Märkus.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
Kehtib hästi läbimõeldud turvalisuse kontrollnimekirja soovituse kohta: Power Platform
| SE:03 | Klassifitseerige ja rakendage järjepidevalt tundlikkussilte kõigile andmetöötlusega seotud töökoormuse andmetele ja süsteemidele. Kasutage klassifitseerimist, et mõjutada töökoormuse kujundamist, juurutamist ja turbe prioriseerimist. |
|---|
See juhend annab soovitusi andmete klassifitseerimiseks nende tundlikkuse alusel. Eri tüüpi andmetel on erinev tundlikkuse tase ja enamik töökoormusi talletab erinevat tüüpi andmeid. Andmete liigitamine aitab teil andmeid kategoriseerida selle järgi, kui tundlikud need on, millist teavet need sisaldavad ja milliseid vastavusreegleid nad peavad järgima. Nii saate rakendada õiget kaitsetaset (nt juurdepääsu juhtelemente, erinevate teabetüüpide säilituspoliitikaid jne).
Mõisted
| Mõiste | Määratlus |
|---|---|
| Klassifikatsioon | Protsess töökoormuse varade kategoriseerimiseks tundlikkustasemete, teabe tüübi, vastavusnõuete ja muude organisatsiooni pakutavate kriteeriumide järgi. |
| Metaandmed | Rakendus taksonoomia rakendamiseks varadele. |
| Taksonoomia | Süsteem salastatud andmete korraldamiseks kokkulepitud struktuuri abil. Tavaliselt andmete klassifitseerimise hierarhiline kujutis. See on nimetanud üksusi, mis näitavad kategoriseerimiskriteeriume. |
Peamised disainistrateegiad
Andmete klassifitseerimine aitab teil turbetagatisi õigesti mõõta ja aitab triaažimeeskonnal intsidentidele reageerimise ajal avastamist kiirendada. Projekteerimisprotsessi eeltingimuseks on selgelt aru saada, kas andmeid tuleks käsitleda konfidentsiaalsena, piiratuna, avalikult või mõne muu tundlikkuse klassifikatsioonina. Samuti on oluline määrata andmete salvestamise asukohad, kuna andmed võivad olla jaotatud mitme keskkonna vahel. Teades, kus andmeid hoitakse, saate kujundada strateegia, mis vastab turvanõuetele.
Andmete klassifitseerimine võib olla tüütu ülesanne. Saate kasutada tööriistu, mis otsivad andmevarasid ja soovitavad klassifikatsioone. Kuid ärge sõltuge ainult tööriistadest. Veenduge, et teie meeskonnaliikmed teeksid harjutusi hoolikalt. Seejärel kasutage automatiseerimiseks tööriistu, kui see on mõistlik.
Lisaks nendele headele tavadele vaadake teemat Hästi kujundatud andmete klassifitseerimise raamistiku loomine.
Organisatsiooni määratletud taksonoomia mõistmine
Taksonoomia on andmete klassifitseerimise hierarhiline kujutis. Sellel on nimelised üksused, mis näitavad kategoriseerimiskriteeriume.
Erinevatel organisatsioonidel võivad olla erinevad andmete klassifitseerimise raamistikud; Tavaliselt koosnevad need aga kolmest kuni viiest tasemest koos nimede, kirjelduste ja näidetega. Siin on mõned andmete klassifitseerimise taksonoomia näited.
| Tundlikkus | Teabe tüüp | Kirjeldus |
|---|---|---|
| Avalik | Avalikud turundusmaterjalid, teie veebisaidil kättesaadav teave | Teave, mis on vabalt kättesaadav ja mitte tundlik |
| Sisemine | Teie organisatsiooniga seotud poliitikad, protseduurid või eelarved | Konkreetse organisatsiooniga seotud teave |
| Konfidentsiaalne | Ärisaladused, kliendiandmed või lõplikud dokumendid | Tundlik ja kaitset vajav teave |
| Väga konfidentsiaalne | Tundlik isikut tuvastav teave (tundlik PII), kaardiomaniku andmed, kaitstud terviseteave (PHI), pangakonto andmed | Teave, mis on väga tundlik ja nõuab kõrgeimat turvalisuse taset. Võib nõuda juriidilisi teateid, kui neid rikutakse või muul viisil avalikustatakse. |
Oluline
Töökoormuse omanikuna peaksite järgima taksonoomiat, mille teie organisatsioon on kehtestanud. Kõik töökoormuse rollid peaksid nõustuma tundlikkustasemete struktuuri, nimede ja tähendustega. Ärge looge oma klassifitseerimissüsteemi.
Klassifikatsiooni ulatuse määratlemine
Enamikul organisatsioonidel on mitmekesine siltide komplekt.
