Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
При разработке, обновлении или уточнении платформы классификации данных учитывайте следующие передовые методики:
Не ожидайте переходить от 0 до 100 на 1-й день. Корпорация Майкрософт рекомендует подход обхода контента и пошагового выполнения, приоритизация функций, критически важных для организации, и сопоставление их с временная шкала. Выполните первый шаг, убедитесь, что он был успешным, а затем перейдите к следующему этапу применения извлеченных уроков. Помните, что ваша организация может по-прежнему подвергаться риску при разработке платформы классификации данных, поэтому можно начать с малого с нескольких уровней классификации и расширить позже по мере необходимости.
Вы не просто пишете для специалистов по кибербезопасности: платформы классификации данных предназначены для широкой аудитории, включая среднего сотрудника, ваши юридические группы и команды по соответствию требованиям, а также вашу ИТ-команду. Напишите понятные и понятные определения для уровней классификации данных, предоставляя реальные примеры везде, где это возможно. Постарайтесь избегать жаргона и подумайте о глоссарии сокращений и узкоспециализированных терминов. Например, используйте "Персональные данные" и предоставьте определение вместо простого слова "PII".
Платформы классификации данных должны быть реализованы. Чтобы платформы классификации данных были успешными, они должны быть реализованы. Этот момент особенно актуален при создании требований к элементу управления для каждого уровня классификации данных. Убедитесь, что требования четко определены и что они предвидят и устраняют любые неоднозначности, которые могут возникнуть во время реализации. Например, если у вас есть контроль над персональными данными, убедитесь, что именно означает этот элемент управления, например социальное обеспечение или номер паспорта.
Детализировать можно только в том случае, если необходимо: платформы классификации данных обычно содержат от трех до пяти уровней классификации данных. Но то, что вы можете включить пять уровней, не означает, что вам следует это делать. При выборе необходимого числа уровней классификации учитывайте следующие критерии:
- Ваша отрасль и связанные с ней нормативные обязательства (строго регулируемым отраслям, как правило, требуется больше уровней классификации)
- Эксплуатационные издержки, необходимые для поддержания более сложной платформы
- Ваши пользователи и их способность соответствовать повышенной сложности и нюансам, связанным с дополнительными уровнями классификации
- Взаимодействие с пользователем и специальные возможности при попытке применить ручную классификацию для нескольких типов устройств
Привлечение нужных людей: наличие старшего заинтересованных лиц имеет решающее значение для успеха, так как многие проекты изо всех сил пытаются начать или занять больше времени без поддержки высшего руководства. Группы информационных технологий обычно владеют платформами классификации данных, но эти платформы могут иметь последствия для законодательства, соответствия требованиям, конфиденциальности и управления изменениями. Чтобы гарантировать, что вы создаете платформу, которая помогает защитить ваш бизнес, включите в разработку политики конфиденциальность и юридических заинтересованных лиц, таких как ваш главный сотрудник по вопросам конфиденциальности и Офис генерального советника. Если в вашей организации есть отдел соответствия требованиям, специалисты по управлению информацией или группа управления записями, они также могут иметь ценные сведения. По мере развертывания платформы в бизнесе отдел коммуникаций также играет ключевую роль во внутреннем обмене сообщениями и внедрении.
Баланс между безопасностью и удобством. Распространенной ошибкой является создание безопасной, но слишком ограничительной платформы классификации данных. Эта платформа может быть разработана с учетом безопасности, но часто ее трудно реализовать на практике. Если пользователям нужно следовать сложным, жестким и трудоемким процедурам, чтобы применить платформу в своей повседневной жизни, всегда существует риск того, что они могут перестать следовать процедурам, потому что они больше не верят в ее ценность. Этот риск существует на всех уровнях организации, включая руководителей высшего звена внутри организации. Хороший баланс между безопасностью и удобством, а также простыми в использовании инструментами обычно приводит к более широкому внедрению и использованию пользователями. Если в структуре есть пробелы, не ждите, пока все станет идеально, чтобы приступить к реализации. Вместо этого оцените риск или разрыв, создайте план для его устранения и продолжайте двигаться вперед. Помните, что защита информации — это путь, это не то, что активируется в одночасье, а затем делается. Планируйте, реализуйте некоторые возможности, подтверждайте успешность и переходите к следующему этапу по мере развития инструментов, и приобретения опыта пользователями.
