Anforderungen für die Microsoft 365-Funktionszuordnung für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel ist eine wichtige Komponente des Leitfadens für die australische Regierung Information Protection. Sie enthält die Anforderungen des Frameworks für die Schutzsicherheitsrichtlinie, des Handbuchs zur Informationssicherheit (Information Security Manual, ISM) und deraustralischen Regierung an die Datensatzverwaltungsmetadaten Standard (AGRkMS). Es bietet auch Ratschläge dazu, wie Microsoft Purview und andere Microsoft 365-Funktionen die angegebenen Anforderungen erfüllen können, und bietet Links zu anderen Abschnitten des Leitfadens, in denen diese Funktionen näher erläutert werden. Der Artikel enthält auch Anleitungen zu Staatlichen Regierungsframeworks, z. B. dem Victorian Government Victorian Protective Data Security Framework (VPDSF).
Framework für Schutzsicherheitsrichtlinien
Das Protection Security Policy Framework (PSPF) ist eine Reihe von Richtlinien, die australische Behörden beim Schutz ihrer Personen, Informationen und Ressourcen unterstützen sollen. Das PSPF beschreibt die Anforderungen an Entitäten, um die von der Regierung gewünschten Schutzsicherheitsergebnisse zu erreichen.
Weitere Informationen zu PSPF finden Sie unter Framework für Schutzsicherheitsrichtlinien.
Die PSPF-Richtlinien, die eng mit Microsoft Purview Information Protection Konfigurationen zusammenhängen, sind:
Der Schlüssel zum Verständnis der PSPF-Anwendung auf E-Mail-Dienste ist PSPF Policy 8 Anhang F: Australian Government Email Protective Marking Standard, auf den in diesem Dokument verwiesen wird.
PSPF enthält einen Berichterstellungsmechanismus, mit dem Organisationen über ihren Reifegrad in den verschiedenen PSPF-Richtlinien berichten können. Dieser Leitfaden soll es Organisationen mit geringem Reifegrad ermöglichen, ihre PSPF-Richtlinie 8 und Richtlinie 9 mit geringerem Aufwand auf die Ebenen "Verwalten" oder "Eingebettet" zu verbessern. Weitere Informationen zu PSPF-Reifegraden finden Sie unter Schutzsicherheitsrichtlinien-Framework-Bewertungsbericht 2022-23
PSPF-Richtlinie 8: Vertrauliche und klassifizierte Informationen
Die Anforderungen basieren auf pspf Policy 8 requirements V2018.8 (aktualisiert am 30. August 2023).
PSPF-Richtlinie 8 erläutert, wie Entitäten die Vertraulichkeits- oder Sicherheitsklassifizierung ihrer Informationen richtig bewerten und Kennzeichnungs-, Handhabungs-, Aufbewahrungs- und Entsorgungsvereinbarungen übernehmen, die vor Einer Kompromittierung von Informationen schützen.
Diese Richtlinie ist in kerne und unterstützende Anforderungen unterteilt. Kommentare zu Microsoft 365-Funktionen, die den Anforderungen entsprechen, und Links zu den relevanten Anleitungen auf dieser Website finden Sie in der folgenden Tabelle. Die Richtlinie kann auch vollständig unter PSPF-Richtlinie 8: Vertrauliche und klassifizierte Informationen gelesen werden.
Kernanforderung A und unterstützende Anforderung 1: Identifizieren von Informationsbeständen
| Lösungsfunktion | Abschnitt |
|---|---|
| Benutzer müssen die Vertraulichkeit von Elementen (Dateien und E-Mails) über Vertraulichkeitsbezeichnungen identifizieren. |
Beschriftungsclienterfahrung Verbindliche Bezeichnung PDF-Integration von Vertraulichkeitsbezeichnungen |
| Wenden Sie Schutzmarkierungen auf Standorte (Websites und Teams) an, und wenden Sie Schutz auf markierte Standorte an. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen und Standorten |
| Definieren Sie die Vertraulichkeit von Besprechungen, und implementieren Sie die zugehörigen Betriebskontrollen. | Vertraulichkeitsbezeichnungen für Kalenderelemente und Teambesprechungen |
| Benutzer müssen die Vertraulichkeit von Power BI-Arbeitsbereichen über Vertraulichkeitsbezeichnungen identifizieren. | Power BI und Datenintegration |
| Wenden Sie Bezeichnungen auf vertrauliche Informationen an, die sich in Datenbanksystemen befinden. | Schematisierte Datenassets |
| Wenden Sie E-Mail-Header an, die verwendet werden können, um die Vertraulichkeit eingehender Elemente zu identifizieren und geeignete Steuerelemente anzuwenden. | Bezeichnung von E-Mails während des Transports |
Kernanforderung B und unterstützende Anforderung 2: Bewertung vertraulicher und sicherheitsrelevanter Informationen
| Lösungsfunktion | Abschnitt |
|---|---|
| Bieten Sie Benutzern die Möglichkeit, den Wert, die Wichtigkeit und die Vertraulichkeit von Elementen bei der Auswahl einer Vertraulichkeitsbezeichnung zu bewerten. | Verbindliche Bezeichnung |
| Führen Sie Benutzer bei der Bewertung der Elementempfindlichkeit durch Popupdialogfelder mit Bezeichnungsbeschreibungen, die während der Bezeichnungsauswahl sichtbar sind. | Bezeichnungsbeschreibung für Benutzer |
| Bietet die Möglichkeit, einen organization spezifischen Link Weitere Informationen zu konfigurieren, auf den über das Bezeichnungsauswahlmenü zugegriffen werden kann, und kann Benutzern weitere Ratschläge zu geeigneten Bezeichnungen für Arten von Informationen geben. | Benutzerdefinierte Hilfeseite |
| Unterstützt die Benutzer bei der Bewertung von Informationsbeständen, indem unterklassige Posten erkannt und gegebenenfalls eine erneute Bewertung empfohlen wird. | Empfehlen von Bezeichnungen basierend auf der Erkennung vertraulicher Inhalte |
