Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Aplícase á recomendación da lista de verificación de seguridade ben arquitectada Power Platform :
| SE:03 | Clasificar e aplicar de forma consistente etiquetas de sensibilidade en todos os datos da carga de traballo e sistemas implicados no procesamento de datos. Empregar a clasificación para influír no deseño, a implementación e a priorización da seguridade da carga de traballo. |
|---|
Esta guía ofrece recomendacións para clasificar os datos segundo a súa sensibilidade. Os diferentes tipos de datos teñen diferentes niveis de sensibilidade e a maioría das cargas de traballo almacenan varios tipos de datos. A clasificación de datos axúdache a categorizar os datos segundo a súa sensibilidade, o tipo de información que conteñen e as normas de cumprimento que deben cumprir. Deste xeito, podes aplicar o nivel de protección axeitado, como controis de acceso, políticas de retención para diferentes tipos de información, etc.
Definicións
| Termo | Definición |
|---|---|
| Clasificación | Un proceso para categorizar os activos de carga de traballo por niveis de sensibilidade, tipo de información, requisitos de cumprimento e outros criterios proporcionados pola organización. |
| Metadatos | Unha implementación para aplicar a taxonomía aos activos. |
| Taxonomía | Un sistema para organizar datos clasificados mediante unha estrutura acordada. Normalmente, unha representación xerárquica da clasificación de datos. Ten entidades nomeadas que indican criterios de categorización. |
Estratexias clave de deseño
A clasificación de datos axúdache a dimensionar correctamente as garantías de seguridade e axuda ao equipo de triaxe a acelerar o descubrimento durante a resposta a incidentes. Un requisito previo para o proceso de deseño é comprender claramente se os datos deben tratarse como confidenciais, restrinxidos, públicos ou calquera outra clasificación de sensibilidade. Tamén é fundamental determinar as localizacións onde se almacenan os datos, xa que estes poden estar distribuídos en varios entornos. Coñecendo onde se almacenan os datos, podes deseñar unha estratexia que cumpra os requisitos de seguridade.
Clasificar datos pode ser unha tarefa tediosa. Podes usar ferramentas que poden atopar activos de datos e recomendar clasificacións. Pero non dependas só das ferramentas. Asegúrate de que os membros do teu equipo fagan os exercicios con coidado. Despois, usa ferramentas para automatizar cando teña sentido.
Xunto con estas prácticas recomendadas, consulta Crear un marco de clasificación de datos ben deseñado.
Comprender a taxonomía definida pola organización
A taxonomía é unha representación xerárquica da clasificación de datos. Ten entidades nomeadas que indican os criterios de categorización.
As diferentes organizacións poden ter marcos de clasificación de datos diferentes; non obstante, adoitan constar de tres a cinco niveis con nomes, descricións e exemplos. Aquí tes algúns exemplos de taxonomía de clasificación de datos:
| Confidencialidade | Tipo de información | Descripción |
|---|---|---|
| Pública | Material de mercadotecnia pública, información dispoñible no seu sitio web | Información de acceso libre e non sensible |
| Interna | Políticas, procedementos ou orzamentos relacionados coa súa organización | Información relacionada cunha organización específica |
| Confidencial | Segredos comerciais, datos de clientes ou rexistros finais | Información sensible que require protección |
| Altamente confidencial | Información persoal identificable sensible (PII sensible), datos do titular da tarxeta, información médica protexida (PHI), datos de contas bancarias | Información moi sensible que require o máximo nivel de seguridade. Pode requirir notificacións legais en caso de incumprimento ou divulgación doutro xeito. |
Importante
Como propietario da carga de traballo, debes seguir a taxonomía que estableceu a túa organización. Todos os roles da carga de traballo deben estar de acordo na estrutura, os nomes e os significados dos niveis de sensibilidade. Non crees o teu propio sistema de clasificación.
Definir o ámbito de clasificación
A maioría das organizacións teñen un conxunto diverso de etiquetas.
Asegúrate de saber que activos de datos e compoñentes pertencen a cada nivel de sensibilidade e cales non. O obxectivo podería ser unha resolución de problemas máis rápida, unha recuperación ante desastres máis rápida ou auditorías legais. Cando coñeces ben o teu obxectivo, axúdache a facer o teu traballo de clasificación correctamente.
