Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
Se aplică recomandării listei de verificare pentru o securitate bine arhitecturată: Power Platform
| SE:03 | Clasificați și aplicați în mod consecvent etichete de sensibilitate pe toate datele sarcinii de lucru și pe sistemele implicate în procesarea datelor. Folosește clasificarea pentru a influența proiectarea, implementarea și prioritizarea sarcinilor de lucru. |
|---|
Acest ghid oferă recomandări pentru clasificarea datelor în funcție de sensibilitatea lor. Diferite tipuri de date au niveluri diferite de sensibilitate, iar majoritatea sarcinilor de lucru stochează diverse tipuri de date. Clasificarea datelor vă ajută să clasificați datele în funcție de cât de sensibile sunt, ce fel de informații conțin și ce reguli de conformitate trebuie să respecte. În acest fel, puteți aplica nivelul potrivit de protecție, cum ar fi controalele de acces, politicile de păstrare pentru diferite tipuri de informații și așa mai departe.
Definiții
| Termen | Definiție |
|---|---|
| Clasificare | Un proces de clasificare a activelor de lucru după nivelurile de sensibilitate, tipul de informații, cerințele de conformitate și alte criterii furnizate de organizație. |
| Metadate | O implementare pentru aplicarea taxonomiei la active. |
| Taxonomie | Un sistem de organizare a datelor clasificate utilizând o structură convenită de comun acord. De obicei, o reprezentare ierarhică a clasificării datelor. Are entități denumite care indică criterii de categorizare. |
Strategii cheie de design
Clasificarea datelor vă ajută să dimensionați corect garanțiile de securitate și ajută echipa de triaj să accelereze descoperirea în timpul răspunsului la incidente. O condiție prealabilă pentru procesul de proiectare este înțelegerea clară a faptului dacă datele ar trebui tratate ca fiind confidențiale, restricționate, publice sau în orice altă clasificare a sensibilității. De asemenea, este esențial să se determine locațiile în care sunt stocate datele, deoarece acestea pot fi distribuite în mai multe medii. Cunoscând locul în care sunt stocate datele, puteți concepe o strategie care să răspundă cerințelor de securitate.
Clasificarea datelor poate fi o sarcină plictisitoare. Puteți utiliza instrumente care pot găsi resurse de date și pot recomanda clasificări. Dar nu te baza doar pe unelte. Asigurați-vă că membrii echipei dumneavoastră fac exercițiile cu atenție. Apoi folosește instrumente pentru automatizare atunci când are sens.
Pe lângă aceste bune practici, consultați Creați un cadru de clasificare a datelor bine conceput.
Înțelegerea taxonomiei definite de organizație
Taxonomia este o reprezentare ierarhică a clasificării datelor. Are entități denumite care indică criteriile de categorizare.
Organizațiile diferite pot avea cadre de clasificare a datelor diferite; cu toate acestea, acestea constau de obicei din trei până la cinci niveluri cu nume, descrieri și exemple. Iată câteva exemple de taxonomie pentru clasificarea datelor:
| Sensibilitate | Tipul de informații | Descriere |
|---|---|---|
| Publică | Materiale de marketing publice, informații disponibile pe site-ul dvs. web | Informații accesibile gratuit și nesensibile |
| Internă | Politici, proceduri sau bugete care se referă la organizația dumneavoastră | Informații care se referă la o anumită organizație |
| Confidențial | Secrete comerciale, date despre clienți sau înregistrări finale | Informații sensibile care necesită protecție |
| Extrem de confidențial | Informații personale sensibile de identificare (PII sensibile), date despre titularul cardului, informații medicale protejate (PHI), date despre contul bancar | Informații extrem de sensibile care necesită cel mai înalt nivel de securitate. Poate necesita notificări legale în caz de încălcare sau divulgare în alt mod. |
Important
Ca proprietar al sarcinii de lucru, ar trebui să urmați taxonomia stabilită de organizația dumneavoastră. Toate rolurile din sarcina de lucru ar trebui să fie de acord asupra structurii, denumirilor și semnificațiilor nivelurilor de sensibilitate. Nu-ți crea propriul sistem de clasificare.
Definiți domeniul de aplicare al clasificării
Majoritatea organizațiilor au un set divers de etichete.
Asigurați-vă că știți ce active și componente de date aparțin fiecărui nivel de sensibilitate și care nu. Scopul ar putea fi depanarea mai rapidă a problemelor, recuperarea mai rapidă în caz de dezastru sau audituri legale. Când îți cunoști bine obiectivul, te ajută să-ți faci corect munca de clasificare.
