File Classification Infrastructure, czyli sposób na ochronę danych wykorzystując ich klasyfikację

Kluczowym elementem w każdej organizacji są dane, a mówiąc bardziej konkretnie: sposób w jaki są one przetwarzane i przechowywane oraz jak organizowany jest do nich dostęp. Oprócz zapewnienia wysokiego poziomu ich bezpieczeństwa musimy także spełniać wymagania zdefiniowane w Rozporządzeniu o ochronie danych osobowych (RODO). Dodatkowo, jeśli zależy nam na wypełnieniu wymogów niezbędnych np. do uzyskania normy bezpieczeństwa ISO/IEC 27001 musimy pomyśleć o wprowadzeniu dodatkowych mechanizmów, które podniosą jeszcze bardziej poziom ochrony naszych plików.

O ile w większości przedsiębiorstw dane firmowe przechowywane są na serwerach plików w zdefiniowanej wcześniej strukturze folderów o odpowiednich dostępach (grupy zabezpieczeń, skupiające określonych użytkowników, z których każda ma dostęp do zdefiniowanych folderów), to generalnie nie zdajemy sobie sprawy, jakiego typu są to pliki i co się w nich znajduje oraz co najistotniejsze, które z nich zawierają poufne i wrażliwe dane. Brakuje też często z tego powodu automatycznych mechanizmów, mogących zabezpieczać konkretne  na różne sposoby (szyfrować, przenosić je w określone miejsce lub dynamicznie przydzielać do nich dostęp).

Tutaj do głosu dochodzi klasyfikacja danych, której wykorzystanie pozwoli lepiej zapanować nad firmowymi plikami oraz jeszcze lepiej je zabezpieczyć. Klasyfikacja taka oznacza generalnie proces organizacji danych w kategorie reprezentujące różne ich typy. Dane, z którymi zwykle mamy do czynienia możemy ogólnie podzielić na 4 kategorie:

• publiczne – dane ogólnodostępne, udostępnione dla każdego,

• poufne – przeznaczone zwykle wyłącznie dla określonych osób lub grup (mogą to być np. kontrakty handlowe, informacje o pracownikach),

• wrażliwe – używane często zamiennie z poufnymi, przykładem wrażliwych danych może być własność intelektualna (kod źródłowy oprogramowania, projekty) lub tajemnice handlowe,

• osobiste - prywatne dane użytkownika.

Klasyfikacja danych polega na ich „otagowaniu”, czyli oznaczaniu dodatkową informacją w zależności od ich typu, zawartości, stopnia wrażliwości oraz wartości dla organizacji w razie ich modyfikacji, usunięcia czy „wyniesienia” poza firmę.

Jednym z rozwiązań umożliwiających klasyfikację naszych danych oraz pozwalającym wprowadzić odpowiednie mechanizmy zabezpieczające nasze pliki z jej uwzględnieniem jest File Classification Infrastructure (FCI) od firmy Microsoft. Rozwiązanie to pozwala na klasyfikację naszych zasobów plikowych na trzy różne sposoby:

• sposób 1, bazujący na zawartości plików – skanowane i odpowiednio oznaczane są pliki przechowujące treść pasującą do zdefiniowanego wcześniej wzorca,
• sposób 2, bazujący na kontekście plików, tzn. uwzględniającym m.in. rodzaj aplikacji, w której powstał plik (np. oprogramowanie księgowe), osobę która utworzyła plik (np. pracownika działu finansowego) lub też lokację, w której dany plik został utworzony,
• sposób 3, bazujący na decyzji użytkownika, posiadającego wiedzę czy dokument, który utworzył zawiera poufne dane i jak bardzo są one wrażliwe.

Po sklasyfikowaniu danych wg zdefiniowanych wcześniej reguł mogą być one następnie wykorzystane wg różnych możliwości. Począwszy od generowania raportów bazujących na przydzielonych w procesie klasyfikacji „tagach”, pozwalających określić np. ilość i miejsce przechowywania wrażliwych danych, po różne akcje wykonywane automatycznie na odpowiednio oznaczonych plikach. Możemy np. skonfigurować, że określone pliki będą dodatkowo szyfrowane, backupowane lub też przenoszone w inne miejsce. Klasyfikację taką można również wykorzystać do skonfigurowania dynamicznej kontroli dostępu do takich plików (określającej, kto ma mieć dostęp do pliku w zależności od ich aktualnego sklasyfikowania).

Podsumowując, dzięki wprowadzeniu klasyfikacji danych zyskujemy kontrolę nad tym jakie informacje przetwarzamy w naszej firmie, a także możliwość dodatkowego zabezpieczenia zasobów, które są szczególnie wrażliwe, definiując na ich podstawie automatyczne działania lub podejmując określone decyzje. Klasyfikacja danych pozwala także łatwiej dopasować nasze środowisko do obowiązujących standardów bezpieczeństwa informacji.

PK