Comeza con estas preguntas sinxelas e amplía segundo sexa necesario en función da complexidade do teu sistema:
- Cal é a orixe dos datos e dos tipos de información?
- Cal é a restrición prevista en función do acceso? Por exemplo, trátase de datos de información pública, regulamentarios ou outros casos de uso previstos?
- Cal é a pegada de datos? Onde se almacenan os datos? Canto tempo deben conservarse os datos?
- Que compoñentes da arquitectura interactúan cos datos?
- Como se moven os datos a través do sistema?
- Que información se espera nos informes de auditoría?
- Necesitas clasificar os datos de preprodución?
Fai un inventario dos teus almacéns de datos
A clasificación de datos aplícase ao sistema no seu conxunto. Fai un inventario de todos os almacéns de datos e compoñentes que estean dentro do alcance. Se estás a deseñar un sistema novo, asegúrate de ter unha categorización inicial segundo as definicións de taxonomía. Pensa en como fluirán os datos a través do teu sistema entre os compoñentes e asegúrate de que os datos non crucen os límites de clasificación de datos.
Considera como te conectarás aos datos:
Novos datos: Se a carga de traballo xera novos datos que non estaban almacenados previamente en ningún lugar, como ao pasar dun proceso baseado en papel, suxerímoslle que os almacene en Microsoft Dataverse. Entón podes conectar e xestionar Microsoft Dataverse datos a través de Microsoft Purview.
Ler/escribir desde un sistema existente Se a carga de traballo precisa conectarse a datos que xa existen, debes deseñar como ler e escribir na base de datos ou sistema existente. Podes usar táboas virtuais, conectarte aos datos mediante conectores, fluxos de datos ou usar unha pasarela local para datos locais.
Define o teu alcance
Sexa granular e explícito ao definir o alcance. Supoñamos que o seu almacén de datos é un sistema tabular. Queres clasificar a sensibilidade a nivel de táboa ou mesmo nas columnas dentro da táboa. Ademais, asegúrate de estender a clasificación a compoñentes que non sexan do almacén de datos e que poidan estar relacionados ou ter unha parte no procesamento dos datos. Por exemplo, clasificaches a copia de seguridade do teu almacén de datos altamente sensibles? Se estás a almacenar na caché datos confidenciais do usuario, o almacén de datos de almacenamento na caché está dentro do ámbito? Se empregas almacéns de datos analíticos, como se clasifican os datos agregados?
Deseño segundo as etiquetas de clasificación
A clasificación debería influír nas túas decisións arquitectónicas. A área máis obvia é a túa estratexia de segmentación, que debería ter en conta as diversas etiquetas de clasificación.
A información de clasificación debe moverse cos datos a medida que estes transitan polo sistema e en todos os compoñentes da carga de traballo. Os datos etiquetados como confidenciais deben ser tratados como confidenciais por todos os compoñentes que interactúan con eles. Por exemplo, asegúrate de protexer os datos persoais eliminándoos ou ofuscándoos de calquera tipo de rexistros de aplicacións.
A clasificación afecta o deseño do teu informe na forma en que se deben expoñer os datos. Por exemplo, en función das etiquetas do tipo de información, necesitas aplicar un algoritmo de enmascaramento de datos para a ofuscación como resultado da etiqueta do tipo de información? Que roles deberían ter visibilidade dos datos brutos fronte aos datos enmascarados? Se existen requisitos de cumprimento para a presentación de informes, como se relacionan os datos coas regulacións e estándares? Cando se ten esta comprensión, é máis doado demostrar o cumprimento de requisitos específicos e xerar informes para os auditores.
Tamén afecta ás operacións de xestión do ciclo de vida dos datos, como a retención de datos e os programas de desmantelamento.
Aplicar a taxonomía para as consultas
Hai moitas maneiras de aplicar etiquetas de taxonomía aos datos identificados. Empregar un esquema de clasificación con metadatos é o xeito máis común de indicar as etiquetas. O proceso de deseño da arquitectura debe incluír o deseño do esquema.
