SDK da Proteção de Informações da Microsoft - Conceitos de rótulo de classificação

  • Artigo

Como parte de uma estratégia de proteção de dados abrangente, as organizações devem implementar um sistema de classificação de dados que descreva os níveis de confidencialidade dos dados dentro da organização e, em seguida, mapear os atributos do documento para essas classificações.

Os atributos relacionados à classificação geralmente envolvem o risco para a organização se esse documento ou dados forem perdidos ou vistos por entidades não intencionais. No conhecido sistema de classificação do governo dos Estados Unidos, existem três níveis de classificação. Cada um tem uma definição que descreve quando essa classificação deve ser aplicada:

  • Ultrassecreto: deve ser aplicado a informações cuja divulgação não autorizada possa, de forma razoável, causar danos excepcionalmente graves à segurança nacional que a autoridade de classificação original possa identificar ou descrever.
  • Secreto: deve ser aplicado a informações cuja divulgação não autorizada possa, de forma razoável, causar sérios danos à segurança nacional que a autoridade de classificação original possa identificar ou descrever.
  • Confidencial: deve ser aplicado a informações cuja divulgação não autorizada possa, de forma razoável, causar danos à segurança nacional que a autoridade de classificação original possa identificar ou descrever.
  • Não classificado: na verdade, não se trata de uma classificação, mas sim da ausência de uma das três anteriores.

Em um aplicativo comercial ou do setor privado, podemos definir uma lista semelhante ao padrão no Serviço de Proteção de Informações do Azure, com valores monetários anexados.

  • Altamente confidencial: deve ser aplicado a informações cuja divulgação não autorizada possa, de forma razoável, causar danos superiores a USD $1M.
  • Confidencial: deve ser aplicado a informações cuja divulgação não autorizada possa, de forma razoável, causar danos superiores a USD $100K.
  • Geral: deve ser aplicado a informações cuja divulgação não autorizada possa, de forma razoável, causar danos dificilmente quantificáveis.
  • Público: deve ser aplicado a informações destinadas ao consumo público externo.
  • Não comercial: deve ser aplicado a informações que não estejam relacionadas aos negócios da empresa, direta ou indiretamente.

Cada classificação descreve o risco para o negócio em caso de divulgação não autorizada dessas informações. Depois de identificar essas classificações e condições, devem ser identificados atributos que ajudem os proprietários dos dados a entender qual classificação aplicar.

Rotulagem

O ato de associar uma classificação de dados a um conjunto de informações é chamado de rotulagem. Como o SDK da PIM está lidando com a aplicação de rótulos de classificação a documentos, não nos referimos a classificações, mas sim a rótulos. Um usuário ou processo já classificou os dados com base no conhecimento das informações: o SDK da PIM então rotulará as informações.

Rótulos no SDK da PIM

Os rótulos são um componente fundamental do SDK da PIM. Os rótulos direcionam a marcação, a proteção e a identificação de conteúdo de todos os documentos referidos pelo SDK. O SDK pode:

  • aplicar rótulos a documentos
  • ler rótulos existentes em documentos
  • alterar um rótulo existente e solicitar uma justificativa, se exigido pela política
  • remover um rótulo de um documento

O rótulo aplicará proteção e marcação de conteúdo com base na configuração definida pelos administradores de rótulos no Centro de Conformidade e Segurança.

mip::Label vs. mip::ContentLabel

Existem dois tipos de rótulo no SDK da PIM. Label e ContentLabel.

  • Rótulo: pode ser aplicado por um usuário ou processo, conforme definido na política organizacional.
  • ContentLabel: um rótulo que já existe em um documento ou informação. Ele pode ser lido, atualizado ou removido.

Em outras palavras, o ContentLabel é um Label que foi aplicado a uma parte da informação.

Metadados

O SDK também dava suporte à adição de metadados extras a documentos na forma de pares chave-valor. Se sua organização tiver subclassificações ou rótulos que descrevam as informações de maneira mais específica, o SDK poderá ser usado para aplicar esses metadados.

Próximas etapas

Para obter mais detalhes sobre o sistema de classificação do governo dos Estados Unidos, confira https://www.gpo.gov/fdsys/pkg/FR-2010-01-05/html/E9-31418.htm.