Кроме того, помните, что платформа классификации данных предназначена только для защиты конфиденциальных данных в вашей организации. Платформы классификации данных часто сопровождаются правилами или рекомендациями по обработке данных , определяющими способ применения этих политик с технической и технологической точки зрения. В следующих разделах мы рассмотрим некоторые практические рекомендации о том, как перевести платформу классификации данных из документа политики в полностью реализованную и действимую инициативу.
Сложные моменты при создании структуры классификации данных
Усилия по классификации данных затрагивают почти каждую бизнес-функцию на предприятии. Из-за этой широкой область и сложности управления содержимым в современных цифровых средах компании часто сталкиваются с проблемами в том, чтобы узнать, с чего начать, как управлять успешной реализацией и как измерять прогресс. К общим болям часто относятся:
- Разработка надежной и простой для понимания платформы классификации данных, включая определение уровней классификации и связанных элементов управления безопасностью.
- Разработка плана реализации, который включает подтверждение соответствующего технологического решения, согласование плана с существующими бизнес-процессами и определение влияния на сотрудников.
- Настройка платформы классификации данных в выбранном технологическом решении и устранение пробелов между технологическими возможностями средства и самой платформой.
- Создание структуры управления, которая контролирует текущее обслуживание и работоспособность усилий по классификации данных.
- Определение конкретных ключевых показателей эффективности (KPI) для мониторинга и измерения хода выполнения.
- Повышение осведомленности и понимания политик классификации данных, почему они важны и как их соблюдать.
- Соответствие внутренним проверкам аудита, предназначенным для управления потерей данных и кибербезопасностью.
- Обучение и привлечение пользователей, с тем чтобы они знали о необходимости правильной классификации в повседневной работе и применяли правильные меры классификации.
Управление изменениями и обучение
Сегодня организации используют такие средства, как Microsoft 365, для реализации платформы классификации данных. Цель состоит в том, чтобы попытаться автоматизировать классификацию данных и не увеличивать нагрузку на сотрудников. Такая структура не означает, что ваша организация не несет ответственности за повышение осведомленности о необходимости управления содержимым и защиты организации от рисков, рассмотренных в этом документе. Ведущей практикой по-прежнему является проведение обучения по повышению осведомленности по всей организации в рамках ежегодного графика обучения. Наш опыт показывает, что прикладывание надежных и комплексных усилий к обучению ваших пользователей, которые являются ключевой аудиторией, выполняющей эту работу, увеличивает их "выкуп" на усилия и может повысить внедрение и качество. Добавление рекомендаций по меткам и подсказок из приложения может усилить эти усилия. Это обучение не обязательно должно быть обширным автономным курсом. Ваша организация может включить его в другие регулярные учебные курсы, такие как ежегодное обучение информационной безопасности, а затем включить обзор уровней и определений классификации данных. Главное, что ваши сотрудники понимают, что хотя средство автоматит классификацию данных, это не устраняет общую ответственность каждого пользователя за защиту данных в соответствии с политикой вашей компании.
Кроме того, следует рассмотреть возможность более глубокого обучения для команд ИТ и информационной безопасности, чтобы повысить операционную готовность. Команды, управляющие средством и платформой классификации данных, должны находиться на одной странице. Эта координация может потребовать от вас инвестировать в более надежный график обучения, который может быть чаще, чем ежегодно. Инвестиции в более частое обучение представляют собой еще один способ снижения риска для вашей организации. Эта команда отвечает за реализацию и, следовательно, может стать точкой сбоя, если не обучена средству и политике.
Если необходимо вручную пометить содержимое в средстве, целесообразно разработать группу суперпользователей, которые получают более расширенное обучение. Эти суперпользователей участвуют в ситуациях, когда пользователи должны вручную помечать документы метками конфиденциальности данных и иметь глубокое представление о системе классификации данных вашей организации и нормативных требованиях.
Наконец, ваше руководство должно уделять приоритетное внимание поведению информационной безопасности, чтобы укрепить для сотрудников важность инициатив по управлению рисками. К таким действиям относятся разработка и реализация надежной платформы классификации данных и назначение ключевых руководителей для продвижения инициативы, иногда называемых послами или лидерами изменений.
Управление и обслуживание
После разработки и реализации платформы классификации данных непрерывное управление и обслуживание имеют решающее значение для успеха. Помимо отслеживания того, как метки конфиденциальности используются на практике, необходимо обновить требования к управлению на основе изменений в правилах, передовых методик кибербезопасности и характера содержимого, которым вы управляете. Меры по управлению и обслуживанию могут включать:
- Создание отдела управления, занимающегося классификацией данных, или добавление ответственности за классификацию данных в устав существующего отдела информационной безопасности.
