات الاختراع والأسرار التجارية توفر مستوى من الحماية لبيانات الملكية إلا أن هذا الأمر لا يكفي دائماً. فقد سرق مجرمو الانترنت الكثير من حقوق النشر وبراءات الاختراع والبيانات الخاصة بحقوق الملكية.
تصنيف البيانات:
عادةً ما تقوم الشركات بتضمين تصنيفات البيانات ضمن سياسة الحماية الخاصة بها. ومن الممكن أن تكون التصنيفات ضمن سياسات منفصلة. يحدد تصنيف البيانات قيمة البيانات بالنسبة للشركة وهو أمر بالغ الأهمية لحماية سرية البيانات وسلامتها. لذلك تحدد سياسة الحماية تسميات التصنيفات المستخدمة داخل الشركة. كما تحدد كيف يمكن لمالكي البيانات تحديد التصنيف المناسب وكيف يجب على الأفراد حماية البيانات بناءاً على تصنيفها. على سبيل المثال قد تشمل تصنيفات البيانات الحكومية: سرية للغاية – سرية – غير مصنفة. ويمكن اعتبار أي شي ما عدا الغير مصنف على انه بيانات حساسة. ولكن في المقابل فإن البيانات سيكون لها قيم مختلفة، الفرق بين التصنيفات هو حجم الضرر في حال تسربها أو التلاعب بها (جسيم للغاية – جسيم – ضرر عادي)
سري للغاية Top Secret:
يتم استخدام أو تطبيق هذا التصنيف للمعلومات ذات السرية العالية والتي من المتوقع عالي جداً أن يتسبب الكشف غير المصرح به لها بإلحاق ضرر جسيم للغاية في الأمن القومي للبلدان أو ضرر وخسارة كبيرة للشركات.
سري Secret:
يتم استخدام أو تطبيق هذا التصنيف للمعلومات التي من المتوقع بشكل معقول أن يؤدي الكشف غير المصرح به لها إلى إلحاق ضرر جسيم بالأمن القومي للبلدان أو ضرر وخسارة للشركات.
سرية Confidential:
يتم استخدام أو تطبيق هذا التصنيف للمعلومات التي من المتوقع أن يتسبب الكشف الغير مصرح به لها ضرر بالأمن القومي للبلدان أو الشركات.
غير مصنف Unclassified:
يتم استخدام أو تطبيق “غير مصنف” لأي معلومات لا تتوافق مع أحد الأوصاف الخاصة بالتصنيفات السابقة. و بالتالي فالمعلومات تحت هذا التصنيف يمكن أن تكون متاحة لأي شخص مع الأخذ بعين الاعتبار الإجراءات المحددة في القوانين الخاصة بكل بلد. يوجد بعض التصنيفات الفرعية الأخرى لهذا النوع مثل الغير مصنفة والحساسة أو الغير مصنفة للاستخدام الرسمي فقط.
سلطة تحديد وتصنيف البيانات:
هي السلطة أو الجهة التي تعمل على تطبيق التصنيفات وتحديد القواعد الصارمة الخاصة بها. فعلى سبيل المثال في الولايات المتحدة تحديداً فإن رئيس الدولة أو نائبه ورؤساء وكالات الاستخبارات يعملون على تحديد التصنيف الخاص بالمعلومات الحكومية في البلاد. ويمكن لأي من هؤلاء الأفراد تفويض أشخاص أخرين للقيام بهذه المهمة. أما بالنسبة للشركات فالخوف هو الضرر المحتمل على الشركة في حال تمكن المهاجمون من الوصول إلى البيانات الحساسة أو السرية. ويمكن أن تكون مسؤولية التصنيف من مهام مدير أمن المعلومات أو مالك المعلومات.
قد تستخدم بعض الشركات الغير حكوميةتسميات مثل الفئة الأولى والفئة الثانية والفئة الثالثة وشركات أخرى قد تستخدم تسميات أكثر وضوحاً مثل معلومات سرية أو خاصة أو حساسة أو عامة.
في النهاية:
إن تصنيف البيانات أمر مهم جداً وخاصة أثناء كتابة وإعداد سياسات الحماية. فمن خلال هذه العملية يتم تحديد البيانات حسب أهميتها لتحديد ومعرفة طريقة التعامل معها والحفاظ عليها أثناء النقل أو الحفظ. و كذلك الإجراءات والأمور اللازم تطبيقها لحماية كل مستوى من البيانات بالإضافة لتحديد الأشخاص (مدراء أو موظفين) الذين يملكون الحق أو الصلاحية للوصول لكل تصنيف أو مستوى من البيانات.