Data Classification: সঠিক ডেটা ম্যানেজমেন্ট এবং নিরাপত্তার জন্য ডেটা শ্রেণিবিন্যাস!

Data Classification হলো ডেটাকে বিভিন্ন শ্রেণীতে বিভক্ত করার একটি পদ্ধতিগত প্রক্রিয়া যা ডেটার সংবেদনশীলতা, ব্যবসায়িক মূল্য এবং নিয়ন্ত্রক প্রয়োজনীয়তার উপর ভিত্তি করে। প্রতিটি শ্রেণীর জন্য নির্দিষ্ট নিরাপত্তা নিয়ন্ত্রণ, অ্যাক্সেস নিয়ম এবং পরিচালনা পদ্ধতি নির্ধারিত হয়। এটি information security management-এর একটি বুনিয়াদি উপাদান এবং ISO 27001, NIST এবং অন্যান্য নিরাপত্তা কাঠামোতে বাধ্যতামূলক।

ডেটা শ্রেণিবিন্যাসের প্রয়োজনীয়তা বহুমুখী। প্রথমত, এটি resource allocation-এ সাহায্য করে। সব ডেটাকে সমান স্তরে সুরক্ষিত করা অর্থনৈতিকভাবে অসম্ভব, তাই সবচেয়ে সংবেদনশীল ডেটায় সর্বোচ্চ বিনিয়োগ করা উচিত। দ্বিতীয়ত, এটি regulatory compliance নিশ্চিত করে। GDPR, HIPAA, PCI DSS এবং অন্যান্য প্রবিধান নির্দিষ্ট ধরনের ডেটার জন্য নির্দিষ্ট সুরক্ষা দাবি করে।

তৃতীয়ত, এটি incident response-কে সহজ করে। যদি একটি ডেটা ব্রিচ হয়, তাহলে কোন শ্রেণীর ডেটা প্রভাবিত হয়েছে তা জানলে প্রতিক্রিয়ার অগ্রাধিকার নির্ধারণ করা যায়। চতুর্থত, এটি data lifecycle management-এ ভূমিকা পালন করে। বিভিন্ন শ্রেণীর ডেটার জন্য বিভিন্ন retention period এবং disposal পদ্ধতি প্রযোজ্য।

ডেটা শ্রেণিবিন্যাস কেবল একটি technical exercise নয়, এটি একটি সাংগঠনিক পরিবর্তন প্রক্রিয়া। সফল বাস্তবায়নের জন্য নির্বাহী সমর্থন, কর্মচারী প্রশিক্ষণ এবং ধারাবাহিক পর্যালোচনা প্রয়োজন।

বিভিন্ন প্রতিষ্ঠান এবং প্রবিধান বিভিন্ন শ্রেণিবিন্যাস মডেল ব্যবহার করে। সবচেয়ে প্রচলিত মডেলগুলোর একটি হলো চার-স্তরের শ্রেণিবিন্যাস। প্রথম স্তর হলো Public Data যা প্রকাশ্যে প্রাপ্য এবং প্রকাশ করলে কোনো ক্ষতি হয় না। মার্কেটিং ব্রোশার, প্রকাশিত আর্থিক প্রতিবেদন, প্রেস রিলিজ - এই ধরনের তথ্য Public শ্রেণীতে পড়ে।

দ্বিতীয় স্তর হলো Internal বা Internal Use Only Data যা প্রতিষ্ঠানের ভিতরে ব্যবহারের জন্য কিন্তু বাইরে প্রকাশ করা উচিত নয়। কর্মচারী হ্যান্ডবুক, internal newsletter, project schedule - এগুলো এই শ্রেণীতে পড়ে। প্রকাশিত হলে সামান্য ক্ষতি হতে পারে কিন্তু গুরুতর নয়।

তৃতীয় স্তর হলো Confidential Data যা সংবেদনশীল এবং অননুমোদিত প্রকাশ গুরুতর ক্ষতি করতে পারে। গ্রাহক তথ্য, আর্থিক তথ্য, কর্মচারী বেতন এবং HR রেকর্ড - এগুলো এই শ্রেণীর। এই ডেটার অ্যাক্সেস need-to-know ভিত্তিতে সীমিত করা উচিত।