| Unterstützt die Bewertung von Informationen, indem vertrauliche Daten identifiziert werden, die von Datenbankanwendungen oder ähnlichen Plattformen stammen oder darin vorhanden sind. | Genaue Daten stimmen mit vertraulichen Informationstypen überein |
| Unterstützen Sie die Bewertung von Informationen, indem Sie maschinelles Lernen verwenden, um Elemente zu identifizieren, die normalerweise als vertraulich angesehen werden. | Trainierbare Klassifizierer |
| Unterstützen Sie Benutzer bei der Bewertung von Informationsbeständen, indem Sie Bezeichnungen empfehlen, die auf von externen Organisationen angewendete Markierungen abgestimmt sind. | Empfehlungen auf Der Grundlage von Kennzeichnungen externer Behörden |
| Unterstützen Sie Benutzer bei der Bewertung von Informationsbeständen, indem Sie Bezeichnungen empfehlen, die an historischen Markierungen ausgerichtet sind. |
Empfehlungen basierend auf Verlaufsmarkierungen Automatische Bezeichnung von Elementen mit historischen Sicherheitsklassifizierungen |
| Unterstützen Sie Benutzer bei der Bewertung von Informationsbeständen, indem Sie Bezeichnungen empfehlen, die mit Markierungen übereinstimmen, die von Nicht-Microsoft-Klassifizierungslösungen angewendet wurden. | Empfehlungen basierend auf Markierungen, die von Nicht-Microsoft-Tools angewendet werden |
| Unterstützung bei der Bewertung von Informationen durch Bereitstellen visueller Benachrichtigungen für Benutzer über DLP-Richtlinientipp , wenn vertrauliche Informationen in einem Element erkannt werden. | DLP-Richtlinientipps vor Verstoß |
| Identifizieren Sie vertrauliche Informationen, die sich in Datenbanksystemen befinden, bezeichnen Sie die Informationen an Ort und Stelle, und lassen Sie zu, dass die Bezeichnung auf Downstreamsystemen geerbt wird. |
Power BI und Azure Purview Beschriftungen in Microsoft Purview Data Map |
Kernanforderung C: Implementieren operativer Kontrollen für diese Informationsbestände proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit
| Lösungsfunktion | Abschnitt |
|---|---|
| Verhindern Sie die unangemessene Verteilung von sicherheitsrelevanten Informationen, indem Sie DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) verwenden, die auf Vertraulichkeitsbezeichnungen basieren. | Schützen von klassifizierten Informationen |
| Verhindern Sie die unangemessene Verteilung vertraulicher Informationen, indem Sie DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) für vertrauliche Inhalte verwenden. | Schützen vertraulicher Informationen |
| Stellen Sie visuelle Markierungen für einzelne Elemente bereit, die die Sicherheitsklassifizierung widerspiegeln, die auf Informationen innerhalb des Elements angewendet wird. | Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen |
| Stellen Sie visuelle Markierungen bereit, die die höchste Vertraulichkeitsstufe widerspiegeln, die an einem Standort (Website oder Team) vorhanden sein sollte. | SharePoint-Speicherort und Elementempfindlichkeit |
| Konfigurieren Sie die Datenschutzeinstellungen des Standorts basierend auf der Vertraulichkeit, die auf den Standort angewendet wird. | Datenschutzeinstellungen für Bezeichnungen |
| Aktivieren oder deaktivieren Sie den Gastzugriff auf einen Speicherort und auf Elemente innerhalb eines Speicherorts basierend auf der Bezeichnung der angewendeten Speicherorte. | Gastzugriffskonfiguration |
| Steuern Sie die Microsoft 365-Freigabekonfiguration für einen SharePoint-basierten Standort (Website oder Team), abhängig von der Bezeichnung, die auf den Standort angewendet wird. | Konfiguration der Bezeichnungsfreigabe |
| Bereitstellen von Benutzerbenachrichtigungen und Warnungen für hochsensible Elemente, die sich an Speicherorten mit niedrigerer Vertraulichkeit befinden. | Out-of-Place-Warnungen für Daten |
| Konfigurieren Sie andere Anforderungen für den Zugriff auf hochsensible Standorte (Websites oder Teams). Beispielsweise von nicht verwalteten Geräten, unsicheren Geräten oder unbekannten Standorten. |
Bedingter Zugriff Authentifizierungskontext Schützen von klassifizierten Informationen Steuern der Freigabe durch adaptiven Schutz |
| Verschlüsseln Sie hochsensible Elemente, um den Zugriff durch nicht autorisierte Benutzer zu verhindern, unabhängig vom Speicherort eines Elements. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Konfigurieren Sie Zugriffs- und Nutzungseinschränkungen für Gruppen von internen Benutzern oder Gästen. | Zuweisen von Bezeichnungsverschlüsselungsberechtigungen |
| Schränken Sie die Verschiebung von sicherheitsgesicherten Elementen und/oder deren enthaltenen Informationen an Orte ein, an denen der Zugriff oder die weitere Verteilung ihrer eingeschlossenen Informationen nicht gesteuert werden kann. |
Verhindern des Herunterladens oder Druckens von sicherheitsrelevanten Elementen Verhindern des Uploads von sicherheitsrelevanten Elementen an nicht verwaltete Speicherorte |
Unterstützende Anforderungen
Anforderung 1: Identifizieren von Informationsbeständen
Es gibt keine zusätzlichen unterstützenden Anforderungen, die über die Kernanforderungen hinausgehen.
Anforderung 2: Bewertung vertraulicher und sicherheitsrelevanter Informationen
Es gibt keine zusätzlichen unterstützenden Anforderungen, die über die Kernanforderungen hinausgehen.
