安全分析:金融服务领域数据分类的最佳实践

大多数信息安全从业人员都会同意这样的观点,即数据的重要性是各不相同的。换句话说,某些数据与其他数据相比更为敏感,更应该受到严格的保护。数据有很多不同的类型,其相应的敏感性程度也大不相同。金融机构内的安全团队应当如何去保护这些各不相同的数据类型呢?这就是数据分类(data classification)所涉及的领域,即每种数据类型都有自己特定的“标签”,而这些标签与基本的规则关联紧密,比如访问控制、加密、业务流程和数据处理等规则。

许多数据分类的最佳实践和计划都源自经典的安全和风险管理框架,例如ISO 27001 和COBIT。在很多情况下,ISO 27001被用来开发与Gramm-Leach-Bliley Act (GLBA,金融服务现代化法案)相吻合的控制。该标准的A.7.2.1节规定了数据分类指导方针应该如何进行创建和维护。FFIEC(美国联邦机构检查委员会)在颁布的信息安全IT考试手册中特别声明了数据分类的必要性。手册将数据分类与“保护设定文件(protection profiles)”相联系,描述了应该采取何种措施去保护特定的数据类型不受曝光和丢失的危害。

既然数据分类如此重要,金融机构应该如何进行这项过程呢?下面是一些在数据分类的最佳实践中,所有机构都应该遵循的关键步骤。

1、规定哪些数据是重要的,知道这些数据如何储存和转移。对金融机构而言,这一步  骤主要由以下方面的财务数据构成:客户(银行账户和个人信息)、公司财务记录(收入信息、销售数据)、与金融系统有关的知识产权,以及与认证和访问控制信息有关的数据。然后,与个体业务单元合作,评估应用结构和网络图,进而确定在何处存储数据,如何存储,以及数据在环境中如何移动。要确信已经将所有的合伙人和互联网都考虑到了。

2、规定数据分类类别和标签。这一步骤应该与业务单位共同开展,把重点放在金融或其它具有敏感性的数据类型上。首先,依据数据的保密性和危急层次对分类类别进行定义。举个例子,针对保密性进行的分类可以包括:公开(任何人都可以访问)、受限访问(只有特定的群体可以访问)、保密(受规则和法律授权的控制)。金融服务团队建议,应该将这些标签与危险程度结合起来:

  • a. 低:数据曝光和不正确使用不会造成财产损失和法律责任。
  • b. 中:数据曝光会造成有限程度的法律责任、客户信任的丧失和财产损失。
  • c. 高:数据曝光会导致重大的法律责任、客户信任的丧失和财产损失。
  • d. 很高:数据曝光和误用能带来灾难性的罚款、法律责任、客户信任的丧失和财产损失。

3、规定可接受性使用。数据的可接受性使用应该将内部和外部的规则遵从要求作为基础(包括各州颁布的数据泄露法),还要考虑谁会使用这些数据以及如何使用。在大多数情况下,数据的创建者会被指定为“所有者”,而创建数据的个人或者团体应该具有对数据的使用权限。例如,客户的银行数据只能有客户本人(数据“所有者”)和交易处理员工才能使用。

4、升级政策要反映出数据分类。确定了政策中已包含数据分类类型和规则遵从的影响,金融机构就可以将数据分类类型与安全意识、事件响应以及其他的危机处理方案措施结合起来。

5、建立一个维护过程。一个标准的数据生命周期包括以下阶段:创建、存储、使用、修改、保留和存档,以及清除。在每一个阶段里,数据的分类和安全都要通过常规的过程来处理。

虽然数据的分类是一项很复杂的过程,但有一些工具可以提供帮助。几家供应商提供了一些具有电子发现功能并结合了存储系统的产品,(如,EMC公司的Kazeon系列产品和StoredIQ 公司的智能信息平台),它们都能支持大型企业的数据分类工作。

尽管对数据进行分类和追踪不是一件容易的事情,但这些工作是金融服务机构进行数据保护的核心部分。许多规则遵从规定以及安全最佳实践框架都要求必须具备一定程度的数据分类,而且需要将安全工作的努力集中在更为敏感的数据类型上,从而有利于实现操作效果和效率的最优化。根据以最敏感客户和内部数据为基础创建的“保护设定文件”来看,金融机构可以更好的规划和制定自己的预防、检测和响应措施。