চতুর্থ স্তর হলো Restricted বা Highly Confidential Data যা সবচেয়ে সংবেদনশীল এবং প্রকাশিত হলে গুরুতর আর্থিক, আইনি বা প্রতিযোগিতামূলক ক্ষতি হতে পারে। Trade secret, M&A তথ্য, একটি নির্দিষ্ট কৌশলগত পরিকল্পনা, ক্রিপ্টোগ্রাফিক চাবি এবং সরকারি classified তথ্য এই শ্রেণীতে পড়ে।

কিছু প্রতিষ্ঠান তিন-স্তরের মডেল ব্যবহার করে (Public, Internal, Confidential) যা সরলতা প্রদান করে। অন্যরা পাঁচ বা ছয়-স্তরের মডেল ব্যবহার করে যা আরও সূক্ষ্ম পার্থক্য করে। বাছাই করা মডেলটি প্রতিষ্ঠানের আকার, শিল্প এবং complexity-এর উপর নির্ভর করে।

সরকারি ক্ষেত্রে আলাদা মডেল ব্যবহৃত হয়। মার্কিন সরকার Unclassified, Confidential, Secret এবং Top Secret-এর শ্রেণী ব্যবহার করে। NATO এবং অন্যান্য আন্তর্জাতিক সংস্থা নিজস্ব মান বজায় রাখে। বাংলাদেশ সরকারের তথ্য শ্রেণীকরণে গোপনীয়, অতি গোপনীয়, সীমিত - এই ধরনের শ্রেণী ব্যবহৃত হয়।

ডেটা শ্রেণিবিন্যাস কার্যকরভাবে বাস্তবায়নের জন্য একটি পদ্ধতিগত পদ্ধতি প্রয়োজন। প্রথম পদক্ষেপ হলো একটি Classification Policy তৈরি করা। এই নীতিতে শ্রেণীগুলোর সংজ্ঞা, প্রতিটি শ্রেণীর জন্য handling requirements এবং দায়িত্ব নির্ধারিত হবে। নীতিটি সকল কর্মচারীর কাছে স্পষ্ট এবং বোধগম্য হতে হবে।

দ্বিতীয় পদক্ষেপ হলো Data Discovery। প্রতিষ্ঠানের কাছে কী ধরনের ডেটা আছে, কোথায় সংরক্ষিত আছে এবং কে অ্যাক্সেস করতে পারে তা চিহ্নিত করা। এটি একটি বিশাল কাজ বিশেষত বড় প্রতিষ্ঠানে যেখানে ডেটা বিভিন্ন সিস্টেম, ডাটাবেস, ফাইল শেয়ার এবং ক্লাউড সেবায় ছড়িয়ে আছে। Varonis, Microsoft Purview, BigID-এর মতো সরঞ্জাম এই কাজে সাহায্য করে।

তৃতীয় পদক্ষেপ হলো ডেটা শ্রেণিবিন্যাস নিজে। এটি manual বা automated হতে পারে। Manual পদ্ধতিতে ডেটা owner প্রতিটি dataset-কে শ্রেণিবদ্ধ করেন। Automated পদ্ধতিতে content scanning, pattern matching এবং machine learning ব্যবহার করে শ্রেণিবিন্যাস স্বয়ংক্রিয়ভাবে হয়। উদাহরণস্বরূপ, যদি কোনো ফাইলে credit card pattern থাকে, সেটি স্বয়ংক্রিয়ভাবে Confidential হিসেবে শ্রেণিবদ্ধ হয়।

চতুর্থ পদক্ষেপ হলো Labeling। প্রতিটি ডেটাকে একটি স্পষ্ট label বা tag দেওয়া। Microsoft Information Protection, Titus, Boldon James-এর মতো সরঞ্জাম এই কাজে ব্যবহৃত হয়। Label visual হতে পারে (header/footer) বা metadata হিসেবে এম্বেড করা হতে পারে।

পঞ্চম পদক্ষেপ হলো Control Implementation। প্রতিটি শ্রেণীর জন্য উপযুক্ত নিরাপত্তা নিয়ন্ত্রণ প্রয়োগ করা। Confidential ডেটায় encryption, access control এবং audit logging বাধ্যতামূলক হতে পারে। Restricted ডেটায় multi-factor authentication এবং data loss prevention প্রয়োজন।