Anforderung 3: Deklassifizierung
| Lösungsfunktion | Abschnitt |
|---|---|
| Notieren Sie eine überprüfbare Spur aller bezeichnungsbezogenen Aktivitäten, einschließlich des Entfernens oder Verringerns von angewendeten Vertraulichkeitsbezeichnungen. Zeichnen Sie Bezeichnungsänderungsaktivitäten auf, einschließlich des Benutzers, der die Änderung vorgenommen hat, und deren Begründung dafür. |
Begründung für Bezeichnungsänderungen Überwachungsprotokoll |
| Wenden Sie Verschlüsselung auf Elemente an, die interne oder gastinterne Möglichkeiten zum Ändern von Elementen einschränken, das Element beibehalten und die Markierung/Klassifizierung angewendet haben. | Zuweisen von Bezeichnungsverschlüsselungsberechtigungen |
| Sperren von Elementen, um Elementänderungen zu verhindern, einschließlich der Möglichkeit, die angewendete Vertraulichkeitsbezeichnung zu ändern. | Bezeichnung "lock"-Ansatz |
| Bericht über Benutzer, die Aktivitäten durchführen, die als risikobehaftet für die Informationssicherheit eingestuft werden, einschließlich Downgrade- und Exfiltrationssequenzen für Bezeichnungen. |
Benutzerrisikobasierter Ansatz Überwachen der Freigabe durch Insider-Risikomanagement Steuern der Freigabe durch adaptiven Schutz |
| Implementieren Sie DLP-Richtlinien, um Schutzmarkierungen innerhalb von Elementen zu erkennen, wenn die aktuell angewendete Bezeichnung niedriger als die identifizierte Markierung ist. | Auswirkungen auf das Herabstufen schädlicher Bezeichnungen |
Anforderung 4: Kennzeichnung von Informationen
| Lösungsfunktion | Abschnitt |
|---|---|
| Office-Clients bieten eine klare Identifizierung der Vertraulichkeit eines Elements über clientbasierte Bezeichnungsmarkierungen. | Beschriftungsclienterfahrung |
| Wenden Sie textbasierte Schutzkennzeichnungen an, um vertrauliche und sicherheitsrelevante Informationen zu kennzeichnen. |
Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen Strategien zur Informationsmarkierung |
| Wenden Sie farbcodierte Markierungen an, um Benutzer bei der Identifizierung der Vertraulichkeit zu unterstützen. | Bezeichnungsfarbe |
| Wenden Sie Schutzmarkierungen über E-Mail-Metadaten (X-Header) an. | Anwenden von X-Schutzmarkierungsheadern über eine DLP-Richtlinie |
| Tragen Sie Schutzmarkierungen über den E-Mail-Betreff auf. | Anwenden von betreffbasierten E-Mail-Markierungen |
| Wenden Sie Markierungen auf Standorte an, z. B. Websites oder Teams. Diese Markierungen identifizieren die höchste Ebene der Elementempfindlichkeit, die am Standort/Container vorhanden sein sollte. | Out-of-Place-Warnungen für Daten |
| Identifizieren Sie die Elementempfindlichkeit für Benutzer eindeutig, wenn Sie in SharePoint-basierten Verzeichnissen (Websites, Teams oder OneDrive) arbeiten. | SharePoint-Speicherort und Elementempfindlichkeit |
Anforderung 5: Verwenden von Metadaten zum Markieren von Informationen
| Lösungsfunktion | Abschnitt |
|---|---|
| Indexsicherheitsklassifizierung und Sicherheitsbeschränkungen und Verbreitung begrenzende Markereigenschaften über die SharePoint-Suche, die an den AGRkMS-Anforderungen ausgerichtet sind. | Verwalten von Klassifizierungs- und Einschränkungsmetadaten |
| Wenden Sie X-Protective-Marking-X-Header an, um die Anforderungen an E-Mail-Metadaten gemäß PSPF-Richtlinie 8 Anhang F zu erfüllen. | Anwenden von X-Schutzmarkierungsheadern über eine DLP-Richtlinie |
| Wenden Sie Metadaten auf Datenbankspalten an, die vertrauliche Informationen in verbundenen Datenbanksystemen enthalten. | Power BI und Datenintegration |
Anforderung 6: Vorbehalte und rechenschaftspflichtiges Material
| Lösungsfunktion | Abschnitt |
|---|---|
| Markieren Sie eingeschränkte Informationen und zugehörige Dissemination Limiting Markers (DLMs) oder Klassifizierungen über die Vertraulichkeitsbezeichnungsstruktur. | Erforderliche Taxonomie für Vertraulichkeitsbezeichnungen |
| Markieren Sie Einschränkungen für zugeordnete Elemente per Text. |
Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen Themenbasierte Kennzeichnungen |
| Zeichnet alle ein- und ausgehenden Materialübertragungen auf. | Überwachungsprotokoll |
| Wenden Sie Einschränkungen für die Verteilung und/oder zugriffseinschränkungen an. |
Einschränken der Verteilung vertraulicher Informationen Verschlüsselung von Vertraulichkeitsbezeichnungen |
Anforderung 7: Mindestanforderungen an Schutz und Handhabung
| Lösungsfunktion | Abschnitt |
|---|---|
| In Microsoft 365-Rechenzentren gespeicherte Informationen werden im Ruhezustand per BitLocker-Verschlüsselung verschlüsselt. | Übersicht über die Verschlüsselung |
| Fordern Sie die TLS-Verschlüsselung für die E-Mail-basierte Übertragung vertraulicher Elemente an, um sicherzustellen, dass diese verschlüsselt werden, wenn sie über öffentliche Netzwerke übertragen werden. | Anfordern der TLS-Verschlüsselung für die Übertragung vertraulicher E-Mails |
| Konfigurieren Sie eine präzise Zugriffssteuerung für markierte Standorte (Websites oder Teams) und blockieren Sie Benutzer, Geräte oder Standorte, die die Zugriffsanforderungen oder freigaben nicht erfüllen. |
Einschränkungen für nicht verwaltete Geräte Authentifizierungskontext |
| Behalten Sie die Prinzipien von "Need to Know" bei, indem Sie die Freigabe, den Gastzugriff und die Datenschutzkonfiguration markierter Standorte einschränken. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen und Standorten |
| Wenden Sie DLP-Richtlinien an, um sicherzustellen, dass Sie wissen müssen, und beschränken Sie die Verteilung von Elementen auf nicht autorisierte oder unklare interne Benutzer und externe Organisationen. | Einschränken der Verteilung vertraulicher Informationen |
| Verschlüsseln Sie vertrauliche oder sicherheitsrelevante Elemente, indem Sie Zugriffssteuerungen bereitstellen und sicherstellen, dass nur autorisierte Benutzer Zugriff auf die enthaltenen Informationen haben, unabhängig vom Speicherort des Elements. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Wenden Sie Schutzmechanismen wie Verschlüsselung, Freigabe und DLP-bezogene Steuerelemente auf Exporte oder PDF-Dateien an, die aus bezeichneten Quellsystemen generiert werden. | Power BI und Datenintegration |
| Identifizieren Sie Elemente, die mit historischen Sicherheitsklassifizierungen gekennzeichnet sind, und richten Sie entweder automatisch mit modernen Markierungen aus, oder behalten Sie die Verlaufsbezeichnung zusammen mit den erforderlichen Steuerelementen bei. | Empfehlungen basierend auf Verlaufsmarkierungen |
Anforderung 8: Entsorgung
| Lösungsfunktion |
|---|
| Implementieren Sie Aufbewahrungsrichtlinien, Aufbewahrungsbezeichnungen, Datenlebenszyklus- und Datensatzverwaltungskonfigurationen, einschließlich Löschungsprüfung, um Die Anforderungen an Archiv und Datensätze zu unterstützen. |
| Ausrichten von Sicherheitsmarkierungen, Aufbewahrungsbezeichnungen/Richtlinien und zugehöriger Löschung bei Bedarf (beachten Sie, dass Sicherheit und Archiv selten übereinstimmen). |
| Implementieren Sie Aufbewahrungsrichtlinien, die Informationen entweder dauerhaft entfernen, sobald die Aufbewahrungsanforderungen für Elemente erfüllt sind, oder stellen Sie Den Teams für die Datensatzverwaltung Eine Löschungsüberprüfung zur Verfügung, die die Überprüfung von Elementen vor der endgültigen Löschung ermöglicht. |
Diese Artikel beziehen sich auf Microsoft Purview-Datenlebenszyklusverwaltung dann Information Protection und liegen außerhalb des Rahmens dieser Anleitung. Anleitungen zu Microsoft Purview-Datenlebenszyklusverwaltung finden Sie unter Lebenszyklusverwaltung.