Începeți cu aceste întrebări simple și extindeți după cum este necesar, în funcție de complexitatea sistemului dumneavoastră:
- Care este originea tipurilor de date și informații?
- Care este restricția așteptată în funcție de acces? De exemplu, este vorba de date cu informații publice, reglementări sau alte cazuri de utilizare așteptate?
- Care este amprenta datelor? Unde sunt stocate datele? Cât timp ar trebui păstrate datele?
- Ce componente ale arhitecturii interacționează cu datele?
- Cum se deplasează datele prin sistem?
- Ce informații sunt așteptate în rapoartele de audit?
- Trebuie să clasificați datele de preproducție?
Faceți inventarul depozitelor dvs. de date
Clasificarea datelor se aplică sistemului în ansamblu. Inventarierea tuturor depozitelor de date și componentelor care sunt incluse în domeniul de aplicare. Dacă proiectați un sistem nou, asigurați-vă că aveți o clasificare inițială pe baza definițiilor taxonomiei. Gândiți-vă la modul în care datele vor circula prin sistemul dvs. între componente și asigurați-vă că acestea nu depășesc limitele de clasificare a datelor.
Luați în considerare modul în care vă veți conecta la date:
Date noi Dacă volumul de lucru generează date noi care nu au fost stocate anterior nicăieri, cum ar fi la trecerea de la un proces bazat pe hârtie, vă sugerăm să stocați aceste date în Microsoft Dataverse. Poți apoi conectați și gestionați Microsoft Dataverse date prin Microsoft Purview.
Citire/scriere dintr-un sistem existent Dacă volumul de lucru trebuie să se conecteze la date care există deja, trebuie să proiectați modul de citire și scriere în baza de date sau sistemul existent. Puteți utiliza tabele virtuale, vă puteți conecta la date prin conectori, fluxuri de date sau puteți utiliza un gateway local pentru date locale.
Definiți domeniul de aplicare
Fiți granulari și expliciți atunci când definiți domeniul de aplicare. Să presupunem că depozitul dvs. de date este un sistem tabelar. Doriți să clasificați sensibilitatea la nivel de tabel sau chiar la nivel de coloane din tabel. De asemenea, asigurați-vă că extindeți clasificarea la componente care nu sunt din depozitul de date și care ar putea fi legate sau ar putea avea un rol în procesarea datelor. De exemplu, ați clasificat copia de rezervă a depozitului dvs. de date extrem de sensibile? Dacă stocați în cache date sensibile ale utilizatorilor, este inclus și depozitul de date din cache? Dacă utilizați depozite de date analitice, cum sunt clasificate datele agregate?
Proiectare conform etichetelor de clasificare
Clasificarea ar trebui să influențeze deciziile dumneavoastră arhitecturale. Cea mai evidentă zonă este strategia dvs. de segmentare, care ar trebui să ia în considerare diversele etichete de clasificare.
Informațiile de clasificare ar trebui să se miște odată cu datele pe măsură ce acestea tranzitează sistemul. și între componentele volumului de muncă. Datele etichetate ca fiind confidențiale ar trebui tratate ca fiind confidențiale de către toate componentele care interacționează cu acestea. De exemplu, asigurați-vă că protejați datele personale prin eliminarea sau ofuscarea acestora din orice tip de jurnal al aplicației.
Clasificarea influențează designul raportului dumneavoastră în modul în care datele ar trebui expuse. De exemplu, pe baza etichetelor tipului de informații, trebuie să aplicați un algoritm de mascare a datelor pentru ofuscare ca urmare a etichetei tipului de informații? Ce roluri ar trebui să aibă vizibilitate asupra datelor brute față de datele mascate? Dacă există cerințe de conformitate pentru raportare, cum sunt datele mapate în conformitate cu reglementările și standardele? Când aveți această înțelegere, este mai ușor să demonstrați conformitatea cu cerințe specifice și să generați rapoarte pentru auditori.
De asemenea, are impact asupra operațiunilor de gestionare a ciclului de viață al datelor, cum ar fi programele de păstrare a datelor și de dezafectare.
Aplicați taxonomia pentru interogare
Există multe modalități de a aplica etichete de taxonomie datelor identificate. Utilizarea unei scheme de clasificare cu metadate este cea mai comună modalitate de a indica etichetele. Procesul de proiectare a arhitecturii ar trebui să includă proiectarea schemei.
