Планирование реализации Power BI: защита информации на уровне организации

  • Статья

Примечание.

Эта статья входит в серию статей по планированию реализации Power BI. В этой серии основное внимание уделяется рабочей нагрузке Power BI в Microsoft Fabric. Общие сведения о серии см. в статье о планировании реализации Power BI.

В этой статье описаны первоначальные оценки и подготовительные действия по защите информации в Power BI. Она нацелена на:

  • Администраторы Power BI: администраторы, ответственные за надзор за Power BI в организации. Администраторы Power BI должны сотрудничать с информационной безопасностью и другими соответствующими командами.
  • Центр компетенции, ИТ-отделы и группы бизнес-аналитики: команды, ответственные за надзор за Power BI в организации. Возможно, им потребуется сотрудничать с администратором Power BI, группами информационной безопасности и другими соответствующими командами.

Важно!

Защита информации и защита от потери данных (DLP) — это важная организация. Его область и влияние гораздо больше, чем Только Power BI. Для этого типа инициативы требуется финансирование, приоритет и планирование. Ожидается, что в планировании, использовании и надзоре будет задействовано несколько межфункциональными командами.

Текущая оценка состояния

Прежде чем приступить к работе с любыми действиями по настройке, оцените, что происходит в настоящее время в вашей организации. Важно понимать, в какой степени в настоящее время реализуется защита информации (или планируется).

Как правило, существует два варианта использования меток конфиденциальности.

  • Метки конфиденциальности в настоящее время используются. В этом случае метки конфиденциальности настраиваются и используются для классификации файлов Microsoft Office. В этой ситуации объем работы, необходимой для использования меток конфиденциальности для Power BI, будет значительно ниже. Временная шкала будет короче, и это будет проще быстро настроить.
  • Метки конфиденциальности еще не используются. В этом случае метки конфиденциальности не используются для файлов Microsoft Office. В этой ситуации потребуется проект всей организации для реализации меток конфиденциальности. Для некоторых организаций этот проект может представлять значительный объем работы и значительное время инвестиций. Это связано с тем, что метки предназначены для использования в организации различными приложениями (а не одним приложением, например Power BI).

На следующей схеме показано, как метки конфиденциальности используются широко в организации.

Diagram shows how sensitivity labels are used. Items in the diagram are described in the table below.

На приведенной выше схеме показаны следующие элементы:

Позиция Description
Item 1. Метки конфиденциальности настраиваются в Портал соответствия требованиям Microsoft Purview.
Item 2. Метки конфиденциальности можно применять ко многим типам элементов и файлов, таких как файлы Microsoft Office, элементы в служба Power BI, файлах Power BI Desktop и сообщениях электронной почты.
Item 3. Метки конфиденциальности можно применять для сайтов Teams, сайтов SharePoint и групп Microsoft 365.
Item 4. Метки конфиденциальности можно применять к схематизированным ресурсам данных, зарегистрированным в Схема данных Microsoft Purview.

На схеме обратите внимание, что элементы в файлах служба Power BI и Power BI Desktop являются лишь некоторыми из многих ресурсов, которые позволяют назначать метки конфиденциальности. Метки конфиденциальности определяются централизованно в Защита информации Microsoft Purview. После определения одинаковые метки используются всеми поддерживаемыми приложениями в организации. Невозможно определить метки для использования только в одном приложении, например Power BI. Таким образом, процесс планирования должен рассмотреть более широкий набор сценариев использования для определения меток, которые можно использовать в нескольких контекстах. Так как защита информации предназначена для согласованного использования в приложениях и службах, важно начать с оценки меток конфиденциальности в настоящее время.

Действия по реализации меток конфиденциальности описаны в статье "Защита информации" для Power BI .

Примечание.

Метки конфиденциальности — это первый стандартный блок для реализации защиты информации. Защита от потери данных возникает после настройки защиты информации.

Контрольный список . При оценке текущего состояния защиты информации и защиты от потери данных в организации ключевые решения и действия включают:

  • Определите, используется ли защита информации в настоящее время: узнайте, какие возможности в настоящее время включены, как они используются, в каких приложениях и кем они используются.
  • Определите, кто несет ответственность за защиту информации: при оценке текущих возможностей определите, кто несет ответственность в настоящее время. Обратитесь к этой команде во всех действиях вперед.
  • Консолидация проектов защиты информации: при необходимости объединяйте используемые методы защиты информации. По возможности консолидируйте проекты и команды для повышения эффективности и согласованности.

Командный персонал

Как уже упоминалось ранее, многие возможности защиты информации и защиты от потери данных, которые будут созданы, будут влиять на всю организацию (далеко за пределами Power BI). Вот почему очень важно собрать команду, которая включает всех соответствующих людей. Команда будет иметь решающее значение для определения целей (описанных в следующем разделе) и руководства по общему усилию.

При определении ролей и обязанностей для вашей команды рекомендуется включать людей, которые могут легко переводить требования и хорошо взаимодействовать с заинтересованными лицами.

