Примітка
Доступ до цієї сторінки потребує авторизації. Можна спробувати ввійти або змінити каталоги.
Доступ до цієї сторінки потребує авторизації. Можна спробувати змінити каталоги.
Стосується Power Platform рекомендацій щодо контрольного списку Well-Architected Security:
| СЕ:03 | Класифікуйте та послідовно наносьте мітки конфіденційності на всі дані про робоче навантаження та системи, які беруть участь в обробці даних. Використовуйте класифікацію, щоб впливати на дизайн, реалізацію та пріоритезацію безпеки робочого навантаження. |
|---|
Цей посібник містить рекомендації щодо класифікації даних на основі їх конфіденційності. Різні типи даних мають різний рівень чутливості, і більшість робочих навантажень зберігають різні типи даних. Класифікація даних допомагає класифікувати дані за тим, наскільки вони конфіденційні, які дані містять і яких правил відповідності потрібно дотримуватися. Таким чином, ви можете застосувати належний рівень захисту, такий як контроль доступу, політики збереження для різних типів інформації тощо.
Визначення
| Термін | Визначення |
|---|---|
| Класифікація | Процес класифікації активів робочого навантаження за рівнями конфіденційності, типом інформації, вимогами відповідності та іншими критеріями, наданими організацією. |
| Метадані | Реалізація для застосування таксономії до активів. |
| Таксономія | Система організації секретних даних за допомогою узгодженої структури. Як правило, це ієрархічне зображення класифікації даних. У ньому названі сутності, які вказують критерії категоризації. |
Ключові стратегії дизайну
Класифікація даних допомагає правильно визначити гарантії безпеки та допомагає команді сортування прискорити виявлення даних під час реагування на інциденти. Обов’язковою умовою процесу проектування є чітке розуміння того, чи слід розглядати дані як конфіденційну, обмежену, публічну або будь-яку іншу класифікацію конфіденційності. Також важливо визначити місця, де зберігаються дані, оскільки дані можуть бути розподілені між кількома середовищами. Знаючи, де зберігаються дані, ви можете розробити стратегію, яка відповідає вимогам безпеки.
Класифікація даних може бути виснажливим завданням. Ви можете використовувати інструменти, які можуть знаходити активи даних і рекомендувати класифікації. Але не варто покладатися лише на інструменти. Переконайтеся, що члени вашої команди обережно виконують вправи. Потім використовуйте інструменти для автоматизації, коли це має сенс.
Разом із цими рекомендаціями дивіться статтю Створення добре розробленої системи класифікації даних.
Розуміння таксономії, визначеної організацією
Таксономія – це ієрархічне зображення класифікації даних. У ньому названі сутності, які вказують на критерії категоризації.
Різні організації можуть мати різні системи класифікації даних; Однак зазвичай вони складаються з трьох-п’яти рівнів з назвами, описами та прикладами. Ось приклади таксономії класифікації даних:
| Делікатність | Тип інформації | Опис |
|---|---|---|
| Загальнодоступне | Публічні маркетингові матеріали, інформація, доступна на вашому веб-сайті | Інформація, яка знаходиться у вільному доступі та не є конфіденційною |
| Внутрішня | політики, процедури або бюджети, що стосуються вашої організації | Інформація, що стосується конкретної організації |
| Конфіденційно | Комерційна таємниця, дані клієнтів або остаточні записи | Інформація, яка є конфіденційною та потребує захисту |
| Цілком конфіденційні | Конфіденційна ідентифікаційна інформація (конфіденційна ідентифікаційна інформація), дані власника картки, захищена медична інформація (PHI), дані банківського рахунку | Інформація, яка є дуже конфіденційною та вимагає найвищого рівня безпеки. Може вимагати юридичних повідомлень у разі порушення або розкриття іншим чином. |
Важливо
Як власник робочого навантаження, ви повинні дотримуватися таксономії, яку встановила ваша організація. Усі ролі робочого навантаження повинні узгоджуватися зі структурою, назвами та значеннями рівнів чутливості. Не створюйте власну систему класифікації.
Визначте сферу застосування класифікації
Більшість організацій мають різноманітний набір етикеток.