ষষ্ঠ পদক্ষেপ হলো Training এবং Awareness। কর্মচারীদের শ্রেণিবিন্যাস ব্যবস্থা এবং তাদের দায়িত্ব সম্পর্কে শিক্ষিত করা। অনেক ক্ষেত্রে ডেটা ফাঁস ঘটে কর্মচারীদের অজ্ঞতা থেকে - তারা জানেন না যে তারা যে ডেটা পরিচালনা করছেন তা কতটা সংবেদনশীল।

সপ্তম পদক্ষেপ হলো Continuous Review। ডেটার সংবেদনশীলতা সময়ের সাথে পরিবর্তিত হতে পারে। যা একসময় Confidential ছিল তা পরে Public হতে পারে এবং বিপরীত। নিয়মিত পর্যালোচনা এবং পুনঃশ্রেণিবিন্যাস প্রয়োজন।

আধুনিক প্রতিষ্ঠানে ডেটা শ্রেণিবিন্যাস বাস্তবায়নে বিভিন্ন প্রযুক্তি কাজ করে। Data Loss Prevention বা DLP সমাধান শ্রেণিবিন্যাসের ভিত্তিতে ডেটা চলাচল নিয়ন্ত্রণ করে। Symantec DLP, Forcepoint, Microsoft Purview DLP-এর মতো সরঞ্জাম email, web, endpoint এবং cloud-এ ডেটা চলাচল পর্যবেক্ষণ করে।

Rights Management Service বা RMS সংবেদনশীল ডকুমেন্টের জন্য persistent protection প্রদান করে। Microsoft AIP এর মাধ্যমে ডকুমেন্ট encrypt থাকে এবং অনুমোদিত ব্যবহারকারী ছাড়া কেউ খুলতে পারে না। এমনকি ডকুমেন্ট ভুলে বাইরে শেয়ার হলেও অ্যাক্সেস বাধাগ্রস্ত থাকে।

Cloud Access Security Broker বা CASB ক্লাউড অ্যাপ্লিকেশনে ডেটা শ্রেণিবিন্যাস প্রয়োগ করে। Microsoft Defender for Cloud Apps, Netskope, Zscaler-এর মতো সমাধান Salesforce, SharePoint, Google Workspace, Dropbox-এর মতো ক্লাউড প্ল্যাটফর্মে শ্রেণিবিন্যাস নীতি প্রয়োগ করে।

Data Discovery and Classification সরঞ্জাম যেমন Varonis, BigID, Spirion বিভিন্ন repositories স্ক্যান করে স্বয়ংক্রিয়ভাবে সংবেদনশীল ডেটা চিহ্নিত করে। এই সরঞ্জামগুলো GDPR, HIPAA, PCI DSS এবং অন্যান্য নিয়ন্ত্রক প্রয়োজনীয়তার সাথে সম্মতি যাচাইয়ে সাহায্য করে।

Database Activity Monitoring বা DAM ডাটাবেস স্তরে শ্রেণিবিন্যাস প্রয়োগ করে। Imperva, IBM Guardium-এর মতো সমাধান সংবেদনশীল কলামের অ্যাক্সেস নিরীক্ষণ করে এবং anomaly শনাক্ত করে।

ডেটা শ্রেণিবিন্যাস বাস্তবায়নে বেশ কিছু সাধারণ চ্যালেঞ্জ রয়েছে। প্রথম চ্যালেঞ্জ হলো শ্রেণিবিন্যাসের জটিলতা। যদি অনেক বেশি শ্রেণী থাকে, কর্মচারীরা বিভ্রান্ত হন এবং ভুল শ্রেণিবিন্যাস করেন। সমাধান হলো সর্বাধিক চার বা পাঁচটি স্পষ্ট শ্রেণী রাখা এবং প্রতিটির জন্য সরল নির্দেশনা প্রদান।

দ্বিতীয় চ্যালেঞ্জ হলো legacy data। বিদ্যমান বিশাল পরিমাণ ডেটা ইতিমধ্যেই সংরক্ষিত যা শ্রেণিবদ্ধ করা প্রয়োজন। Manual শ্রেণিবিন্যাস অসম্ভব, automated সরঞ্জাম প্রয়োজন। এই প্রক্রিয়া একটি phased approach-এ পরিচালিত হওয়া উচিত - প্রথমে highest-risk repositories, তারপর ক্রমান্বয়ে অন্যগুলো।

