KBM.02 EK1 — Veri Sınıflandırması Rehberi

Veri Güvenliği IT Standartları · Türkçe

Açıklama

Şirketin yapısı ve faaliyet alanı ile beraber kullandığı bilgiler, türleri ve yapıları da farklılık göstermektedir. Bu nedenle şirket, kendi organizasyon ve yapısına göre veri sınıflandırması yapar ve projelendirir. Bu rehber, veri sınıflandırması iş akışı için kullanılabilecek bir model sunar.

Veri Sınıflandırma Projesinde Dikkat Edilmesi Gereken Noktalar

  • Sınıflandırılacak verilerin envanteri çıkarılmalı ve dokümante edilmelidir.
  • Sınıflandırma sadece Bilgi Teknolojileri bölümlerinin sorumluluğu olarak görülmemeli, tüm şirket genelinde yapılmalıdır. Veri sınıflandırması yapılmadan önce iş birimlerinden temsilcilerin olduğu bir komite kurulmalı ve üst yönetimden duyuru yapılması sağlanmalıdır.
  • Gizlilik anlamında şirket içinde üretilen ya da kullanılan her türlü veri için envanter oluşturulmalıdır.
  • Veri sahipleri ve bu sahiplerin sorumlulukları belirlenerek detaylı olarak dokümante edilmelidir.
  • Şirket içinde üretilen ya da kullanılan her türlü veri; veri sahibi ve BT müdürlüğü koordinasyonunda veri envanterine eklenmeli ve değerlendirilmelidir. Veri envanterine girebilecek veri örnekleri:
    • Personel özlük bilgileri
    • Müşteri finansal olmayan bilgileri
    • Proje dokümanları
    • Fatura
    • Sözleşme, şartname
    • Prosedür ve talimatlar
    • Müşteri adresi
    • Müşteri TC kimlik numarası
    • Müşteri kredi kartı numarası vb.

Örnek olarak listelenen veri türleri dışında şirkete özel yeni türler de oluşturulabilir. Veri envanterine kaydedilen her veri için gerektiğinde (içeriği ya da kapsamı değiştiğinde) güncelleme yapılmalıdır. Veri envanteri oluşturulurken verinin sahibi de mutlaka belirlenmelidir.

  • Veri sınıflandırması, bilgi varlıkları envanterinden farklı olarak; BT risk yönetimi başta olmak üzere veriyle ilgili tüm süreçlerde kullanılabilecek (sistem/süreç sahipliğinin oluşturulması, onay mekanizmaları, görevler ayrılığı vb.), organizasyon içerisinde ihtiyaçlar doğrultusunda geliştirilmesi gereken bir sınıflandırmadır.
  • Her veri sahibi kendisine ait verinin sınıflandırmasından sorumludur; farklı veri sahiplerine ait bilgiler arasında önemli bağlantı ve ilişkiler varsa bu durum sınıflandırma yapılırken dikkate alınmalıdır.
  • Veri sahibi bazen bilgiyi ilk oluşturan kişi olabileceği gibi, erişim yetkileri sayesinde veri üzerinde değişiklik yapabilecek ya da başkaları ile paylaşabilecek kişi de olabilir. Veri sahipleri belirlenirken "veri grupları" göz önünde bulundurularak da sahiplik belirlenebilir. Örneğin:
    • Personel özlük bilgileri (İnsan Kaynakları departmanı)
    • Müşteri finansal olmayan bilgileri (Müşteri Veri Yönetimi departmanı)
    • Proje dokümanları (Proje Ofisi)

Sınıflandırma Kriterleri

Veri sahiplerinin aynı kritiklik derecesine sahip verilere farklı sınıflandırmalar yapmaması için şirket, hazırlayacağı sınıflandırma dokümanında kriterleri net bir şekilde belirler. Hazırlanacak dokümanda minimum aşağıdaki tabloda verilen kriterler kullanılır. Kriterlerin eşik değerleri şirketin yapısına ve büyüklüğüne göre değişebileceği için şirket bu tabloyu kendi inisiyatifinde oluşturur.

Tablo 1.0 — Sınıflandırma Kriterleri

Bilgi SınıfıFinansal KayıpHizmet Aksamasıİtibar/Marka KaybıYasal YaptırımPazar Payı Etkisi
ÇOK GİZLİ
GİZLİ
KURUM İÇİ
GENEL

Tablo 1.0 doldurulurken Tablo 1.1'deki örnek kriterler göz önünde bulundurulmalıdır.