Ваша команда должна включать соответствующие заинтересованные лица и группы в организации, в том числе:

  • Главный сотрудник по информационной безопасности / сотрудник по защите данных
  • Команда по информационной безопасности и кибербезопасности
  • Юридические услуги
  • Соблюдение закона
  • Управление рисками
  • Комитет по управлению корпоративными данными
  • Главный директор по данным / главный аналитика
  • Внутренняя группа аудита
  • Центр качества аналитики (COE)
  • Корпоративная аналитика / группа бизнес-аналитики (BI)
  • Контроллеры данных и владельцы данных домена из ключевых бизнес-единиц

Ваша команда также должна включать следующих системных администраторов:

Совет

Ожидается, что планирование и реализация защиты информации будет совместными усилиями, которые потребуют времени, чтобы получить право.

Задача планирования и реализации защиты информации обычно является частичной ответственностью за большинство людей. Обычно это один из многих важных приоритетов. Таким образом, наличие исполнительного спонсора поможет уточнить приоритеты, задать крайние сроки и предоставить стратегическое руководство.

Ясность в ролях и обязанностях необходима, чтобы избежать недоразумений и задержек при работе с кроссфункциональными группами по границам организации.

Контрольный список . При объединяя группу защиты информации, ключевые решения и действия включают:

  • Собрать команду: привлечь всех соответствующих технических и не технических заинтересованных сторон.
  • Определите, кто является исполнительным спонсором: убедитесь, что вы четко знаете, кто является лидером планирования и реализации усилий. Это лицо (или группа) для приоритетов, финансирования, достижения консенсуса и принятия решений.
  • Уточняйте роли и обязанности. Убедитесь, что все участники ясно о своей роли и обязанностях.
  • Создайте план коммуникации. Рассмотрим, как и когда вы будете взаимодействовать с пользователями в организации.

Цели и требования

Важно учитывать, какие цели предназначены для реализации защиты информации и защиты от потери данных. Различные заинтересованные лица из команды, которую вы собрали, скорее всего, имеют разные точки зрения и области озабоченности.

На этом этапе мы рекомендуем сосредоточиться на стратегических целях. Если ваша команда начала, определив сведения о уровне реализации, мы рекомендуем выполнить шаг назад и определить стратегические цели. Четко определенные стратегические цели помогут вам обеспечить более плавную реализацию.

Требования к защите информации и защиты от потери данных могут включать следующие цели.

  • Самостоятельное включение пользователей: разрешить создателям содержимого и владельцам самостоятельного бизнес-аналитики работать, предоставлять общий доступ и быть максимально продуктивным — все в пределах охранников, установленных командой управления. Цель состоит в том, чтобы сбалансировать самостоятельную бизнес-аналитику с централизованной бизнес-аналитикой и упростить самостоятельное выполнение пользователей, не влияя на производительность.
  • Язык и региональные параметры, которые защищают доверенные данные: реализуйте защиту информации таким образом, что низкая нагрузка и не приводит к повышению производительности пользователей. При реализации в сбалансированном порядке пользователи гораздо чаще работают в системах, чем вокруг них. Для образования пользователей и поддержки пользователей важно.
  • Сокращение рисков: защита организации путем снижения рисков. Цели снижения рисков часто включают минимизацию возможности утечки данных за пределами организации и защиты данных от несанкционированного доступа.
  • Соответствие требованиям: поддержка усилий по соответствию требованиям для отраслевых, региональных и правительственных нормативных актов. Кроме того, у вашей организации также могут быть внутренние требования к управлению и безопасности, которые считаются критически важными.
  • Доступность аудита и осведомленность. Узнайте, где находятся конфиденциальные данные в организации и кто использует его.

Помните, что инициатива по внедрению защиты информации является дополнением к другим связанным подходам, связанным с безопасностью и конфиденциальностью. Координация инициатив по защите информации с другими усилиями, такими как:

  • Доступ к ролям, разрешениям, совместному использованию и безопасности на уровне строк (RLS) для содержимого Power BI
  • Требования к месту расположения данных
  • Требования к безопасности сети
  • Требования к шифрованию данных
  • Инициативы по каталогизации данных

Дополнительные сведения о защите содержимого в Power BI см . в статьях по планированию безопасности.

Контрольный список . При рассмотрении целей защиты информации ключевые решения и действия включают:

  • Определите применимые правила конфиденциальности данных и риски. Убедитесь, что ваша команда знает о правилах конфиденциальности данных, которые ваша организация имеет для вашей отрасли или географического региона. При необходимости проводите оценку рисков конфиденциальности данных.
  • Обсудите и проясните свои цели: у вас есть первоначальные обсуждения с соответствующими заинтересованными лицами и заинтересованными людьми. Убедитесь, что вы ясно о стратегических целях защиты информации. Убедитесь, что эти цели можно перевести в бизнес-требования.
  • Утверждение, документирование и приоритеты целей. Убедитесь, что стратегические цели задокументированы и определены в приоритетах. Если вам нужно принимать сложные решения, приоритеты или компромиссы, обратитесь к этим целям.
  • Проверьте и документируйте нормативные и бизнес-требования: убедитесь, что все нормативные и бизнес-требования к конфиденциальности данных документируются. Ознакомьтесь с ними для определения приоритетов и требований соответствия требованиям.
  • Начните создание плана: начните создание плана проекта с помощью приоритетных стратегических целей и документированных требований.

Связанный контент

В следующей статье этой серии вы узнаете о маркировке и классификации ресурсов данных для использования с Power BI.