SEC07-BP01 Pahami skema klasifikasi data Anda

Pahami klasifikasi data yang diproses beban kerja Anda, persyaratan penanganannya, proses bisnis terkait, di mana data disimpan, dan siapa pemilik data. Skema klasifikasi dan penanganan data Anda harus mempertimbangkan persyaratan hukum dan kepatuhan yang berlaku atas beban kerja Anda serta kontrol data apa yang diperlukan. Pemahaman terhadap data adalah langkah pertama dalam perjalanan klasifikasi data.

Hasil yang diinginkan: Jenis data yang ada dalam beban kerja Anda dipahami dan didokumentasikan dengan baik. Kontrol yang tepat diterapkan untuk melindungi data sensitif berdasarkan klasifikasinya. Kontrol ini mengatur berbagai pertimbangan, seperti siapa yang diizinkan mengakses data dan untuk tujuan apa, di mana data disimpan, kebijakan enkripsi untuk data tersebut dan bagaimana kunci enkripsi dikelola, siklus hidup untuk data dan persyaratan retensinya, proses pemusnahan yang tepat, proses pencadangan dan pemulihan apa yang diterapkan, serta audit akses.

Antipola umum:

Tidak memiliki kebijakan klasifikasi data formal untuk menentukan tingkat sensitivitas data dan persyaratan penanganannya
Tidak memiliki pemahaman yang baik tentang tingkat sensitivitas data dalam beban kerja Anda, dan tidak mencatat informasi ini dalam dokumentasi arsitektur dan operasi
Gagal menerapkan kontrol yang sesuai terhadap data Anda berdasarkan sensitivitas dan persyaratannya, sebagaimana diuraikan dalam kebijakan klasifikasi dan penanganan data Anda
Gagal memberikan umpan balik tentang persyaratan klasifikasi dan penanganan data kepada pemilik kebijakan.

Manfaat menjalankan praktik terbaik ini: Praktik ini menghilangkan ambiguitas seputar penanganan data yang tepat dalam beban kerja Anda. Penerapan kebijakan formal yang menentukan tingkat sensitivitas data di organisasi Anda dan perlindungan yang diperlukan dapat membantu Anda mematuhi peraturan hukum serta pengesahan dan sertifikasi keamanan siber lainnya. Pemilik beban kerja dapat merasa yakin dengan mengetahui di mana data sensitif disimpan dan kontrol perlindungan apa yang diterapkan. Dengan mencatat hal ini dalam dokumentasi, anggota tim baru akan dapat lebih memahaminya dan dapat memelihara berbagai kontrol di awal masa kerja mereka. Praktik-praktik ini juga dapat membantu mengurangi biaya dengan melakukan rightsizing terhadap kontrol untuk setiap jenis data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Saat merancang beban kerja, Anda mungkin mempertimbangkan cara untuk melindungi data sensitif secara intuitif. Misalnya, dalam aplikasi multi-tenant, data setiap tenant secara intuitif dianggap sebagai sensitif dan perlindungan diterapkan agar satu tenant tidak dapat mengakses data tenant lain. Demikian juga, Anda dapat secara intuitif merancang kontrol akses sehingga hanya administrator yang dapat memodifikasi data, sedangkan pengguna lain hanya memiliki akses tingkat baca atau tidak memiliki akses sama sekali.

Dengan menetapkan dan mencatat tingkat sensitivitas data ini dalam kebijakan, bersama dengan persyaratan perlindungan datanya, Anda dapat secara formal mengidentifikasi data apa yang berada dalam beban kerja Anda. Anda kemudian dapat menentukan apakah kontrol yang tepat sudah diterapkan, apakah kontrol dapat diaudit, dan respons apa yang sesuai jika ditemukan bahwa data salah ditangani.

Guna membantu mengategorikan lokasi data sensitif dalam beban kerja Anda, pertimbangkan untuk menggunakan tag sumber daya jika tersedia. Misalnya, Anda dapat menerapkan tag yang memiliki kunci tag Classification dan nilai tag PHI untuk informasi kesehatan yang dilindungi (PHI), serta tag lain yang memiliki kunci tag Sensitivity dan nilai tag High. Layanan seperti AWS Config kemudian dapat digunakan untuk memantau perubahan dan peringatan pada sumber daya ini apabila sumber daya ini dimodifikasi dengan cara yang membuatnya tidak lagi mematuhi persyaratan perlindungan Anda (seperti mengubah pengaturan enkripsi). Anda dapat mencatat definisi standar untuk kunci tag Anda dan nilai yang dapat diterima menggunakan kebijakan tag, yaitu sebuah fitur AWS Organizations. Sebaiknya kunci atau nilai tag tidak berisi data privat atau sensitif.

Langkah implementasi

Pahami skema klasifikasi dan persyaratan perlindungan data organisasi Anda.
Identifikasikan jenis data sensitif yang diproses oleh beban kerja Anda.
Verifikasikan bahwa data sensitif disimpan dan dilindungi dalam beban kerja Anda sesuai dengan kebijakan Anda. Gunakan teknik-teknik, seperti pengujian otomatis, untuk mengaudit efektivitas kontrol Anda.
Pertimbangkan untuk menggunakan pemberian tag tingkat sumber daya dan data, jika tersedia, untuk memberikan tag pada data dengan tingkat sensitivitasnya dan metadata operasional lainnya yang dapat membantu pemantauan dan respons insiden.
1. Kebijakan tag AWS Organizations dapat digunakan untuk memberlakukan standar pemberian tag.

Sumber daya

Praktik terbaik terkait:

SUS04-BP01 Implementasikan kebijakan klasifikasi data

Dokumen terkait:

Contoh terkait:

Sintaksis dan Contoh Kebijakan Tag AWS Organizations

Alat terkait:

AWS Tag Editor

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Klasifikasi data

SEC07-BP02 Terapkan kontrol perlindungan data berdasarkan sensitivitas data