- Определение ролей и обязанностей пользователей, управляющих классификацией данных.
- Установление KPI для мониторинга и измерения прогресса.
- Отслеживание рекомендаций кибербезопасности и изменений в законодательстве.
- Разработка стандартных операционных процедур, которые поддерживают и применяют платформу классификации данных.
Отраслевые рекомендации
Хотя основные принципы разработки надежной платформы классификации данных являются универсальными, детали вашей платформы зависят от характера вашей отрасли и уникальных факторов соответствия и безопасности, которые требуются для данных.
Например, фирмам финансовых услуг может потребоваться рассмотреть вопрос о соблюдении нескольких нормативных рамок в зависимости от область их бизнеса и регионов, в которых они работают. Компании по ценным бумагам в США должны соблюдать правила счета, такие как правило 17a-4(f) SEC или правило 4511 FINRA, которые касаются требований к безопасности и хранению книг и записей. Аналогичным образом, фирмы, работающие в Соединенном Королевстве, должны рассмотреть вопрос о соблюдении FCA.
Правительственные учреждения сталкиваются с различными правилами, определяющими их данные, которые различаются в зависимости от территории и характера их работы. В США, например, правительственные учреждения и их агенты, которые получают доступ к федеральной налоговой информации (FTI), подчиняются IRS 1075, который направлен на минимизацию риска потери, нарушения или неправильного использования федеральной налоговой информации.
В то время как фирмы финансовых услуг и правительственные учреждения являются одними из самых строго регулируемых организаций в мире, большинство предприятий имеют отраслевые соображения, которые вы должны учитывать. Вот некоторые примеры:
- Организации отрасли здравоохранения , обеспечивающие соответствие требованиям HIPAA.
- Образовательные учреждения, от школ K-12 до университетов, управляют соответствием FERPA.
- Производители лекарств работают в соответствии с рекомендациями GxP в своей стране или регионе в отношении информационной безопасности.
- Средства массовой информации, розничная торговля и многие другие компании, занимающиеся соблюдением GDPR.
- Доставка и хранение развлекательного, программного обеспечения и информационного содержимого, касающегося CDSA.
- Информационная безопасность энергетической отрасли соответствует стандарту NERC CIP.
Реализация платформы классификации данных в Microsoft 365
После разработки платформы классификации данных реализуйте ее. Портал Microsoft Purview позволяет администраторам обнаруживать, классифицировать, просматривать и отслеживать данные в соответствии с платформой классификации данных. Используйте метки конфиденциальности для защиты данных, применяя такие средства защиты, как шифрование и маркировка содержимого. Вы можете применить метки конфиденциальности к данным вручную, по умолчанию на основе параметров политики или автоматически при выполнении условия, такого как идентифицированная личные данные.
Для небольших организаций или организаций с оптимизированной платформой классификации данных может быть достаточно создать одну метку конфиденциальности для каждого уровня классификации данных. В следующем примере показано взаимно однозначное сопоставление уровня классификации данных с метками конфиденциальности:
| Метка классификации | Метка конфиденциальности | Параметры метки | Опубликовано в |
|---|---|---|---|
| Без ограничений | Без ограничений | Применить нижний колонтитул "Без ограничений" | Все пользователи |
| Общие | Общие | Применить нижний колонтитул "Общие" | Все пользователи |
Совет
Во время пилотного проекта по внутренней защите информации Майкрософт пользователям было трудно понять и использовать метку "Личная". Они были сбиты с толку о том, относится ли эта метка к PII или к личному вопросу. Чтобы сделать метку более понятной, измените ее на "non-business". Этот пример показывает, что таксономия не должна быть идеальной с самого начала. Начните с того, что вы считаете правильным, опробуйте его и при необходимости измените метку на основе отзывов.
Для более крупных организаций с глобальным охватом или более сложными потребностями в информационной безопасности может оказаться сложной связь между количеством уровней классификации в политике и количеством меток конфиденциальности в среде Microsoft 365. Эта проблема особенно актуально в глобальных организациях, где определенный уровень классификации данных, например "Ограниченный", может иметь другое определение или другой набор элементов управления в зависимости от региона.
Дополнительные сведения о реализации см. в разделах Общие сведения о классификации данных и Сведения о метках конфиденциальности.