Anforderung 9: Vertrauliche und sicherheitsklassifizierene Diskussionen
| Lösungsfunktion | Abschnitt |
|---|---|
| Wenden Sie Schutzmarkierungen auf Teams-Besprechungseinladungen und Outlook-Kalenderelemente an. Wenden Sie Steuerelemente auf Kalenderelemente an, z. B. die Verschlüsselung von Besprechungsanlagen. |
Bezeichnung von Kalenderelementen |
| Wenden Sie Schutzmarkierungen auf Teams-Besprechungen an, und konfigurieren Sie erweiterte Steuerelemente zum Schutz von klassifizierten Unterhaltungen, einschließlich erweiterter Verschlüsselungstechniken und Besprechungswasserzeichen. End-to-End-Verschlüsselung von Teams-Unterhaltungen, die Benutzern die Sicherheit bietet, dass vertrauliche oder sicherheitsrelevante Diskussionen nicht abgefangen werden können. |
Teams Premium Bezeichnungskonfiguration |
PSPF-Richtlinie 9: Zugriff auf Informationen
Der Zugriff auf Informationen basiert auf den Anforderungen der PSPF-Richtlinie 9 V2018.6 (aktualisiert am 16. August 2022).
Die PSPF-Richtlinie 9 befasst sich mit dem rechtzeitigen, zuverlässigen und angemessenen Zugang zu offiziellen Informationen.
Wie bei Richtlinie 8 ist Richtlinie 9 in kerne und unterstützende Anforderungen unterteilt.
Kommentare zu Microsoft 365-Funktionen, die den Anforderungen entsprechen, und Links zu den relevanten Abschnitten in diesem Dokument sind in der folgenden Tabelle enthalten.
Informationen zur PSPF-Richtlinienquelle finden Sie unter PSPF-Richtlinie 9: Zugriff auf Informationen.
Kernanforderung A: Aktivieren des geeigneten Zugriffs beim Freigeben von Informationen innerhalb der Entität und mit anderen relevanten Projektbeteiligten
| Lösungsfunktion | Abschnitt |
|---|---|
| Schränken Sie die Freigabe, den Datenschutz und/oder den Gastzugriff basierend auf der Vertraulichkeitsbezeichnung ein, die auf einen Team- oder SharePoint-Standort angewendet wird. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen und Standorten |
| Schränken Sie die Freigabe ein, oder warnen Sie Benutzer, wenn sie versuchen, gekennzeichnete Inhalte für nicht autorisierte interne oder externe Gruppen freizugeben. |
Verhindern einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen Einschränken der Verteilung vertraulicher Informationen |
| Verhindern sie die Zustellung von gekennzeichneten E-Mails oder E-Mail-Anlagen an nicht autorisierte Empfänger. |
Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Benutzer |
| Beschränken Sie den Upload von bezeichneten Inhalten auf nicht genehmigte Clouddienste oder Auf Speicherorte, an denen nicht autorisierte Benutzer darauf zugreifen können. | Verhindern des Hochladens von sicherheitsklassierten Elementen an nicht verwaltete Speicherorte |
| Verhindern Sie den Zugriff auf bezeichnete Elemente (Dateien oder E-Mails) durch nicht autorisierte Benutzer in Situationen, in denen sie unangemessen freigegeben wurden. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Verhindern, dass bezeichnete Elemente in nicht genehmigte Clouddienste hochgeladen werden. Verhindern Sie, dass sie gedruckt, auf USB kopiert, über Bluetooth oder nicht zugelassene App übertragen werden. |
Verhindern der Freigabe von sicherheitsrelevanten Informationen Verhindern des Herunterladens oder Druckens von sicherheitsrelevanten Elementen |
Kernanforderung B: Sicherstellen, dass Personen, die auf vertrauliche oder sicherheitsrelevante Informationen zugreifen, über eine angemessene Sicherheitsfreigabe verfügen und diese Informationen kennen müssen
| Lösungsfunktion | Sections |
|---|---|
| Beschränken Sie den Zugriff auf Speicherorte, die vertrauliche oder klassifizierte Informationen enthalten, nur auf Benutzer, die autorisiert sind. | Authentifizierungskontext |
| Integrieren Sie Vertraulichkeitsbezeichnungen und DLP. Richtlinien können erstellt werden, um die Freigabe (per E-Mail oder Freigabeaktion) von Elementen mit bestimmten Markierungen mit nicht autorisierten Benutzern zu verhindern. |
Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Benutzer Verhindern der Freigabe von sicherheitsrelevanten Informationen |
| Bereitstellen von DLP-Richtlinientipps, die Benutzer vor der Weitergabe von Informationen vor einem Richtlinienverstoß warnen, wodurch die Wahrscheinlichkeit der Offenlegung von Informationen aufgrund von Situationen wie einer fehlerhaften Identität verringert wird. | DLP-Richtlinientipps vor Verstoß |
| Überwachen, Warnen und/oder Blockieren von Versuchen, gekennzeichnete Elemente an Benutzer freizugeben oder per E-Mail an Benutzer zu senden, die nicht über eine entsprechende Sicherheitsfreigabe verfügen. | DLP-Ereignisverwaltung |
