Condividi tramite


Consigli per la classificazione dei dati

Si applica alla raccomandazione della checklist di sicurezza ben progettata: Power Platform

SE:03 Classifica e applica in modo coerente le etichette di riservatezza su tutti i dati e i sistemi del carico di lavoro coinvolti nell'elaborazione dei dati. Utilizza la classificazione per influenzare la progettazione, l'implementazione e la definizione delle priorità di sicurezza del carico di lavoro.

Questa guida fornisce consigli per classificare i dati in base alla loro riservatezza. Diversi tipi di dati hanno diversi livelli di riservatezza e la maggior parte dei carichi di lavoro archivia vari tipi di dati. La classificazione dei dati consente di classificare i dati in base alla loro riservatezza, al tipo di informazioni che contengono e alle regole di conformità che devono seguire. In questo modo puoi applicare il giusto livello di protezione, ad esempio controlli di accesso, criteri di conservazione per diversi tipi di informazioni e così via.

Definizioni

Termine Definizione
Classificazione Un processo per classificare le risorse del carico di lavoro in base ai livelli importanza, al tipo di informazioni, ai requisiti di conformità e ad altri criteri forniti dall'organizzazione.
Metadati Un'implementazione per applicare la tassonomia alle risorse.
Tassonomia Un sistema per organizzare i dati classificati utilizzando una struttura concordata. In genere, una rappresentazione gerarchica della classificazione dei dati. Ha entità denominate che indicano criteri di categorizzazione.

Strategie di progettazione chiave

La classificazione dei dati consente di dimensionare correttamente le garanzie di sicurezza e aiuta il team di triage ad accelerare l'individuazione durante la risposta agli incidenti. Un prerequisito per il processo di progettazione richiede di specificare chiaramente se i dati devono essere trattati come riservati, limitati, pubblici o con qualsiasi altra classificazione di riservatezza. È inoltre essenziale determinare le posizioni in cui vengono archiviati i dati, poiché i dati potrebbero essere distribuiti in più ambienti. Sapendo dove sono archiviati i dati, è possibile progettare una strategia che soddisfi i requisiti di sicurezza.

La classificazione dei dati può essere un'attività tediosa. Puoi utilizzare strumenti in grado di trovare risorse di dati e consigliare classificazioni. Ma non dipendere solo dagli strumenti. Assicurati che i membri del tuo team eseguano gli esercizi con attenzione. Quindi utilizza gli strumenti per automatizzare quando ha senso.

Insieme a queste procedure consigliate, vedi Creare un framework di classificazione dei dati ben progettato.

Comprendere la tassonomia definita dall'organizzazione

La tassonomia è una rappresentazione gerarchica della classificazione dei dati. Ha entità denominate che indicano criteri di categorizzazione.

Diverse organizzazioni possono avere diversi framework di classificazione dei dati; tuttavia, di solito sono costituiti da tre a cinque livelli con nomi, descrizioni ed esempi. Ecco alcuni esempi di tassonomia di classificazione dei dati:

Riservatezza Tipo di informazioni Descrzione
Public Materiale di marketing pubblico, informazioni disponibili sul tuo sito Web Informazioni liberamente accessibili e non sensibili
Internal Criteri, procedure o budget relativi alla tua organizzazione Informazioni relative a un'organizzazione specifica
Riservati Segreti commerciali, dati dei clienti o record finali Informazioni sensibili che richiedono protezione
Strettamente riservati Informazioni personali sensibili (PII sensibili), dati dei titolari di carta, informazioni sanitarie protette (PHI), dati del conto bancario Informazioni altamente sensibili che richiedono il massimo livello di sicurezza. Potrebbero essere necessarie notifiche legali in caso di violazione o divulgazione non autorizzata.

Importante

In qualità di proprietario del carico di lavoro, è consigliabile seguire la tassonomia stabilita dalla tua organizzazione. Tutti i ruoli del carico di lavoro devono concordare sulla struttura, sui nomi e sui significati dei livelli di riservatezza. Non creare il tuo sistema di classificazione.

Definire l'ambito di classificazione

La maggior parte delle organizzazioni dispone di un insieme diversificato di etichette.

