Поделиться через


Классификация данных & таксономия меток конфиденциальности

Конфиденциальные данные представляют значительный риск для компании, если они украдены, непреднамеренно переданы или раскрыты в результате нарушения безопасности. Факторы риска включают репутационный ущерб, финансовые последствия и потерю конкурентного преимущества. Защита данных и информации, которыми управляет ваш бизнес, является главным приоритетом для вашей организации, но вам может быть трудно узнать, действительно ли ваши усилия эффективны, учитывая объем содержимого, храняного в вашем предприятии.

В дополнение к объему содержимое может варьироваться по важности от высокой конфиденциальности и воздействия до тривиальных и временных. Он также может находиться в окне различных нормативных требований. Определение приоритетов и место применения элементов управления может оказаться сложной задачей. Читайте дальше, чтобы узнать о классификации данных, важном средстве защиты содержимого от кражи, саботажа или непреднамеренного уничтожения, а также о том, как Microsoft 365 может помочь вам достичь целей информационной безопасности.

Что такое классификация данных?

Классификация данных — это специализированный термин, используемый в области кибербезопасности и управления информацией для описания процесса идентификации, классификации и защиты содержимого в соответствии с уровнем его конфиденциальности или воздействия. В самой базовой форме классификация данных — это средство защиты данных от несанкционированного раскрытия, изменения или уничтожения в зависимости от степени их конфиденциальности или воздействия.

Что такое платформа классификации данных?

Платформа классификации данных ( иногда называемая "политикой классификации данных") обычно состоит из 3–5 уровней классификации. Обычно к ним относятся три элемента: имя, описание и реальные примеры. Корпорация Майкрософт рекомендует не более пяти родительских меток верхнего уровня, каждая из которых содержит пять вложенных меток (всего 25), чтобы обеспечить управляемость пользовательского интерфейса. Уровни обычно упорядочены от наименьшего до наиболее конфиденциального, например общедоступный, внутренний, конфиденциальный и строгоконфиденциальный. Другие варианты имен уровней, которые могут возникнуть, включают Restricted, Unrestricted и Consumer Protected. Корпорация Майкрософт рекомендует метки, которые являются самоописывательными и четко подчеркивают их относительную чувствительность. Например, конфиденциальные и ограниченные могут оставить пользователей угадывать, какая метка подходит, в то время как конфиденциальные и строго конфиденциальные более четкие, какие из них являются более конфиденциальными.

В следующей таблице показан пример уровня платформы строго конфиденциальной классификации данных.

Уровень классификации Описание Примеры
Строго конфиденциально Строго конфиденциальные данные — это наиболее конфиденциальный тип данных, хранящихся или управляемых предприятием, и в случае нарушения или иным образом раскрытия могут потребоваться юридические уведомления.

Ограниченные данные требуют наивысшего уровня контроля и безопасности, а доступ должен быть ограничен "необходимо знать".
Конфиденциальная личная информация (конфиденциальные личные данные)
Данные владельца карточки
Защищенная информация о работоспособности (PHI)
Данные банковского счета

Совет

Корпоративная платформа классификации данных Майкрософт первоначально использовала категорию и метку с именем "Internal" на этапе пилотного проекта, но обнаружила, что существуют законные причины для внешнего доступа к документу и его переключения на использование "Общие".

Другим важным компонентом платформы классификации данных являются элементы управления, связанные с каждым уровнем. Уровни классификации данных сами по себе представляют собой просто метки (или теги), которые указывают на значение или конфиденциальность содержимого. Для защиты этого содержимого платформы классификации данных определяют элементы управления, которые должны быть введены для каждого уровня классификации данных. Эти элементы управления могут включать в себя требования, связанные с:

  • Тип и расположение хранилища
  • Шифрование
  • Управление доступом.
  • Уничтожение данных
  • Защита от потери данных
  • Публичное раскрытие информации
  • Ведение журнала и отслеживание доступа
  • Другие цели управления, при необходимости

Средства управления безопасностью зависят от уровня классификации данных, поэтому меры защиты, определенные в вашей платформе, увеличиваются соизмеримы с конфиденциальностью содержимого. Например, требования к управлению хранилищем данных будут отличаться в зависимости от используемого носителя, а также от уровня классификации, применяемого к данному фрагменту содержимого. В следующей таблице показан пример элементов управления классификацией данных для определенного типа хранилища:

Тип хранилища Конфиденциально Внутренняя Неограниченный
Съемный носитель Запрещено Запрещено, если не зашифровано Элемент управления не требуется

Правильное применение правильного уровня классификации данных может быть сложным в реальных ситуациях и иногда может привести к перегрузке конечных пользователей. После создания политики или стандарта, определяющих необходимые уровни классификации данных, важно поставить конечным пользователям инструкции по реализации этой платформы в повседневной работе. В этой области поступают правила или рекомендации по обработке классификации данных.

Рекомендации по обработке классификации данных помогут конечным пользователям получить конкретные рекомендации по правильной обработке данных на каждом уровне для разных носителей на протяжении всего жизненного цикла. Эти рекомендации помогают конечным пользователям правильно применять правила на практике, например при совместном использовании документов, отправке электронных писем или совместной работе на разных платформах и в организациях.

Клиенты Майкрософт указывают, что около 50 % Information Protection проекта ориентированы на бизнес, а не на технические, поэтому обучение и общение пользователей имеют решающее значение для успеха.