Learning Platform
Глоссарий Troubleshooting
Урок 06.05 · 20 мин
Продвинутый
Data ClassificationClassification FrameworkLabels

Фреймворки классификации данных

Введение

Какие данные можно отправить партнёру по email? Какие — только через зашифрованный канал? Какие вообще нельзя выносить за периметр организации? Без системы Data Classification (классификация данных) ответы на эти вопросы зависят от интуиции конкретного сотрудника. Классификация данных превращает интуицию в формализованные правила, автоматически определяющие требования к хранению, передаче, доступу и удалению.

Уровни классификации

Стандартная четырёхуровневая модель классификации:

Public (Открытые)

Данные, предназначенные для публичного доступа. Утечка не причиняет вреда.

Примеры: каталог продуктов, публичные отчёты, документация API, маркетинговые материалы.

Обработка: без ограничений хранения и передачи.

Internal (Внутренние)

Данные для внутреннего использования. Утечка вызывает незначительный ущерб.

Примеры: внутренние вики, протоколы совещаний, организационная структура, рабочие инструкции.

Обработка: хранение в корпоративных системах, TLS при передаче за периметр.

Confidential (Конфиденциальные)

Чувствительные данные бизнеса или персональные данные. Утечка вызывает значительный ущерб.

Примеры: PII клиентов, финансовые отчёты, контракты, данные о зарплатах, коммерческая тайна.

Обработка: шифрование at rest (AES-256), TLS 1.2+ при передаче, RBAC с подтверждением руководителя.

Restricted (Ограниченные)

Данные высшей степени чувствительности с регуляторными требованиями. Утечка вызывает критический ущерб.

Примеры: платёжные данные (PCI DSS), медицинские записи, учётные данные, ключи шифрования.

Обработка: шифрование + выделенная зона безопасности, MFA для доступа, именной доступ с логированием.

Классификация данных: FinSecure Bank
Данные FinSecureRoot
PublicL0
Каталог банковских продуктовPublic
Годовой отчётPublic
InternalL1
Внутренние процедурыInternal
Орг. структураInternal
ConfidentialL2
PII клиентовConfidential
Финансовая отчётностьConfidential
ДоговорыConfidential
RestrictedL3
Платёжные данные (PCI)Restricted
Учётные данныеRestricted
Данные кредитного скорингаRestricted
Проверка знанийKnowledge check
Почему данные кредитного скоринга FinSecure классифицированы как Restricted, а не Confidential?
ОтветAnswer
Данные кредитного скоринга имеют двойное регуляторное давление: (1) это персональные данные клиентов (152-ФЗ, GDPR), и (2) это данные, подлежащие контролю ЦБ (автоматизированные решения о кредитовании требуют explainability и audit trail). Утечка скоринговой модели позволит мошенникам 'подстроить' заявки, а утечка кредитных историй — критический удар по репутации и крупные штрафы.

Проектирование фреймворка классификации

Построение фреймворка классификации для организации включает пять шагов:

1. Определение уровней

Выберите количество уровней (обычно 3-5) и определите критерии для каждого:

КритерийPublicInternalConfidentialRestricted
Ущерб при утечкеНулевойНезначительныйЗначительныйКритический
Регуляторные требованияНетМинимальные152-ФЗ, GDPRPCI DSS, ЦБ
ВосстановимостьНеприменимоЛегкоС последствиямиНеобратимые последствия

2. Определение правил обработки

Для каждого уровня — чёткие правила:

{
  "level": "confidential",
  "handling": {
    "storage": "Encrypted at rest (AES-256)",
    "transmission": "TLS 1.2+; no email attachments",
    "access": "Role-based; manager approval required",
    "retention_days": 2555,
    "disposal": "Secure deletion with audit trail"
  }
}

3. Инвентаризация и присвоение

Каждый актив данных (таблица, файл, поток) получает метку классификации:

-- Пример: тегирование таблиц в каталоге данных
UPDATE data_catalog
SET classification = 'confidential'
WHERE table_name IN ('customers', 'orders', 'payments');

4. Автоматизация

Автоматическая классификация новых активов на основе правил:

  • Столбец содержит PII-паттерн -> Confidential
  • Таблица в PCI-зоне -> Restricted
  • Публичный API endpoint -> Public

5. Аудит и пересмотр

Регулярный пересмотр классификации: раз в квартал или при изменении регуляторных требований.

Сценарий: FinSecure Bank

Сценарий: FinSecure Bank (ФинСекьюр Банк)

FinSecure строит фреймворк классификации для выполнения требований PCI DSS и GDPR одновременно. Текущая ситуация:

  • 800+ таблиц в Oracle (core banking) — ни одна не классифицирована
  • 15 PostgreSQL-баз (микросервисы) — классификация отсутствует
  • OpenMetadata содержит метаданные для 40% таблиц, но без тегов классификации

Data Steward предлагает: начать с автоматической классификации таблиц, содержащих PII (column name matching), затем вручную классифицировать оставшиеся. Целевой coverage: 100% таблиц классифицированы в течение 6 месяцев.

Проверка знанийKnowledge check
FinSecure имеет таблицу audit_logs с полями: user_id, action, timestamp, ip_address. Какой уровень классификации назначить?
ОтветAnswer
Confidential. Хотя audit_logs кажутся техническими данными, они содержат user_id (связь с персональными данными) и ip_address (PII по GDPR). Кроме того, audit_logs — доказательная база для расследования инцидентов и демонстрации compliance; их целостность критична. Internal недостаточен, Restricted — избыточен (нет PCI-данных или ключей шифрования).

Практика: Data Classification Policy

В ФинСекьюр необходимо формализовать фреймворк классификации данных в виде JSON-политики. Создайте документ с четырьмя уровнями классификации, каждый с правилами обработки для хранения, передачи, доступа, хранения и удаления.

Итоги

  • Четыре уровня классификации: Public, Internal, Confidential, Restricted
  • Каждый уровень определяет правила хранения, передачи, доступа, retention и удаления
  • Фреймворк строится в 5 шагов: уровни -> правила -> инвентаризация -> автоматизация -> аудит
  • Автоматическая классификация ускоряет покрытие: PII-паттерны определяют начальный уровень
  • FinSecure сочетает PCI DSS и GDPR требования в едином фреймворке

В следующем уроке мы рассмотрим DPIA (оценка воздействия на защиту данных) — формальный процесс оценки рисков обработки персональных данных.

Проверьте понимание

Результат: 0 из 0
Аналитический
Вопрос 1 из 5. FinSecure классифицирует таблицу audit_logs (поля: user_id, action, timestamp, ip_address) как Internal. Data Steward считает классификацию недостаточной. Какой уровень корректен и почему?

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок
Вернуться к курсу
Прогресс модуля
0 из 6