Assicurati di sapere quali risorse di dati e componenti appartengono a ciascun livello di riservatezza e quali no. L'obiettivo potrebbe essere una risoluzione dei problemi più rapida, un ripristino di emergenza più rapido o controlli legali. Conoscere bene il tuo obiettivo ti aiuta a far funzionare correttamente la tua classificazione.

Inizia con queste semplici domande ed espandi secondo necessità in base alla complessità del tuo sistema:

  1. Qual è l'origine del tipo di dati e informazioni?
  2. Qual è la restrizione prevista in base all'accesso? Ad esempio, si tratta di dati di informazione pubblica, normative o altri casi d'uso previsti?
  3. Qual è il footprint dei dati? Dove vengono archiviati i dati? Per quanto tempo devono essere conservati i dati?
  4. Quali componenti dell'architettura interagiscono con i dati?
  5. Come si spostano i dati nel sistema?
  6. Quali informazioni sono previste nei report di controllo?
  7. Hai bisogno di classificare i dati di preproduzione?

Fai l'inventario dei tuoi archivi dati

La classificazione dei dati si applica al sistema nel suo insieme. Effettua l'inventario di tutti gli archivi dati e i componenti che rientrano nell'ambito. Se stai progettando un nuovo sistema, assicurati di avere una categorizzazione iniziale in base alle definizioni della tassonomia. Pensa a come avviene il flusso dei dati attraverso il tuo sistema tra i componenti e assicurati che i dati non oltrepassino i limiti di classificazione dei dati.

Considera come ti connetterai ai dati:

  • Nuovi dati: se il carico di lavoro genera nuovi dati che in precedenza non erano archiviati da nessuna parte, ad esempio durante la transizione da un processo cartaceo, ti consigliamo di archiviare tali dati in Microsoft Dataverse. È quindi possibile Connetti e gestire Microsoft Dataverse i dati tramite Microsoft Purview.

  • Lettura/scrittura da un sistema esistente: se il carico di lavoro deve Connetti su dati già esistenti, è necessario progettare la modalità di lettura e scrittura sul database o sul sistema esistente. Puoi utilizzare tabelle virtuali, connetterti ai dati tramite connettori, flussi di dati o utilizzare un gateway locale per i dati locale.

Definire l'ambito

Sii granulare ed esplicito quando definisci l'ambito. Supponiamo che il tuo archivio dati sia un sistema tabulare. Vuoi classificare la riservatezza a livello di tabella o anche nelle colonne all'interno della tabella. Inoltre, assicurati di estendere la classificazione ai componenti non dell'archivio dati che potrebbero essere correlati o partecipare all'elaborazione dei dati. Ad esempio, hai classificato il backup del tuo archivio dati altamente sensibile? Se stai memorizzando nella cache dati sensibili dell'utente, la memorizzazione nella cache archivio dati rientra nell'ambito? Se utilizzi archivi dati analitici, come vengono classificati i dati aggregati?

Progettazione secondo etichette di classificazione

La classificazione dovrebbe influenzare le tue decisioni relative all'architettura. L'area più ovvia è la strategia di segmentazione, che dovrebbe considerare le varie etichette di classificazione.

Le informazioni sulla classificazione dovrebbero spostarsi insieme ai dati durante la transizione nel sistema e tra i componenti del carico di lavoro. I dati etichettati come riservati devono essere trattati come riservati da tutti i componenti che interagiscono con essi. Ad esempio, assicurati di proteggere i dati personali rimuovendoli o nascondendoli da qualsiasi tipo di registro dell'applicazione.

La classificazione influisce sulla progettazione del report, ovvero sul modo in cui i dati devono essere esposti. Ad esempio, in base alle etichette del tipo di informazione, è necessario applicare un algoritmo di mascheramento dei dati per l'offuscamento come risultato dell'etichetta del tipo di informazione? Quali ruoli dovrebbero avere visibilità sui dati non elaborati rispetto ai dati mascherati? Se sono presenti requisiti di conformità per la creazione di report, come vengono mappati i dati rispetto alle normative e agli standard? Una volta acquisita questa comprensione, è più semplice dimostrare la conformità a requisiti specifici e generare report per i revisori.

Ha un impatto anche sulle operazioni di gestione del ciclo di vita dei dati, come la conservazione dei dati e i programmi di rimozione.

