Categorización de datos: Crítico o no

Navega tus respuestas
4

Necesito proporcionar dos medios para proteger los datos dentro de mi aplicación. El primero es usar el modelo de sandbox del sistema operativo (estoy hablando del sistema operativo de teléfonos móviles) y el segundo usar el algoritmo de cifrado OpenSSL AES además del modelo de sandbox.

Lo mejor es permitir que el usuario de la aplicación configure los datos para que sean críticos o no. Pero me pregunto si alguien está al tanto de una encuesta o algo similar que categorice los datos en términos críticos o no críticos. Hasta ahora estoy considerando dos categorías para no hacerlo tan complejo, pero si hay alguna clasificación estándar, yo también lo sería.

    
pregunta smiley 13.07.2011 - 10:45
fuente

4 respuestas

8

La clasificación de datos es esencial para guiarlo en términos de gasto de recursos, no quiere gastar mucho para proteger activos que son de baja sensibilidad.

El modelo de Confidencialidad, Integridad y Disponibilidad es muy utilizado, sin embargo, realmente no ayuda a definir los estándares de clasificación para su entorno. Es posible que desee ver detalles específicos para sus necesidades. Por ejemplo:

  • Si conserva los datos de la tarjeta de crédito del cliente, PCI-DSS requiere que estén protegidos, por lo que es posible que desee clasificarlos como altos.
  • De manera similar, los datos médicos personales deben estar protegidos (muchas jurisdicciones lo exigen a través de la ley)

Una alternativa, si no tiene datos que están sujetos a regulación, es clasificarlos por el impacto en el negocio. Por ejemplo:

  • Datos que impactarían fuertemente el negocio si se divulgaran o destruyeran
  • Datos que pueden ser públicos sin impacto para el negocio
respondido por el Rory Alsop 13.07.2011 - 11:28
fuente
2

Creo que solo necesitas dos categorías: privada y no privada.

  • Si el usuario marca los datos como privados, entonces los cifras.
  • Si lo marcan como no privado, no lo cifres.

El sandboxing ocurre independientemente de cuáles sean los datos.

A menos que esté planeando implementar otros mecanismos de protección de datos, cualquier otra categoría no cambiará la forma en que su aplicación maneja los datos.

    
respondido por el this.josh 14.07.2011 - 06:50
fuente
1

Mantenga una escala de confidencialidad (C), integridad (I) y disponibilidad (A). Mantenga una escala de hasta 5 y deje que el usuario de la aplicación elija los valores C, I, A. Por ejemplo, considere un xyz de datos que es altamente crítico en términos de confidencialidad, integridad y disponibilidad para que el usuario pueda tener datos XYZ, C = 5, I = 5, A = 5 (en las escalas 1-5 y 5 siendo Max) . Ahora salga con una fórmula como C + I + A, vamos a tener una importancia crítica del mapa. Criticality = C + I + A. Crticality mayor que 7 significa su Critcal. La criticidad menor que 7 significa no crítico.

La Fórmula para esto se puede cambiar a su gusto, lo que se ajustará a las necesidades de su negocio.

    
respondido por el sheiky 13.07.2011 - 11:07
fuente
1

Puedes usar las clasificaciones que usan los militares.

  • Top Secret (muchos soldados mueren, un político pierde su trabajo)
  • Secreto (mueren varios soldados, un político tiene que explicárselo a la mujer)
  • Sensible (algunos soldados podrían morir, un político se avergüenza)
  • Confidencial (un general está avergonzado)
  • Restringido (un mayor se avergüenza)
  • No clasificado (incluso los 2dos tenientes saben)

Y además etiquetaría la información sujeta a las diversas leyes / obligaciones (HIPPA, PCIDSS, SOX, etc.)

p.s. Por favor, no se ofenda por las bromas leves de arriba, respeto el trabajo y las vidas perdidas para protegerme y proteger a mi familia.

    
respondido por el Andrew Russell 13.07.2011 - 14:01
fuente

Lea otras preguntas en las etiquetas

¿Qué es más seguro: RDSI, módem por cable, DSL, T1, etc.? Lista de certificación definitiva [cerrado]