| Konfigurieren Sie Datenschutzoptionen für Websites oder Teams basierend auf der Markierung eines Standorts. Dies verhindert den offenen Zugriff auf Standorte für Benutzer, die nicht wissen müssen, und gibt Team- oder Standortbesitzern die Kontrolle über den Zugriff auf diese Standorte. Es hilft auch, unterstützende Anforderung 2 zu erfüllen, indem der Zugriff nicht automatisch basierend auf status, Rang oder Komfort bereitgestellt wird. | Datenschutzeinstellungen für Bezeichnungen |
| Konfigurieren Sie Freigabeeinschränkungen für eine Website oder ein Team, um sicherzustellen, dass Elemente an markierten Speicherorten nur für interne Benutzer freigegeben werden können. | Konfiguration der Bezeichnungsfreigabe |
| Verwenden Sie die Bezeichnungsverschlüsselung, um den Zugriff auf bezeichnete Inhalte zu steuern, und stellen Sie sicher, dass nur autorisierte Benutzer darauf zugreifen können. | Aktivieren der Bezeichnungsverschlüsselung |
| Warnung bei sicherheitsreklassierten oder markierten Informationen, die an Speicherorte mit niedrigerer Vertraulichkeit verschoben werden, auf die nicht autorisierte Benutzer leichter zugreifen können. | Out-of-Place-Warnungen für Daten |
Kernanforderung C: Steuerung des Zugriffs (einschließlich Remotezugriff) auf unterstützende IKT-Systeme, Netzwerke, Infrastruktur, Geräte und Anwendungen
| Lösungsfunktion | Sections |
|---|---|
| Ermöglicht die Verwendung des bedingten Zugriffs (Conditional Access, CA), um den Zugriff auf die Microsoft 365-Anwendung auf genehmigte Benutzer, Geräte und Standorte zu beschränken, nur wenn die entsprechenden Authentifizierungsanforderungen erfüllt sind. | Bedingter Zugriff |
| Stellen Sie eine präzise Zugriffssteuerung für sensible oder sicherheitsreklassierte Bezeichnete Standorte bereit. | Authentifizierungskontext |
| Bewerten Sie die Benutzerauthentifizierung und -autorisierung zum Zeitpunkt des Zugriffs auf verschlüsselte Elemente (Dateien oder E-Mail). | Verschlüsselung von Vertraulichkeitsbezeichnungen |
Unterstützende Anforderungen
Unterstützende Anforderung 1: Formalisierte Vereinbarungen zum Freigeben von Informationen und Ressourcen
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie Nutzungsbedingungen als Teil einer Richtlinie für bedingten Zugriff, sodass Gäste den Bedingungen zustimmen müssen, bevor der Zugriff auf Elemente zulässig ist. Dies ergänzt schriftliche Vereinbarungen zwischen Organisationen. | Microsoft Entra B2B-Konfiguration (Business to Business) liegt außerhalb des Geltungsbereichs dieses Leitfadens1. Die Konzepte werden unter bedingtem Zugriff eingeführt. |
| Implementieren Sie Einschränkungen, um nicht nur die Freigabe von sicherheitsmarkierten oder klassifizierten Informationen, sondern auch anderer Arten vertraulicher Informationen mit externen Organisationen zu verhindern. Ausnahmen können auf diese Richtlinien angewendet werden, sodass die Freigabe für eine genehmigte Liste von Organisationen zulässig ist, für die formelle Vereinbarungen getroffen werden. | Einschränken der Verteilung vertraulicher Informationen |
| Konfigurieren Sie die Verschlüsselung, um den Zugriff auf Informationen (Dateien oder E-Mails) auf Gäste zu beschränken, mit Ausnahme von Benutzern oder Organisationen, für die Berechtigungen konfiguriert sind. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Konfigurieren Sie den Gastzugriff, um Zusammenarbeitsaktivitäten (einschließlich Freigabe, Coedit, Chat und Teams-Mitgliedschaft) nur mit genehmigten Organisationen zuzulassen, mit denen formelle Vereinbarungen bestehen. | Microsoft Entra B2B-Konfiguration liegt außerhalb des Rahmens dieses Leitfadens1. Die Konzepte oder das Einschränken des Gastzugriffs auf bezeichnete Elemente werden unter Gastzugriffskonfiguration eingeführt. |
| Überwachen Sie den Gastzugriff und die Mitgliedschaft, und fordern Sie Ressourcenbesitzer auf, Gäste zu entfernen, wenn sie nicht mehr benötigt werden, und empfehlen Sie das Entfernen, wenn nicht auf Ressourcen zugegriffen wird. | Microsoft Entra B2B-Konfiguration liegt außerhalb des Geltungsbereichs dieses Leitfadens1, 2. |
Hinweis
1 Weitere Informationen zur Microsoft Entra B2B-Konfiguration finden Sie unter Microsoft Cloud Settings for B2B collaboration (Microsoft-Cloudeinstellungen für die B2B-Zusammenarbeit).
2 Weitere Informationen zu Zugriffsüberprüfungen finden Sie unter Zugriffsüberprüfungen.
Unterstützende Anforderung 2: Einschränken des Zugriffs auf vertrauliche und klassifizierte Informationen und Ressourcen
Es gibt keine zusätzlichen Anforderungen, die über die Kernanforderung B hinausgehen.