Veenduge, et teaksite, millised andmevarad ja komponendid kuuluvad igasse tundlikkustasemesse ja millised mitte. Eesmärk võib olla kiirem tõrkeotsing, kiirem katastroofide taastamine või juriidilised auditid. Kui teate oma eesmärki hästi, aitab see teil klassifitseerimistööd korralikult teha.
Alustage nende lihtsate küsimustega ja laiendage vastavalt vajadusele vastavalt oma süsteemi keerukusele.
- Mis on andmete ja teabetüübi päritolu?
- Milline on eeldatav juurdepääsul põhinev piirang? Näiteks kas see on avalik teave, andmed, regulatiivsed või muud eeldatavad kasutusjuhtumid?
- Milline on andmete jalajälg? Kus andmeid hoitakse? Kui kaua tuleks andmeid säilitada?
- Millised arhitektuuri komponendid suhtlevad andmetega?
- Kuidas andmed süsteemis liiguvad?
- Millist teavet auditiaruannetes oodatakse?
- Kas peate tootmiseelseid andmeid klassifitseerima?
Andmehoidlate inventuur
Andmete klassifitseerimine kehtib süsteemi kui terviku kohta. Tehke inventuur kõigist ulatuses olevatest andmesalvestitest ja komponentidest. Kui kavandate uut süsteemi, veenduge, et teil oleks esialgne kategoriseerimine taksonoomia definitsioonide järgi. Mõelge, kuidas andmed teie süsteemis komponentide vahel liiguvad, ja veenduge, et andmed ei ületaks andmete klassifitseerimise piire.
Mõelge, kuidas andmetega ühendust luua.
Uued andmed: kui teie töökoormus genereerib uusi andmeid, mida varem kuhugi ei salvestatud, näiteks paberkandjal protsessilt üleminekul, soovitame need andmed Microsoft Dataverse salvestada. Seejärel saate Microsoft Purview Microsoft Dataverse kaudu andmeid ühendada ja hallata.
Lugemine/kirjutamine olemasolevast süsteemist: kui teie töökoormus peab looma ühenduse juba olemasolevate andmetega, peate kujundama, kuidas olemasolevat andmebaasi või süsteemi lugeda ja kirjutada. Saate kasutada virtuaalseid tabeleid, luua andmetega ühenduse konnektorite, andmevoogude kaudu või kasutada kohapealsete andmete jaoks kohapealset lüüsi.
Määratlege oma ulatus
Olge ulatuse määratlemisel üksikasjalik ja selgesõnaline. Oletame, et teie andmesalv on tabelsüsteem. Soovite klassifitseerida tundlikkuse tabeli tasemel või isegi tabeli veergudes. Samuti laiendage kindlasti klassifikatsiooni mitteandmesalve komponentidele, mis võivad olla seotud või olla seotud andmete töötlemisega. Näiteks kas olete klassifitseerinud oma väga tundliku andmesalve varukoopia? Kui salvestate vahemällu kasutajatundlikke andmeid, kas vahemällu salvestamise andmesalv on ulatuses? Kui kasutate analüütilisi andmesalve, siis kuidas koondandmeid klassifitseeritakse?
Disain vastavalt klassifikatsioonimärgistele
Klassifikatsioon peaks mõjutama teie arhitektuurilisi otsuseid. Kõige ilmsem valdkond on teie segmenteerimisstrateegia, mis peaks arvestama erinevate klassifikatsioonisiltidega.
Salastatuse teave peaks liikuma koos andmetega, kui need liiguvad läbi süsteemi ja töökoormuse komponentide vahel. Konfidentsiaalsena märgistatud andmeid peaksid käsitlema konfidentsiaalsena kõik komponendid, mis nendega suhtlevad. Näiteks kaitske kindlasti isikuandmeid, eemaldades või hägustades need igasugustest rakenduste logidest.
Klassifikatsioon mõjutab teie aruande kujundust nii, nagu andmed peaksid olema nähtavad. Näiteks kas peate teabetüübi siltide põhjal rakendama hägustamiseks andmete maskeerimise algoritmi teabetüübi sildi tulemusena? Millistel rollidel peaks olema nähtavus toorandmetest ja varjatud andmetest? Kui aruandlusele on kehtestatud vastavusnõuded, siis kuidas kaardistatakse andmed määruste ja standarditega? Kui teil on see arusaam, on lihtsam näidata vastavust konkreetsetele nõuetele ja koostada audiitoritele aruandeid.
See mõjutab ka andmete elutsükli haldamise toiminguid, nagu andmete säilitamise ja kasutusest kõrvaldamise ajakavad.
Taksonoomia rakendamine päringute tegemiseks
Tuvastatud andmetele taksonoomiasiltide rakendamiseks on palju võimalusi. Klassifitseerimisskeemi kasutamine koos metaandmetega on kõige levinum viis siltide tähistamiseks. Arhitektuuri kujundamise protsess peaks hõlmama skeemi kujundamist.
