Recomendações para classificação de dados
Aplica-se à Power Platform recomendação da lista de verificação de segurança bem arquitetada:
| SE:03 | Classifique e aplique consistentemente etiquetas de confidencialidade em todos os dados de carga de trabalho e sistemas envolvidos no processamento de dados. Utilize a classificação para influenciar a estruturação, a implementação e a priorização da segurança da carga de trabalho. |
|---|
Este guia fornece recomendações para classificar os dados com base na respetiva confidencialidade. Diferentes tipos de dados têm diferentes níveis de confidencialidade, e a maioria das cargas de trabalho armazena vários tipos de dados. A classificação de dados ajuda-o a categorizar os dados pela sua confidencialidade, pelo tipo de informações que contêm e pelas regras de conformidade que têm de seguir. Dessa forma, pode aplicar o nível certo de proteção, como controlos de acesso, políticas de retenção para diferentes tipos de informações, e assim por diante.
Definições
| Termo | Definição |
|---|---|
| Classificação | Um processo para categorizar os ativos de carga de trabalho por níveis de confidencialidade, tipo de informação, requisitos de conformidade e outros critérios fornecidos pela organização. |
| Metadados | Uma implementação para aplicar a taxonomia a ativos. |
| Taxonomia | Um sistema para organizar os dados classificados utilizando uma estrutura acordada. Normalmente, uma representação hierárquica da classificação de dados. Tem entidades nomeadas que indicam critérios de categorização. |
Principais estratégias de design
A classificação de dados ajuda-o a dimensionar corretamente as garantias de segurança e ajuda a equipa de triagem a agilizar a deteção durante a resposta a incidentes. Um pré-requisito para o processo de estruturação é compreender claramente se os dados devem ser tratados como confidenciais, restritos, públicos ou qualquer outra classificação de confidencialidade. Também é essencial determinar as localizações onde os dados são armazenados, porque os dados podem ser distribuídos por vários ambientes. Com o conhecimento do local onde os dados estão armazenados, pode estruturar uma estratégia que cumpra os requisitos de segurança.
Classificar dados pode ser uma tarefa tediosa. Pode utilizar ferramentas que possam localizar ativos de dados e recomendar classificações. Mas não dependa apenas de ferramentas. Certifique-se de que os membros da sua equipa fazem os exercícios cuidadosamente. Em seguida, utilize ferramentas para automatizar quando fizer sentido.
Juntamente com estas melhores práticas, consulte Criar uma estrutura de classificação de dados bem-estruturada.
Compreender a taxonomia definida pela organização
A taxonomia é uma representação hierárquica da classificação de dados. Tem entidades nomeadas que indicam os critérios de categorização.
Diferentes organizações podem ter diferentes estruturas de classificação de dados; no entanto, geralmente são constituídas por entre três e cinco níveis com nomes, descrições e exemplos. Aqui estão alguns exemplos de taxonomia de classificação de dados:
| Confidencialidade | Tipo de informação | Description |
|---|---|---|
| Pública | Material de marketing público, informações disponíveis no seu site | Informações de livre acesso e não confidenciais |
| Interna | Políticas, procedimentos ou orçamentos relacionados com a sua organização | Informações relacionadas com uma organização específica |
| Confidencial | Segredos comerciais, dados de clientes ou registos finais | Informações confidenciais que requerem proteção |
| Altamente confidencial | Informações Pessoais Confidenciais (PII Confidenciais), dados do titular do cartão, Informações de Saúde Protegidas (PHI), dados da conta bancária | Informações altamente confidenciais e que exigem o mais alto nível de segurança. Pode exigir notificações legais se violado ou divulgado de outra forma. |
Importante
Como proprietário da carga de trabalho, deve seguir a taxonomia estabelecida pela sua organização. Todas as funções de carga de trabalho devem concordar com a estrutura, nomes e significados dos níveis de confidencialidade. Não crie o seu próprio sistema de classificação.
Definir o âmbito da classificação
A maioria das organizações tem um conjunto diversificado de etiquetas.