Unterstützende Anforderung 3: Fortlaufender Zugriff auf die Sicherheit klassifizierter Informationen und Ressourcen
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie DLP-Richtlinien, um zu verhindern, dass sicherheitsrelevante Informationen an Benutzer verteilt werden, die nicht auf die entsprechende Ebene gelöscht werden. | Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen |
| Beschränken Sie den Zugriff auf Standorte, die sicherheitsgesicherte (oder eingeschränkte) Informationen enthalten, auf Personen, die auf die entsprechende Ebene gelöscht werden. | Authentifizierungskontext |
| Verhindern Sie, dass sicherheitsreklassierte oder markierte Informationen an Speicherorte mit niedrigerer Vertraulichkeit verschoben werden, auf die nicht autorisierte Benutzer leicht darauf zugreifen können. | Out-of-Place-Warnungen für Daten |
| Konfigurieren Sie die Verschlüsselung, um sicherzustellen, dass Benutzer, die die organization verlassen, keinen Zugriff mehr auf vertrauliches Material haben. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
Unterstützende Anforderung 4: Temporärer Zugriff auf klassifizierte Informationen und Ressourcen
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie die Bezeichnungsverschlüsselung, um temporären Zugriff auf vertrauliche Elemente zu gewähren und den Zugriff nach einem bestimmten Zeitraum zu widerrufen, sodass die Elemente für den Empfänger unlesbar sind. | Ablauf des Inhaltszugriffs |
Unterstützende Anforderung 5: Verwalten des Zugriffs auf Informationssysteme
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie Richtlinien für bedingten Zugriff (Ca) so, dass benutzeridentifikation und Authentifizierung erforderlich sind, einschließlich anderer Faktoren der "modernen Authentifizierung", z. B. MFA, verwaltetes Gerät oder bekannter Standort, bevor Sie Zugriff auf Dienste gewähren. | Bedingter Zugriff |
| Wenden Sie andere Anforderungen für bedingten Zugriff auf Benutzer an, wenn sie auf Speicherorte zugreifen, die mit bestimmten Bezeichnungen gekennzeichnet sind. | Authentifizierungskontext |
| Konfigurieren Sie die Bezeichnungsverschlüsselung, die Identität, Authentifizierung und Autorisierung jedes Mal bestätigt, wenn ein Benutzer auf ein verschlüsseltes Element zugreift. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
Handbuch zur Informationssicherheit (ISM)
Der Zweck des Handbuchs zur Informationssicherheit (Information Security Manual, ISM) besteht darin, ein Cybersicherheitsframework zu beschreiben, das Organisationen mithilfe ihres Risikomanagement-Frameworks anwenden können, um ihre Informationen und Systeme vor Bedrohungen zu schützen. Das Handbuch enthält Kontrollen, die Regierungsorganisationen und andere Personen, die im Rahmen des PSPF für australische Bundes-, Bundesstaats- und Kommunalverwaltungen arbeiten, auf der entsprechenden Ebene implementieren sollten, die mit der Klassifizierung von Daten verknüpft ist, die sie verwalten.
Die Absicht dieses Microsoft Purview Information Protection Leitfadens besteht nicht darin, detaillierte Arbeiten zu ersetzen, die Organisationen ausführen sollten, um ihre Ausrichtung mit dem ISM zu bewerten. Es soll Organisationen bei der Microsoft 365-Konfiguration unterstützen, die an ISM-Steuerelementen ausgerichtet ist.
Für eine umfassendere Anleitung zur entsprechenden Microsoft 365-Konfiguration empfehlen wir die Blaupause für sichere Cloud von ASD.
Die in diesem Abschnitt erläuterten ISM-Anforderungen beziehen sich auf die ISM-Version – März 2023.
Die folgenden ISM-Anforderungen sind für eine Regierungsbehörden-Microsoft Purview Information Protection Konfiguration relevant:
ISM-0270: Schutzkennzeichnungen werden auf E-Mails angewendet und spiegeln die höchste Vertraulichkeit oder Klassifizierung des Betreffs, des Texts und der Anlagen wider
| Lösungsfunktion | Sections |
|---|---|
| Die Bezeichnungsvererbung stellt sicher, dass eine E-Mail gemäß der höchsten Vertraulichkeit gekennzeichnet wird, die auf das Element oder die Anlage angewendet wird. | Bezeichnungsvererbung |
| Identifizieren Sie vertrauliche Informationen, und empfehlen Sie, dass eine Kennzeichnung mit höherer Vertraulichkeit angewendet wird, wenn ein Element unter klassifiziert ist. |
Clientbasierte automatische Bezeichnung Identifizieren vertraulicher Informationen |
ISM-0271: Schutzmarkierungswerkzeuge setzen nicht automatisch Schutzmarkierungen in E-Mails ein
| Lösungsfunktion | Sections |
|---|---|
| Benutzer müssen für jedes Element (Datei oder E-Mail) eine geeignete Vertraulichkeitsbezeichnung auswählen und sie nach einer Bezeichnung fragen, falls sie noch keines angewendet haben. | Verbindliche Bezeichnung |
| Konfigurieren Sie Bezeichnungsempfehlungen, um vorzuschlagen, dass eine Bezeichnung nach der Erkennung vertraulicher Inhalte angewendet wird, während die Entscheidung dem Benutzer überlassen bleibt. | Empfehlungen zur clientbasierten automatischen Bezeichnung |
ISM-0272: Schutzmarkierungstools ermöglichen es Benutzern nicht, Schutzmarkierungen auszuwählen, die ein System nicht verarbeiten, speichern oder kommunizieren darf
| Lösungsfunktion | Sections |
|---|---|
| Benutzer können nur Vertraulichkeitsbezeichnungen auswählen und auf Elemente anwenden, die über eine Bezeichnungsrichtlinie für sie veröffentlicht werden. |
Richtlinien für Vertraulichkeitsbezeichnungen Bezeichnungen für Informationen, die über die geschützte Ebene hinausgehen Blockieren der Übertragung nicht ausgegebener Klassifizierungen |
ISM-1089: Schutzmarkierungstools ermöglichen es Benutzern nicht, auf E-Mails zu antworten oder diese weiterzuleiten, um Schutzmarkierungen auszuwählen, die niedriger als zuvor verwendet wurden.
| Lösungsfunktion | Sections |
|---|---|
| Aufgrund der Unterschiede zwischen diesem Steuerelement und dem Microsoft 365-Ansatz kann Purview so konfiguriert werden, dass eine geschäftliche Begründung erforderlich ist, um eine Vertraulichkeitsbezeichnung zu entfernen oder zu verringern. Diese Informationen werden im Überwachungsprotokoll aufbewahrt, über Datenklassifizierungsportale angezeigt und können über SIEM-Lösungen (Security Information and Event Management) wie Sentinel exportiert werden. Diese Informationen werden auch in Die Metriken des Insider-Risikomanagements (IRM) integriert, die verwendet werden können, um risikobehaftete Benutzer zu identifizieren und sie daran zu hindern, böswillige Aktivitäten durchzuführen. |
Steuern von E-Mails mit markierten Informationen über DLP Auswirkungen auf das Herabstufen schädlicher Bezeichnungen Begründung für Bezeichnungsänderungen Überwachungsprotokoll Verhindern der Freigabe von sicherheitsrelevanten Informationen |
| Konfigurieren Sie die bezeichnungsbasierte Verschlüsselung und Die Rechteverwaltung, um Änderungen an gekennzeichneten Elementen für Benutzer zu verhindern, die nicht über ausreichende Berechtigungen verfügen, und verhindern Sie Bezeichnungsänderungen. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
ISM-0565: Email Server sind so konfiguriert, dass E-Mails mit unangemessenen Schutzmarkierungen blockiert, protokolliert und gemeldet werden.