Ten en conta que non todos os datos poden clasificarse con claridade. Toma unha decisión explícita sobre como se deben representar nos informes os datos que non se poden clasificar.
A implementación real depende do tipo de recursos. Os datos consumidos pola túa Power Platform carga de traballo poden proceder de fontes de datos externas a Power Platform. O seu esquema debe incluír detalles sobre como os datos de diferentes fontes de datos se moven a través da carga de traballo ou como se transfiren potencialmente dun almacén de datos a outro, mantendo ao mesmo tempo a integridade da clasificación.
Certos recursos de Azure teñen sistemas de clasificación integrados. Por exemplo, Azure SQL Server ten un motor de clasificación, admite o enmascaramento dinámico e pode xerar informes baseados en metadatos. Microsoft Teams, Microsoft 365 grupos e SharePoint sitios poden ter etiquetas de sensibilidade aplicadas a nivel de contedor. Microsoft Dataverse intégrase con Microsoft Purview para aplicar etiquetas de datos.
Ao deseñar a implementación, avalíe as funcionalidades compatibles coa plataforma e aprovéiteas. Asegúrate de que os metadatos empregados para a clasificación estean illados e almacenados por separado dos almacéns de datos.
Tamén existen ferramentas de clasificación especializadas que poden detectar e aplicar etiquetas automaticamente. Estas ferramentas están conectadas ás túas fontes de datos. Microsoft Purview ten capacidades de detección automática. Tamén hai ferramentas de terceiros que ofrecen capacidades semellantes. O proceso de descubrimento debe validarse mediante verificación manual.
Revisar a clasificación dos datos con regularidade. O mantemento da clasificación debe integrarse nas operacións; se non, os metadatos obsoletos poden levar a resultados erróneos para os obxectivos identificados e a problemas de cumprimento.
Compromiso: Ten en conta o compromiso de custos nas ferramentas. As ferramentas de clasificación requiren adestramento e poden ser complexas.
En última instancia, a clasificación debe chegar á organización a través dos equipos centrais. Obtén a súa opinión sobre a estrutura esperada do informe. Ademais, aproveita as ferramentas e os procesos centralizados para ter aliñamento organizativo e tamén aliviar os custos operativos.
Power Platform facilitación
A clasificación debería influír nas túas decisións arquitectónicas.
Microsoft Purview proporciona visibilidade dos activos de datos en toda a súa organización. Para obter máis información, consulte Máis información sobre Microsoft Purview.
O mapa de datos de Microsoft Purview permite a detección automatizada de datos e a clasificación de datos confidenciais. A integración entre Microsoft Purview e Microsoft Dataverse axudarache a comprender e gobernar mellor o patrimonio de datos das túas aplicacións empresariais, protexer eses datos e mellorar a súa postura de risco e cumprimento.
Con esta integración, podes:
- Crea un mapa de datos holístico e actualizado en Microsoft Dynamics 365, Power Platform e outras fontes compatibles con Microsoft Purview.
- Clasifica automaticamente os activos de datos segundo as clasificacións integradas do sistema ou as clasificacións personalizadas definidas polo usuario para axudar a identificar e comprender os datos confidenciais.
- Capacitar aos consumidores de datos para descubrir datos valiosos e fiables.
- Permite que os conservadores de datos e os administradores de seguridade xestionen e manteñan seguro o patrimonio de datos, reduza a exposición dos datos e protexa mellor os datos confidenciais.
Para obter máis información, consulte Conectar e xestionar Microsoft Dataverse en Microsoft Purview.
Aliñamento organizativo
O marco de adopción da nube ofrece orientación para os equipos centrais sobre como clasificar os datos para que os equipos de carga de traballo poidan seguir a taxonomía organizativa.
Para obter máis información, consulte Que é a clasificación de datos?
Información relacionada
- Clasificación de datos e taxonomía de etiquetas de sensibilidade
- Crear un marco de clasificación de datos ben deseñado
- Conectar e xestionar Microsoft Dataverse en Microsoft Purview
Lista de verificación de seguridade
Consulta o conxunto completo de recomendacións.