Certifique-se de que sabe quais os ativos de dados e os componentes que pertencem a cada nível de confidencialidades e quais não pertencem. O objetivo poderia ser uma resolução de problemas mais rápida, uma recuperação após desastre mais rápida ou auditorias legais. Quando conhece bem o seu objetivo, ajuda-o a fazer o seu trabalho de classificação corretamente.
Comece com estas perguntas simples e expanda conforme necessário com base na complexidade do seu sistema:
- Qual é a origem dos dados e do tipo de informação?
- Qual é a restrição esperada com base no acesso? Por exemplo, são dados de informação pública, regulamentares ou outros casos de utilização esperados?
- Qual é a quantidade de dados? Onde são armazenados os dados? Durante quanto tempo devem ser conservados os dados?
- Que componentes da arquitetura interagem com os dados?
- Como é que os dados se movem pelo sistema?
- Que informações são esperadas nos relatórios de auditoria?
- Precisa de classificar dados de pré-produção?
Realizar o inventário dos seus arquivos de dados
A classificação de dados aplica-se ao sistema como um todo. Faça o inventário de todos os arquivos de dados e componentes que estão no âmbito. Se estiver a estruturar um novo sistema, certifique-se de que tem uma categorização inicial por definições de taxonomia. Pense em como os dados fluirão através do seu sistema entre componentes e certifique-se de que os dados não cruzam os limites de classificação de dados.
Considere como irá ligar-se aos dados:
Novos dados: se sua carga de trabalho gerar novos dados que não estavam armazenados anteriormente em nenhum lugar, como durante a transição de um processo baseado em papel, sugerimos armazenar esses dados em Microsoft Dataverse. Em seguida, você pode conectar e gerenciar Microsoft Dataverse dados por meio do Microsoft Purview.
Leitura/gravação de um sistema existente: se sua carga de trabalho precisar se conectar a dados que já existem, você precisará projetar como ler e gravar no banco de dados ou sistema existente. Pode utilizar tabelas virtuais, ligar-se aos dados através de conectores, fluxos de dados ou utilizar um gateway no local para os dados no local.
Definir o âmbito
Seja granular e explícito ao definir o âmbito. Suponha que o seu arquivo de dados é um sistema tabular. Pretende classificar a confidencialidade ao nível da tabela ou até mesmo as colunas dentro da tabela. Além disso, certifique-se de que alarga a classificação aos componentes que não sejam arquivo de dados que possam estar relacionados ou que façam parte no processamento dos dados. Por exemplo, classificou a cópia de segurança do seu arquivo de dados altamente confidencial? Se estiver a colocar dados confidenciais do utilizador em cache, a arquivo de dados de colocação em cache está dentro do âmbito? Se utilizar arquivos de dados analíticos, como são classificados os dados agregados?
Estruturar de acordo com as etiquetas de classificação
A classificação deve influenciar as suas decisões arquitetónicas. A área mais óbvia é a sua estratégia de segmentação, que deve considerar as variadas etiquetas de classificação.
As informações de classificação devem ser movidas com os dados à medida que transitam pelo sistema e entre os componentes da carga de trabalho. Os dados etiquetados como confidenciais devem ser tratados como confidenciais por todos os componentes que interagem com os mesmos. Por exemplo, certifique-se de que protege os dados pessoais removendo ou ofuscando-os de qualquer tipo de registos de aplicações.
A classificação afeta o design do relatório na forma como os dados devem ser expostos. Por exemplo, com base nas etiquetas do tipo de informação, precisa de aplicar um algoritmo de mascaramento de dados para ofuscar como resultado da etiqueta do tipo de informação? Que funções devem ter visibilidade nos dados não processados versus os dados mascarados? Se existirem requisitos de conformidade para relatórios, como é que os dados são mapeados para regulamentos e normas? Quando tem esta compreensão, é mais fácil demonstrar conformidade com requisitos específicos e gerar relatórios para auditores.
Também afeta as operações de gestão do ciclo de vida dos dados, tais como as agendas de retenção de dados e desativação.
Aplicar taxonomia para consultas
Há muitas maneiras de aplicar etiquetas de taxonomia aos dados identificados. A utilização de um esquema de classificação com metadados é a forma mais comum de indicar as etiquetas. O processo de estruturação da arquitetura deve incluir a estruturação do esquema.