Tablo 1.1 — Gizlilik Sınıfı Açıklama ve Örnekleri

SınıfAçıklamaÖrnek
ÇOK GİZLİ Sınırlı kişiler tarafından bilinmesi gereken; başka kişi/kuruluşlar ile paylaşılması veya kaybolması durumunda şirketin varlığını ve faaliyetini ciddi olarak olumsuz etkileyecek, ulusal ya da uluslararası risklere ya da anlaşmazlıklara neden olacak, yasal soruşturma ya da incelemeye neden olacak bilgilerdir. Ulusal güvenlik ya da savunma sanayi projeleri için kullanılacak her türlü icat ve buluş ile ilgili bilgiler (yazılımlar, çizimler, projeler vb.), yatırım planları, yatırım stratejileri ve hedefleri ile ilgili bilgiler, sektörde büyük değişikliklere neden olacak veya rekabet koşullarını değiştirecek buluş, icat ya da metodolojiler ile ilgili bilgiler vb.
GİZLİ Yetkisiz kişi/kuruluşlar ile paylaşılması ya da kaybolması durumunda şirketin operasyonlarını, imajını veya gelirlerini ciddi olarak etkileyecek ve aksatacak bilgilerdir. Şifreler, iş planları, maaş bilgileri, sözleşmeler, teklifler, maliyet raporları, şartnameler, hassas tasarım çalışmaları, planlanan şirket birleşmesi ya da satın alması, şirket kuruluşları ile ilgili bilgiler, hasta bilgileri, IP adresleri içeren dokümanlar, üretim bilgileri, müşteri bilgileri, satış bilgileri, servis bilgileri, lansmanı yapılmamış yeni hizmetler, iş ortaklığı anlaşma içerikleri, stratejik planlar, personele ait özlük bilgileri, uygulanan güvenlik kontrolleri, kredi kartı müşteri bilgileri vb.
KURUM İÇİ Sadece şirket içinde paylaşılan ve şirket dışına çıkması onaylanmayan; izinsiz paylaşımı ya da kaybı şirket organizasyonu için imaj kaybı gibi sonuçlar veya uygunsuzluklar doğurabilecek, ancak ciddi maddi zararlara neden olmayacak bilgilerdir. Toplantı zamanları, genel şirket bilgilendirmeleri, duyurular, telefon listeleri, çalışan listeleri, eğitim bilgileri, formlar, yazışma örnekleri, prosedürler, operasyonel bilgiler, proje planları, üretim planı, ciro raporları, stok raporları, eğitim materyalleri vb.
GENEL Geneli ilgilendiren en düşük güvenlik seviyesindeki bilgiler olup, paylaşılması ya da kaybolması durumunda risk oluşmayan, herkese açık bilgilerdir. Basın açıklamaları ve duyuruları, kurumsal web sayfaları, test verileri, müşterilere sunulan hizmet katalogları, ürün broşürleri vb. ile "KURUM İÇİ", "GİZLİ", "ÇOK GİZLİ" olarak gizlilik sınıflandırması belirlenmemiş olan bilgiler.

Şirket Sınıfları ile Eşleştirme

Sınıflandırma yukarıdaki kriterler dahilinde yapılabilir. Şirket örnek kriterlere, yapısına göre farklı sınıflandırma kriterleri ekleyip çıkarabilir; ancak kriterlerde vurgulanan risk ve hassasiyete dayalı yapı (Çok Gizli, Gizli...) korunur. Şirket, Bilgi Teknolojileri denetimi kapsamında yaptığı sınıflandırma ve metodolojisi ile ilgili detaylı bilgi vermekle yükümlüdür. Gizlilik sınıflandırması kriterleri kesin bir zorlama olmamakla birlikte, standartta belirtilen (GENEL, KURUM İÇİ, GİZLİ, ÇOK GİZLİ) gizlilik sınıflarının şirkette kullanılan sınıflar ile örtüştürülmesi gerekmektedir. Örnekler:

StandartÖrnek Eşleştirme A
GENELGENEL
KURUM İÇİHİZMETE ÖZEL
GİZLİGİZLİ
StandartÖrnek Eşleştirme B
GENELGENEL
KURUM İÇİŞUBELER ARASI
KURUM İÇİŞİRKET İÇİ
GİZLİGİZLİ
ÇOK GİZLİÇOK GİZLİ

Etiketleme

  • Yukarıdaki tabloya uygun olarak sınıflandırılmış verilerde uygun etiketleme yöntemleri kullanılmalıdır. Bunun için manuel olarak etiketleme yapılabileceği gibi bu işi yapan yazılımlardan da faydalanılabilir.
  • Bu dokümanda etiketleme için belirli bir standart oluşturulmamıştır. Şirket içinde bu işlemin nasıl uygulandığına dair bir sürecin tasarlanmış ve uygulanıyor olması yeterlidir.

Sınıflandırılmış Veriye Davranış

Şirket, hazırlayacağı veri sınıflandırma sürecinde, sınıflandırılmış veriye nasıl davranılması gerektiğini açıkça belirler ve bunları kullanıcılarına yayınlar. Hazırlanan dokümanlarda, sınıflandırılmış veriye en azından aşağıdaki durumlarda nasıl davranılması gerektiği belirlenir. Her davranış türü için ilgili gizlilik sınıfına ait onay mekanizması, alınacak teknolojik tedbirler vb. detaylı olarak tariflenir.

Tablo 1.2 — Gizlilik Sınıfına Göre Davranış Türleri

Davranış TürüÇOK GİZLİGİZLİKURUM İÇİGENEL
Erişim ve yetkilendirme prensipleri
Yazıcı çıktısı alma
Fotokopi ile çoğaltma
E-posta / posta iletişiminde kullanımı
Bulut paylaşım platformları üzerinden paylaşılması
Güvenli dosya aktarımı (SFTP vb.) ile iletilmesi
Sözlü iletilmesi ve paylaşılması
Kopyalanması
Fiziksel dokümanın şirket dışına çıkması
Fiziksel saklama ortamı
Gizlilik sınıfı değiştirme durumu
Ağ üzerinde şifrelenme ihtiyacı
Görüntülenmesi
Test / eğitim ortamına taşınması
Yedekleme yöntemi
Dış kaynak erişimi için beklentiler
İmha yöntemi

← Tüm IT Standartları