Rețineți că nu toate datele pot fi clasificate în mod clar. Luați o decizie explicită cu privire la modul în care datele care nu pot fi clasificate ar trebui reprezentate în raportare.
Implementarea propriu-zisă depinde de tipul de resurse. Datele consumate de sarcina dvs. de lucru pot proveni din surse de date din afara Power Platform ... Power Platform Schema dumneavoastră ar trebui să includă detalii despre modul în care datele din diferite surse de date se deplasează prin volumul de lucru sau sunt potențial transferate dintr-un depozit de date în altul, menținând în același timp integritatea clasificării.
Anumite resurse Azure au sisteme de clasificare încorporate. De exemplu, Azure SQL Server are un motor de clasificare, acceptă mascare dinamică și poate genera rapoarte bazate pe metadate. Microsoft Teams, Microsoft 365 grupurilor și SharePoint site-urilor li se pot aplica etichete de sensibilitate la nivel de container. Microsoft Dataverse se integrează cu Microsoft Purview pentru a aplica etichete de date.
Când proiectați implementarea, evaluați caracteristicile acceptate de platformă și profitați de ele. Asigurați-vă că metadatele utilizate pentru clasificare sunt izolate și stocate separat de depozitele de date.
Există, de asemenea, instrumente specializate de clasificare care pot detecta și aplica etichete automat. Aceste instrumente sunt conectate la sursele dvs. de date. Microsoft Purview are funcții de descoperire automată. Există, de asemenea, instrumente terțe care oferă capabilități similare. Procesul de descoperire ar trebui validat prin verificare manuală.
Revizuiți clasificarea datelor în mod regulat. Întreținerea clasificării ar trebui integrată în operațiuni, altfel metadatele învechite pot duce la rezultate eronate pentru obiectivele identificate și la probleme de conformitate.
Compromis: Fiți atenți la compromisul de cost al sculelor. Instrumentele de clasificare necesită instruire și pot fi complexe.
În cele din urmă, clasificarea trebuie să ajungă la nivelul organizației prin intermediul echipelor centrale. Cereți-le păreri despre structura așteptată a raportului. De asemenea, profitați de instrumentele și procesele centralizate pentru a obține o aliniere organizațională și, de asemenea, pentru a reduce costurile operaționale.
Power Platform facilitare
Clasificarea ar trebui să influențeze deciziile dumneavoastră arhitecturale.
Microsoft Purview oferă vizibilitate asupra activelor de date din întreaga organizație. Pentru mai multe informații, consultați Aflați mai multe despre Microsoft Purview.
Microsoft Purview Data Map permite descoperirea automată a datelor și clasificarea datelor sensibile. Integrarea dintre Microsoft Purview și Microsoft Dataverse vă va ajuta să înțelegeți și să gestionați mai bine datele din aplicațiile dvs. de business, să protejați aceste date și să îmbunătățiți postura lor în ceea ce privește riscul și conformitatea.
Cu această integrare, puteți:
- Creați o hartă de date holistică și actualizată pentru Microsoft Dynamics 365, Power Platform și alte surse acceptate de Microsoft Purview.
- Clasificați automat activele de date pe baza clasificărilor de sistem încorporate sau a clasificărilor personalizate definite de utilizator, pentru a ajuta la identificarea și înțelegerea datelor sensibile.
- Oferiți consumatorilor de date posibilitatea de a descoperi date valoroase și de încredere.
- Permiteți curatorilor de date și administratorilor de securitate să gestioneze și să mențină securitatea datelor, să reducă expunerea datelor și să protejeze mai bine datele sensibile.
Pentru mai multe informații, consultați secțiunea *Conectare și gestionare* din Microsoft Purview. Microsoft Dataverse
Aliniere organizațională
Cadrul de adoptare a cloud oferă îndrumări echipelor centrale despre cum să clasifice datele, astfel încât echipele responsabile cu sarcinile de lucru să poată urma taxonomia organizațională.
Pentru mai multe informații, consultați Ce este clasificarea datelor?
Informații corelate
- Clasificarea datelor și taxonomia etichetelor de sensibilitate
- Creați un cadru de clasificare a datelor bine conceput
- Conectați-vă și gestionați Microsoft Dataverse în Microsoft Purview
Listă de verificare a securității
Consultați setul complet de recomandări.