Tenha em mente que nem todos os dados podem ser claramente classificados. Tome uma decisão explícita sobre como os dados que não podem ser classificados devem ser representados no relatório.
A implementação real depende do tipo de recursos. Os dados consumidos pela sua carga de trabalho do Power Platform podem ter origem em origens de dados externas ao Power Platform. O esquema deve incluir detalhes sobre como os dados de diferentes origens de dados se movem através da carga de trabalho ou são potencialmente transferidos de um arquivo de dados para o outro, mantendo a integridade da classificação.
Alguns recursos do Azure têm sistemas de classificação incorporados. Por exemplo, o SQL Server do Azure tem um mecanismo de classificação, dá suporte ao mascaramento dinâmico e pode gerar relatórios com base em metadados. Os grupos do Microsoft Teams, do Microsoft 365 e os sites do SharePoint podem ter etiquetas de conformidade aplicadas ao nível do contentor. Microsoft Dataverse integra-se com Microsoft o Purview para aplicar rótulos de dados.
Ao estruturar a sua implementação, avalie as funcionalidades suportadas pela plataforma e tire partido das mesmas. Certifique-se de que os metadados utilizados para a classificação são isolados e armazenados separadamente dos arquivos de dados.
Existem também ferramentas de classificação especializadas que podem detetar e aplicar etiquetas automaticamente. Estas ferramentas estão ligadas às suas origens de dados. Microsoft O Purview tem recursos de descoberta automática. Há também ferramentas de terceiros que oferecem capacidades semelhantes. O processo de deteção deve ser validado através de verificação manual.
Revise a classificação dos dados regularmente. A manutenção da classificação deve ser incorporada nas operações, caso contrário, os metadados obsoletos podem levar a resultados incorretos para os objetivos identificados e problemas de conformidade.
Tradeoff: Esteja atento ao tradeoff de custo em ferramentas. As ferramentas de classificação requerem formação e podem ser complexas.
Em última análise, a classificação deve chegar à organização através de equipas centrais. Obtenha informações das mesmas sobre a estrutura esperada do relatório. Além disso, tire partido de ferramentas e processos centralizados para ter um alinhamento organizacional e também aliviar os custos operacionais.
Facilitação do Power Platform
A classificação deve influenciar as suas decisões arquitetónicas.
Microsoft O Purview fornece visibilidade dos ativos de dados em toda a sua organização. Para obter mais informações, consulte Saiba mais sobre Microsoft o Purview.
Microsoft O Purview Data Map permite a descoberta automatizada de dados e a classificação de dados confidenciais. A integração entre Microsoft o Purview e Microsoft Dataverse ajudará você a entender e controlar melhor o patrimônio de dados de seus aplicativos de negócios, proteger esses dados e melhorar sua postura de risco e conformidade.
Com esta integração, pode:
- Crie um mapa de dados holístico e atualizado em Microsoft Dynamics 365 Power Platform e outras fontes suportadas pelo Microsoft Purview.
- Classifique automaticamente os ativos de dados com base em classificações de sistema incorporadas ou classificações personalizadas definidas pelo utilizador, para ajudar a identificar e compreender os dados confidenciais.
- Capacite os consumidores de dados para detetarem dados valiosos e fiáveis.
- Permita que os responsáveis pela manutenção de dados e administradores de segurança giram e mantenham o estado de dados seguro, reduzam a exposição de dados e protejam melhor os dados confidenciais.
Para obter mais informações, consulte Conectar-se e gerenciar Microsoft Dataverse no Microsoft Purview.
Alinhamento organizacional
O Cloud Adoption Framework fornece orientação para as equipas centrais sobre como classificar dados para que as equipas de carga de trabalho possam seguir a taxonomia organizacional.
Para mais informações, consulte O que é classificação de dados?
Informações relacionadas
- Classificação de dados e taxonomia de rótulos Sensibilidade
- Crie uma estrutura de classificação de dados bem projetada
- Conecte-se e gerencie Microsoft Dataverse no Microsoft Purview
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.