Partilhar via

SDK da Proteção de Informações da Microsoft - Conceitos de rótulo de classificação

  • Artigo

Como parte de uma estratégia abrangente de proteção de dados, as organizações devem implementar um sistema de classificação de dados que descreva os níveis de sensibilidade de dados dentro da organização e, em seguida, mapear atributos de documentos para essas classificações.

Os atributos relacionados à classificação normalmente envolvem o risco para a organização se esse documento ou dado for perdido ou visto por sujeitos não intencionais. No conhecido sistema de classificação do governo dos Estados Unidos, existem três níveis de classificação. Cada um tem uma definição que descreve quando essa classificação deve ser aplicada:

  • Top Secret: Aplica-se a informações cuja divulgação não autorizada possa razoavelmente causar danos excepcionalmente graves à segurança nacional que a autoridade de classificação original seja capaz de identificar ou descrever.
  • Secreto: Deve ser aplicado a informações cuja divulgação não autorizada possa razoavelmente causar sérios danos à segurança nacional que a autoridade de classificação original seja capaz de identificar ou descrever.
  • Confidencial: Aplica-se a informações cuja divulgação não autorizada possa razoavelmente causar danos à segurança nacional que a autoridade de classificação original seja capaz de identificar ou descrever.
  • Não classificado: Na verdade, não se trata de uma classificação, mas sim da ausência de uma das três acima.

Em um aplicativo comercial ou do setor privado, podemos definir uma lista semelhante ao padrão no Serviço de Proteção de Informações do Azure, com valores monetários anexados.

  • Altamente Confidencial: Deve ser aplicado a informações, cuja divulgação não autorizada poderia razoavelmente ser esperada para causar danos superiores a USD $1M.
  • Confidencial: Aplica-se a informações cuja divulgação não autorizada possa razoavelmente causar danos superiores a USD $100K.
  • Geral: Aplica-se a informações cuja divulgação não autorizada possa razoavelmente causar poucos danos mensuráveis.
  • Público: Aplica-se à informação destinada ao consumo público externo.
  • Não Comerciais: Devem ser aplicadas a informações que não estejam relacionadas com os negócios da empresa, diretas ou indiretas.

Cada classificação descreve o risco para o negócio no caso de divulgação não autorizada dessas informações. Depois de identificar essas classificações e condições, devem ser identificados atributos que ajudem os proprietários de dados a entender qual classificação aplicar.

Etiquetagem

O ato de associar uma classificação de dados a um conjunto de informações é conhecido como rotulagem. Como o MIP SDK está lidando com a aplicação de rótulos de classificação a documentos, não nos referimos a classificações, mas sim a rótulos . Um usuário ou processo já classificou os dados com base no conhecimento das informações: o MIP SDK rotulará as informações.

Rótulos no MIP SDK

Os rótulos são um componente fundamental do MIP SDK. As etiquetas orientam a marcação, a proteção e a marcação de conteúdo de todos os documentos tocados pelo SDK. O SDK pode:

  • Aplicar etiquetas a documentos
  • Ler etiquetas existentes em documentos
  • Alterar um rótulo existente e justificar o mandato, se exigido pela política
  • Remover uma etiqueta de um documento

O rótulo aplicará proteção e marcação de conteúdo com base na etiqueta de configuração definida pelos administradores no Centro de Conformidade e Segurança.

mip::Label vs. mip::ContentLabel

Existem dois tipos de rótulo no MIP SDK. Label e ContentLabel.

  • Rótulo: um rótulo que pode ser aplicado por um usuário ou processo, conforme definido na política organizacional.
  • ContentLabel: um rótulo que já existe em um documento ou informação. Pode ser lido, atualizado ou removido.

Em outras palavras, o ContentLabel é um Label que foi aplicado a uma informação.

Metadados

O SDK também suportava a adição de metadados extras a documentos na forma de pares chave/valor. Se sua organização tiver subclassificações ou tags que descrevem as informações de maneira mais específica, o SDK poderá ser usado para aplicar esses metadados.

Próximos passos

Para obter mais detalhes sobre o sistema de classificação do governo dos Estados Unidos, consulte https://www.gpo.gov/fdsys/pkg/FR-2010-01-05/html/E9-31418.htm.