Переконайтеся, що ви знаєте, які об’єкти даних і компоненти належать до кожного рівня чутливості, а які ні. Метою може бути швидше усунення несправностей, швидший аварійне відновлення або юридичний аудит. Коли ви добре знаєте свою мету, це допомагає вам правильно виконувати роботу з класифікації.
Почніть з цих простих запитань і розширюйте за потреби залежно від складності вашої системи:
- Яке походження даних та типу інформації?
- Яке очікуване обмеження на основі доступу? Наприклад, чи це публічні інформаційні дані, регуляторні чи інші очікувані випадки використання?
- Який слід від даних? Де зберігаються дані? Як довго повинні зберігатися дані?
- Які компоненти архітектури взаємодіють з даними?
- Як дані переміщуються в системі?
- Яка інформація очікується в аудиторських звітах?
- Чи потрібно класифікувати передвиробничі дані?
Проведіть інвентаризацію ваших сховищ даних
Класифікація даних відноситься до системи в цілому. Проведіть інвентаризацію всіх сховищ даних і компонентів, які знаходяться в області видимості. Якщо ви розробляєте нову систему, переконайтеся, що у вас є початкова категоризація за визначеннями таксономії. Подумайте про те, як дані будуть проходити через вашу систему між компонентами, і переконайтеся, що дані не перетинають межі класифікації даних.
Продумайте, як ви будете підключатися до даних:
Нові дані: якщо ваше робоче навантаження генерує нові дані, які раніше ніде не зберігалися, наприклад, під час переходу з паперового процесу, радимо зберігати ці дані Microsoft Dataverse. Після цього ви зможете підключатися до даних і керувати Microsoft Dataverse ними за допомогою Microsoft Purview.
Читання/запис з існуючої системи: Якщо ваше робоче навантаження має підключитися до даних, які вже існують, вам потрібно спроектувати, як читати та записувати в існуючу базу даних або систему. Ви можете використовувати віртуальні таблиці, підключатися до даних за допомогою з’єднувачів, потоків даних або використовувати локальний шлюз для локальних даних.
Визначте сферу застосування
Будьте деталізованими та чіткими при визначенні обсягу. Припустимо, ваше сховище даних являє собою табличну систему. Потрібно класифікувати чутливість на рівні таблиці або навіть стовпців у таблиці. Крім того, обов’язково поширіть класифікацію на компоненти, не пов’язані зі сховищем даних, які можуть бути пов’язані або брати участь в обробці даних. Наприклад, чи класифікували ви резервну копію свого сховища з високим вмістом конфіденційних даних? Якщо ви кешуєте конфіденційні для користувача дані, чи відповідає обсяг сховища кешуваних даних? Якщо використовувати аналітичні сховища даних, то як класифікуються агреговані дані?
Дизайн за класифікаційними етикетками
Класифікація повинна впливати на ваші архітектурні рішення. Найбільш очевидною областю є ваша стратегія сегментації, яка повинна враховувати різноманітні класифікаційні мітки.
Класифікаційна інформація повинна переміщатися разом з даними в міру її проходження через систему і між компонентами робочого навантаження. Дані, позначені як конфіденційні, повинні розглядатися як конфіденційні всіма компонентами, які з ними взаємодіють. Наприклад, обов’язково захистіть особисті дані, видаливши або приховавши їх із будь-яких журналів програм.
Класифікація впливає на структуру звіту таким чином, як мають бути представлені дані. Наприклад, на основі міток типу інформації, чи потрібно застосувати алгоритм маскування даних для обфускації в результаті мітки типу інформації? Які ролі повинні мати видимість необроблених даних у порівнянні з замаскованими даними? Якщо існують якісь вимоги щодо відповідності звітності, як дані співвідносяться з нормативними актами та стандартами? Коли у вас є таке розуміння, вам простіше продемонструвати відповідність конкретним вимогам і сформувати звіти для аудиторів.
Це також впливає на операції з управління життєвим циклом даних, такі як зберігання даних і графіки виведення з експлуатації.
Застосування таксономії для запитів
Існує багато способів застосування міток таксономії до виявлених даних. Використання класифікаційної схеми з метаданими є найпоширенішим способом позначення міток. Процес проектування архітектури повинен включати в себе проектування схеми.