তৃতীয় চ্যালেঞ্জ হলো কর্মচারীদের প্রতিরোধ। শ্রেণিবিন্যাস কাজের গতি কমায় এবং কর্মচারীরা প্রায়শই এটি এড়িয়ে যান বা ভুল শ্রেণিবিন্যাস করেন। সমাধান হলো প্রক্রিয়াকে যতটা সম্ভব সহজ করা, automation ব্যবহার করা এবং নিয়মিত প্রশিক্ষণ প্রদান।

চতুর্থ চ্যালেঞ্জ হলো over-classification বা under-classification। অনেক কর্মচারী সব কিছুকে Confidential হিসেবে চিহ্নিত করেন "নিরাপদ থাকার জন্য" যা শ্রেণিবিন্যাসের উদ্দেশ্য ব্যর্থ করে। অন্যরা শ্রেণিবিন্যাসকে গুরুত্ব না দিয়ে public-as default ব্যবহার করেন। সমাধান হলো clear examples এবং decision tree প্রদান।

পঞ্চম চ্যালেঞ্জ হলো cross-border data flow। বিভিন্ন দেশে বিভিন্ন ডেটা সুরক্ষা প্রয়োজনীয়তা প্রযোজ্য। Multi-national প্রতিষ্ঠানের জন্য সমন্বিত শ্রেণিবিন্যাস কাঠামো প্রয়োজন যা সব এখতিয়ারের প্রয়োজনীয়তা পূরণ করে।

বিভিন্ন প্রবিধান ডেটা শ্রেণিবিন্যাস সংক্রান্ত নির্দিষ্ট প্রয়োজনীয়তা আরোপ করে। GDPR ব্যক্তিগত ডেটার "special categories" সংজ্ঞায়িত করে যার মধ্যে স্বাস্থ্য, জাতিগত পরিচয়, রাজনৈতিক মতামত, ধর্মীয় বিশ্বাস অন্তর্ভুক্ত। এই বিশেষ শ্রেণীগুলোর জন্য কঠোর সুরক্ষা প্রয়োজন।

HIPAA Protected Health Information বা PHI সংজ্ঞায়িত করে যা স্বাস্থ্য খাতে নির্দিষ্ট নিরাপত্তা নিয়ন্ত্রণ দাবি করে। PCI DSS Cardholder Data এবং Sensitive Authentication Data-র জন্য আলাদা সুরক্ষা মান নির্ধারণ করে।

বাংলাদেশের প্রসঙ্গে, Bangladesh Bank-এর ICT সুরক্ষা গাইডলাইন আর্থিক প্রতিষ্ঠানগুলোর জন্য ডেটা শ্রেণিবিন্যাস বাধ্যতামূলক করেছে। সরকারি সংস্থাগুলো তথ্য অধিকার আইন এবং সংশ্লিষ্ট প্রবিধান অনুযায়ী ডেটা পরিচালনা করে।

ISO 27001 সরাসরি ডেটা শ্রেণিবিন্যাসের জন্য control A.8.2 প্রদান করে। NIST SP 800-60 ফেডারেল তথ্য এবং সিস্টেম শ্রেণিবিন্যাসের জন্য নির্দেশনা প্রদান করে।

একটি বাংলাদেশি ব্যাংক কীভাবে ডেটা শ্রেণিবিন্যাস বাস্তবায়ন করতে পারে তা বিবেচনা করি। তারা চার-স্তর মডেল গ্রহণ করতে পারে। Public-এ থাকবে পণ্যের তথ্য, শাখা ঠিকানা। Internal-এ থাকবে কর্মচারী নির্দেশিকা, internal procedure। Confidential-এ থাকবে গ্রাহকের অ্যাকাউন্ট তথ্য, লেনদেন রেকর্ড। Restricted-এ থাকবে ক্রিপ্টোগ্রাফিক চাবি, fraud investigation রিপোর্ট।

প্রতিটি শ্রেণীর জন্য নির্দিষ্ট control প্রয়োগ করা হবে। Confidential ডেটায় encryption at rest এবং in transit, role-based access, audit logging বাধ্যতামূলক। Restricted ডেটায় additional MFA, HSM-stored keys, এবং strict segregation of duties প্রয়োজন।

স্বাস্থ্য খাতে একটি হাসপাতাল PHI কে সর্বোচ্চ শ্রেণীতে শ্রেণিবদ্ধ করতে পারে। রোগীর diagnosis, lab results, treatment records-এর জন্য কঠোর অ্যাক্সেস নিয়ন্ত্রণ, EMR-এ encryption, এবং break-glass procedures প্রয়োজন।