Pidage meeles, et kõiki andmeid ei saa selgelt klassifitseerida. Tehke selgesõnaline otsus selle kohta, kuidas tuleks aruandluses esitada andmeid, mida ei saa klassifitseerida.
Tegelik rakendamine sõltub ressursside liigist. Teie töökoormuse tarbitavad Power Platform andmed võivad pärineda väljaspool asuvatest andmeallikatest Power Platform. Teie skeem peaks sisaldama üksikasju selle kohta, kuidas erinevatest andmeallikatest pärit andmed töökoormuse kaudu liiguvad või kuidas need potentsiaalselt ühest andmesalvest teise üle kantakse, säilitades samal ajal klassifikatsiooni terviklikkuse.
Teatud Azure’i ressurssidel on sisseehitatud klassifitseerimissüsteemid. Näiteks Azure SQL Serveril on klassifitseerimismootor, see toetab dünaamilist maskeerimist ja suudab luua metaandmete põhjal aruandeid. Microsoft Teams, rühmadele Microsoft 365 ja SharePoint saitidele saab konteineri tasemel rakendada tundlikkussilte. Microsoft Dataverse integreerub Microsoft Purview’ga andmesiltide rakendamiseks.
Rakenduse kavandamisel hinnake platvormi toetatavaid funktsioone ja kasutage neid ära. Veenduge, et klassifitseerimiseks kasutatavad metaandmed oleksid isoleeritud ja salvestatud andmesalvestitest eraldi.
Samuti on olemas spetsiaalsed klassifitseerimistööriistad, mis suudavad silte automaatselt tuvastada ja rakendada. Need tööriistad on ühendatud teie andmeallikatega. Microsoft Purview’l on automaatse tuvastamise võimalused. On ka kolmanda osapoole tööriistu, mis pakuvad sarnaseid võimalusi. Avastamisprotsess tuleks kinnitada käsitsi kontrollimise teel.
Vaadake regulaarselt üle andmete klassifikatsioon. Klassifikatsiooni hooldus peaks olema toimingutesse sisse ehitatud, vastasel juhul võivad aegunud metaandmed viia tuvastatud eesmärkide ja vastavusprobleemide ekslike tulemusteni.
Kompromiss: pidage meeles tööriistade kulude kompromissi. Klassifitseerimisvahendid nõuavad koolitust ja võivad olla keerulised.
Lõppkokkuvõttes peab klassifikatsioon jõudma organisatsioonini kesksete meeskondade kaudu. Hankige neilt sisendit eeldatava aruande struktuuri kohta. Samuti kasutage ära tsentraliseeritud tööriistu ja protsesse, et tagada organisatsiooni ühtlustamine ja ka tegevuskulude leevendamine.
Power Platform Hõlbustamine
Klassifikatsioon peaks mõjutama teie arhitektuurilisi otsuseid.
Microsoft Purview pakub ülevaadet andmevaradest kogu teie organisatsioonis. Lisateabe saamiseks vaadake jaotist Lisateave Microsoft Purview kohta.
Microsoft Purview andmekaart võimaldab automatiseeritud andmetuvastust ja delikaatsete andmete klassifitseerimist. Microsoft Purview ja Microsoft Dataverse Microsoft Purview vaheline integratsioon aitab teil paremini mõista ja hallata oma ärirakenduste andmevara, kaitsta neid andmeid ning parandada nende riski- ja vastavusseisundit.
Selle integratsiooni abil saate:
- Saate luua tervikliku ja ajakohase andmekaardi 365 Microsoft Dynamics ja muude Microsoft Purview toetatud allikate kohta Power Platform.
- Klassifitseerige andmevarad automaatselt sisseehitatud süsteemiklassifikatsioonide või kasutaja määratletud kohandatud klassifikatsioonide alusel, et aidata tuvastada ja mõista delikaatseid andmeid.
- Andke andmetarbijatele võimalus leida väärtuslikke ja usaldusväärseid andmeid.
- Võimaldage andmekuraatoritel ja turbeadministraatoritel hallata ja hoida andmevara turvalisena, vähendada andmete kokkupuudet ja kaitsta paremini delikaatseid andmeid.
Lisateavet leiate teemast Microsoft Purview’ga Microsoft Dataverse ühenduse loomine ja haldamine.
Organisatsiooni joondamine
Pilvkasutuse raamistik annab kesksetele meeskondadele juhiseid andmete klassifitseerimiseks, et töökoormuse meeskonnad saaksid organisatsiooni taksonoomiat järgida.
Lisateabe saamiseks vaadake teemat Mis on andmete liigitamine?
Seotud teave
- Andmete klassifitseerimine ja tundlikkusmärgise taksonoomia
- Looge hästi läbimõeldud andmete klassifitseerimise raamistik
- Microsoft Purview’ga ühenduse loomine ja haldamine Microsoft Dataverse
Turvalisuse kontroll-loend
Vaadake kõiki soovitusi.