Майте на увазі, що не всі дані можна чітко класифікувати. Прийміть чітке рішення про те, як дані, які не можуть бути класифіковані, повинні бути представлені у звітності.
Фактична реалізація залежить від типу ресурсів. Дані, які споживає ваше Power Platform робоче навантаження, можуть надходити з джерел даних за межами Power Platform. Ваша схема повинна містити детальну інформацію про те, як дані з різних джерел даних переміщуються через робоче навантаження або потенційно передаються з одного сховища даних до іншого, зберігаючи при цьому цілісність класифікації.
Деякі ресурси Azure мають вбудовані системи класифікації. Наприклад, Azure SQL Server має механізм класифікації, підтримує динамічне маскування та може створювати звіти на основі метаданих. Microsoft Teams, Microsoft 365 групи та SharePoint сайти можуть мати позначки чутливості, що застосовуються на рівні контейнера. Microsoft Dataverse інтегрується з Microsoft Purview для застосування міток даних.
Під час розробки своєї реалізації оцініть функції, що підтримуються платформою, та скористайтеся їхніми перевагами. Переконайтеся, що метадані, що використовуються для класифікації, ізольовані та зберігаються окремо від сховищ даних.
Також існують спеціалізовані інструменти класифікації, які можуть автоматично виявляти та застосовувати мітки. Ці інструменти підключені до ваших джерел даних. Microsoft Purview має можливості автоматичного виявлення. Також є сторонні інструменти, які пропонують аналогічні можливості. Процес виявлення має бути підтверджений шляхом ручної перевірки.
Регулярно переглядайте класифікацію даних. Підтримка класифікації має бути вбудована в операції, інакше застарілі метадані можуть призвести до помилкових результатів для визначених цілей та проблем відповідності.
Компроміс: Пам’ятайте про компроміс у вартості інструментів. Інструменти класифікації вимагають навчання та можуть бути складними.
Зрештою, класифікація має поширюватися на організацію через центральні команди. Отримайте від них інформацію щодо очікуваної структури звіту. Також скористайтеся централізованими інструментами та процесами для узгодження організаційної діяльності та зменшення операційних витрат.
Power Platform сприяння
Класифікація повинна впливати на ваші архітектурні рішення.
Microsoft Purview забезпечує видимість даних у всій вашій організації. Щоб отримати додаткові відомості, див. статтю Дізнайтеся про сферу компетенції Microsoft.
Карта даних Microsoft Purview забезпечує автоматизоване виявлення даних та класифікацію конфіденційних даних. Інтеграція між Microsoft Purview та **допоможе вам краще зрозуміти та керувати масивом даних ваших бізнес-застосунків, захистити ці дані та покращити їхню відповідність вимогам та контроль ризиків.** Microsoft Dataverse
Завдяки цій інтеграції ви можете:
- Створіть цілісну, актуальну карту даних у Microsoft Dynamics 365, Power Platform та інших джерелах, що підтримуються Microsoft Purview.
- Автоматично класифікуйте активи даних на основі вбудованих системних класифікацій або визначених користувачем власних класифікацій, щоб допомогти ідентифікувати та розуміти конфіденційні дані.
- Надайте споживачам даних можливість знаходити цінні та достовірні дані.
- Дозвольте кураторам даних та адміністраторам безпеки керувати та захищати дані, зменшувати витік даних та краще захищати конфіденційні дані.
Щоб отримати додаткові відомості, див. розділ Підключення та керування Microsoft Dataverse в розділі Microsoft Perview.
Організаційне узгодження
Cloud Adoption Framework надає центральним командам рекомендації щодо класифікації даних, щоб команди з робочого навантаження могли дотримуватися організаційної таксономії.
Для отримання додаткової інформації див. Що таке класифікація даних?
Пов’язані відомості
- Класифікація даних та таксономія позначок чутливості
- Створіть добре розроблену систему класифікації даних
- Підключення та керування Microsoft Dataverse в Microsoft Purview
Контрольний список безпеки
Зверніться до повного зведення рекомендацій.