| Lösungsfunktion | Sections |
|---|---|
| Implementieren Sie DLP-Richtlinien, um den Empfang und die weitere Verteilung von Elementen mit Klassifizierungen zu verhindern, die auf der Plattform nicht zulässig sind. | Blockieren der Übertragung nicht ausgegebener Klassifizierungen |
| Konfigurieren Sie DLP-Richtlinien oder Exchange-Nachrichtenflussregeln, um E-Mails mit fehlenden Markierungen zu blockieren, zu protokollieren und zu melden. |
Verbindliche Bezeichnung Blockieren der Übertragung von E-Mails ohne Bezeichnung |
ISM-1023: Die beabsichtigten Empfänger blockierter eingehender E-Mails und die Absender blockierter ausgehender E-Mails werden benachrichtigt.
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie DLP-Richtlinien oder Exchange-Nachrichtenflussregeln mit unterschiedlichen Benachrichtigungsoptionen basierend auf dem Empfänger. | Blockieren der Übertragung von E-Mails ohne Bezeichnung |
ISM-0572: Opportunistische TLS-Verschlüsselung ist auf E-Mail-Servern aktiviert, die eingehende oder ausgehende E-Mail-Verbindungen über eine öffentliche Netzwerkinfrastruktur herstellen
| Lösungsfunktion | Sections |
|---|---|
| Opportunistic Transport Layer Security (TLS) ist standardmäßig in Exchange Online konfiguriert. Konfigurieren Sie E-Mail-Connectors, um die TLS-Verschlüsselung als obligatorisch für die Übertragung vertraulicher E-Mails festzulegen, ohne diese Anforderungen für Elemente mit geringerer Vertraulichkeit erzwingen zu müssen. |
Anfordern der TLS-Verschlüsselung für die Übertragung vertraulicher E-Mails |
ISM-1405: Eine zentrale Ereignisprotokollierungsfunktion wird implementiert, und Systeme werden so konfiguriert, dass Ereignisprotokolle so schnell wie möglich nach jedem Ereignis in der Einrichtung gespeichert werden.
| Lösungsfunktion | Sections |
|---|---|
| Das einheitliche Überwachungsprotokoll bietet eine zentralisierte Ereignisprotokollierung für alle Microsoft 365-Dienste. | Überwachungsprotokoll |
ISM-0859: Ereignisprotokolle, außer denen für Domain Name System-Dienste und Webproxys, werden mindestens sieben Jahre lang aufbewahrt.
| Lösungsfunktion | Sections |
|---|---|
| Überwachungsprotokolle können über Aufbewahrungsrichtlinien für Überwachungsprotokolle bis zu 10 Jahre lang aufbewahrt werden. Dieser Zeitraum kann durch die Integration von Microsoft 365 mit einer SIEM-Lösung wie Sentinel weiter verlängert werden. | Überwachungsprotokoll |
ISM-0585: Für jedes protokollierte Ereignis werden Das Datum und die Uhrzeit des Ereignisses, der relevante Benutzer oder Prozess, der entsprechende Dateiname, die Ereignisbeschreibung und die beteiligten IKT-Geräte aufgezeichnet.
| Lösungsfunktion | Sections |
|---|---|
| Das Microsoft 365-Überwachungsprotokoll erfasst Details zu Benutzer- und Administratorereignissen. Für jedes Ereignis werden relevante Details wie Element, Benutzer, Abgeschlossene Aktivität und Ereigniszeit aufgezeichnet. Überwachungsprotokolle erfassen Ereignisse für bezeichnungsbezogene Aktivitäten wie Bezeichnungsanwendung und Änderungen. |
Überwachungsprotokoll |
ISM-0133: Wenn ein Datenleck auftritt, werden Datenbesitzern empfohlen, und der Zugriff auf die Daten ist eingeschränkt.
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie DLP-Richtlinien, um Datenlecks zu erkennen und entsprechende Parteien bei der Erkennung zu benachrichtigen. | Blockieren der Übertragung nicht ausgegebener Klassifizierungen |
Standard der australischen Regierung
Die Version der AGRkMS-Anforderungen, auf die in diesem Leitfaden verwiesen wird, ist AGRkMS V2.2 (Juni 2015).
Das australian Government Recordkeeping Metadata Standard (AGRkMS) und der zugehörige AGRkMS-Leitfaden legen die Art der Metadaten fest, die australische Regierungsbehörden in ihre Geschäftssysteme aufnehmen sollten, und legen die obligatorischen Mindestanforderungen fest.
Zu diesen Anforderungen gehören Metadateneigenschaften für "Sicherheitsklassifizierung" und "Sicherheitshinweise", die an der PSPF-Richtlinie 8 ausgerichtet sind.