Applicare la tassonomia per le query

Esistono molti modi per applicare le etichette di tassonomia ai dati identificati. L'utilizzo di uno schema di classificazione con metadati è il modo più comune per indicare le etichette. Il processo di progettazione dell'architettura dovrebbe includere la progettazione dello schema.

Tieni presente che non tutti i dati possono essere chiaramente classificati. Prendi una decisione esplicita su come rappresentare nei report i dati che non possono essere classificati.

L'implementazione effettiva dipende dal tipo di risorse. I dati utilizzati dal carico di lavoro di Power Platform potrebbero provenire da origini dati esterne a Power Platform. Il tuo schema dovrebbe includere dettagli su come i dati provenienti da diverse origini dati si spostano attraverso il carico di lavoro o vengono potenzialmente trasferiti da un archivio dati all'altro, mantenendo l'integrità della classificazione.

Alcune risorse di Azure dispongono di sistemi di classificazione incorporati. Ad esempio, Azure SQL Server dispone di un motore di classificazione, supporta il mascheramento dinamico e può generare report basati sui metadati. Microsoft Teams, i gruppi di Microsoft 365 e i siti di SharePoint possono avere etichette di riservatezza applicate a livello di contenitore. Microsoft Dataverse si integra con Purview per applicare etichette ai dati. Microsoft

Quando progetti la tua implementazione, valuta le funzionalità supportate dalla piattaforma e trai vantaggio da esse. Assicurati che i metadati utilizzati per la classificazione siano isolati e archiviati separatamente dagli archivi dati.

Esistono anche strumenti di classificazione specializzati in grado di rilevare e applicare automaticamente le etichette. Questi strumenti sono collegati alle tue origini dati. Microsoft Purview ha funzionalità di rilevamento automatico. Esistono anche strumenti di terze parti che offrono funzionalità simili. Il processo di individuazione deve essere convalidato tramite verifica manuale.

Rivedere regolarmente la classificazione dei dati. La manutenzione della classificazione dovrebbe essere integrata nelle operazioni, altrimenti metadati obsoleti possono portare a risultati errati per gli obiettivi identificati e problemi di conformità.

Compromesso: tenere presente il compromesso sui costi degli utensili. Gli strumenti di classificazione richiedono formazione e possono essere complessi.

In definitiva, la classificazione deve essere implementata nell'organizzazione attraverso team centrali. Ottieni input da loro sulla struttura del report prevista. Inoltre, sfrutta strumenti e processi centralizzati per avere un allineamento organizzativo e anche alleviare i costi operativi.

Facilitazione di Power Platform

La classificazione dovrebbe influenzare le tue decisioni relative all'architettura.

Microsoft Purview garantisce visibilità sulle risorse di dati dell'intera organizzazione. Per ulteriori informazioni, vedere Scopri di più su Microsoft Purview.

Microsoft Purview Data Map consente la scoperta automatizzata dei dati e la classificazione dei dati sensibili. L'integrazione tra Microsoft Purview e Microsoft Dataverse ti aiuterà a comprendere e gestire meglio il patrimonio di dati delle tue applicazioni aziendali, a salvaguardare tali dati e a migliorarne la sicurezza e la conformità.

Con questa integrazione puoi:

  • Creare una mappa dei dati olistica e aggiornata su Microsoft Dynamics 365, Power Platform e altre fonti supportate da Microsoft Purview.
  • Classificare automaticamente le risorse di dati in base alle classificazioni di sistema integrate o alle classificazioni personalizzate definite dall'utente, per identificare e comprendere i dati sensibili.
  • Consentire ai consumer di dati di individuare dati preziosi e affidabili.
  • Consentire ai curatori dei dati e agli amministratori della sicurezza di gestire e mantenere sicuro il patrimonio di dati, ridurre l'esposizione dei dati e proteggere meglio i dati sensibili.

Per ulteriori informazioni, vedere Connetti per e gestire Microsoft Dataverse in Microsoft Purview.

Allineamento organizzativo

Cloud Adoption Framework fornisce indicazioni ai team centrali su come classificare i dati in modo che i team del carico di lavoro possano seguire la tassonomia organizzativa.

Per altre informazioni, vedi Cos'è la classificazione dei dati?

Elenco di controllo della sicurezza

Fai riferimento alla serie completa di elementi consigliati.