Der Standard enthält eine Zweckbestimmung für die Aufnahme dieser Metadateneigenschaften. Wie bei den anforderungen, die in den vorherigen Abschnitten erwähnt wurden, entspricht die Absicht der Aufnahme dieser AGRkMS-Eigenschaften in diesen Standard den Funktionen, die von Microsoft Purview Information Protection und zugehörigen Microsoft 365-Tools bereitgestellt werden:
| Anforderung | Sections |
|---|---|
| 1. Zur Erleichterung oder Einschränkung des Zugangs zu Aufzeichnungen oder zu bestimmten Geschäftsfunktionen, Aktivitäten oder Transaktionen durch Mitarbeiter der Agentur oder der Öffentlichkeit (Klassifizierung und Vorbehalte). 2. Um den Zugriff auf Datensätze oder bestimmte Geschäftsfunktionen, Aktivitäten oder Transaktionen durch Benutzer mit unzureichenden Sicherheitsberechtigungen zu verhindern (Klassifizierung). 3. Um die Einschränkung des Zugriffs auf Datensätze durch Personen mit unzureichenden Sicherheitsberechtigungen zu ermöglichen (Vorbehalt). |
Verhindern einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen Gastzugriffseinstellungen bezeichnen Konfiguration der Bezeichnungsfreigabe Authentifizierungskontext Out-of-Place-Warnungen für Daten |
| 4. Damit Datensätze, Geschäftsfunktionen, Aktivitäten oder Transaktionen und Mandate mit Sicherheitsempfindlichkeiten angemessen identifiziert und verwaltet werden können (Klassifizierung und Vorbehalte). |
Beschriftungsclienterfahrung Bezeichnungsinhaltsmarkierung SharePoint-Speicherort und Elementempfindlichkeit |
| 5. Um Benutzer über Sicherheitseinschränkungen beim Zugriff auf Datensätze und Mandate (Klassifizierung und Vorbehalte) zu warnen. |
Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen Verhindern der Freigabe von sicherheitsrelevanten Informationen |
| 6. Verhindern der Entdeckung der Art der Informationen oder Aktivitäten, die von bestimmten Sicherheitsdepots abgedeckt sind (Klassifizierung und Vorbehalt). | Compliance-Begrenzungen |
Diese Metadatenanforderungen können auf der Microsoft 365-Plattform ohne erweiterte Metadatenbearbeitung erfüllt werden. Regierungsorganisationen, die Microsoft 365 für die direkte Datensatzverwaltung nutzen möchten und die AGRkMS-Anforderungen vollständig erfüllen möchten, sollten jedoch die Ratschläge im Abschnitt Verwalten von Klassifizierungs- und Einschränkungsmetadaten dieses Leitfadens berücksichtigen.
Anforderungen der Staatlichen Regierung
Der folgende Abschnitt enthält Verweise auf die Anforderungen der Landesregierung und einige allgemeine Hinweise dazu, wie sich ihre Frameworks von der Bundesregierung unterscheiden.
Australian Capital Territory
Die Regierung des Australian Capital Territory (ACT) nutzt das ACT Government Protective Security Policy Framework (PSPF), das dem Federal Government-Standard für Absicht, erforderliche Bezeichnungen und Information Management Marker (IMMs) ähnelt. Daher gilt die Empfehlung in diesem Leitfaden direkt für ACT Government.
New South Wales
New South Wales State (NSW) Regierung verwendet die NSW Government Information Classification, Labeling and Handling Guidelines.
Diese Anforderungen entsprechen auf hohem Niveau dem Bundes-PSPF-Standard, da beide Anforderungssätze die Bezeichnungen "INOFFIZELL" bis "PROTECTED" verwenden. Der NSW-Standard verwendet jedoch einen anderen Satz von DlMs (Dissemination Limiting Markers), die nicht mit den Federal-Bezeichnungen übereinstimmen:
"The OFFICIAL: Sensitive label is applied by the Australian Government, and other states and territories. Die NSW-Regierung wendet diese Bezeichnung nicht auf ihre Informationen an, da die sechs dlMs, die in NSW mit dem Präfix OFFICIAL: Sensitive verwendet werden, die in NSW erforderliche Spezifität ermöglichen. Dies bedeutet, dass Informationen mit der Bezeichnung OFFICIAL: Vertraulich von außerhalb der NSW-Regierung stammen."
Dies bedeutet, dass vertrauliche NSW Government-Informationen nicht mit Bundesbezeichnungen gekennzeichnet sind, sondern separat behandelt werden. Beispielsweise weist die Bezeichnung "OFFICIAL Sensitive - NSW Government" keine PSPF-Entsprechung auf, sodass die Übersetzung in eine PSPF-Bezeichnung nicht geeignet ist.
Es gibt drei Optionen, die Bundesbehörden, die mit NSW Government zusammenarbeiten, beim Entwerfen ihrer MPIP-Konfiguration in Betracht ziehen sollten:
- Verwendung ausgeblendeter Bezeichnungen , bei denen der Administrator eine Reihe von Bezeichnungen implementiert, die nicht für Benutzer veröffentlicht werden, aber für den Dienst für automatische Bezeichnungen verfügbar sind. Ausgeblendete Bezeichnungen ermöglichen es, dass von Staatlichen Behörden generierte Informationen einen ähnlichen Schutz wie interne Informationen erhalten, ohne dass Elemente mit PSPF-Kennzeichnungen neu gekennzeichnet werden müssen. Weitere Informationen finden Sie unter Bezeichnungen für Organisationen mit unterschiedlichen Bezeichnungstaxonomien.
- Verwendung vertraulicher Informationstypen (Sit), bei denen Organisationen eine Reihe von SITs implementieren, die mit NSW Government-Bezeichnungen gekennzeichnete Informationen identifizieren. Diese SITs werden in DLP und anderen Richtlinientypen verwendet, um sicherzustellen, dass die Informationen angemessen behandelt werden. Weitere Informationen finden Sie unter Benutzerdefinierte Typen vertraulicher Informationen.
- Verwendung von NSW-ausgerichteten Bezeichnungen , bei denen Organisationen sich dafür entscheiden, Bezeichnungen auf erhaltene Informationen anzuwenden, die am ehesten mit NSW Government-Kennzeichnungen übereinstimmen. Dies kann von Benutzern manuell ausgeführt werden, möglicherweise mit Hilfe der automatischen Bezeichnung, um die am besten geeignete (OFFICIAL: Sensitive in den meisten Fällen) vorzuschlagen. Bei diesem Ansatz gelten die visuellen NSW-Kennzeichnungen weiterhin für Elemente und werden in Antwort-E-Mails durch Federal-Entsprechungen ergänzt. Dadurch kann sichergestellt werden, dass die Informationen in Übereinstimmung mit Mandantenkonfigurationen geschützt werden, während sie sich in der Umgebung befinden. Weitere Informationen finden Sie unter Empfehlungen basierend auf Kennzeichnungen externer Behörden.
Diese Optionen sind auch für NSW-Regierungsorganisationen relevant, die überlegen, wie informationen, die mit Federal PSPF-Kennzeichnungen empfangen werden, oder Kennzeichnungen, die von den Regierungen anderer Bundesstaaten angewendet werden, am besten behandelt werden sollen.
Northern Territory
Die Regierung des Northern Territory (NT) nutzt die Northern Territory Government Public Sector Organization (NTG PSO): Security Classification System.
Dieses System ist teilweise an Federal PSPF ausgerichtet, da die Bezeichnungen UNCLASSIFIED und PROTECTED im Framework vorhanden sind. Es verwendet jedoch auch die Bezeichnungen CONFIDENTIAL und PUBLIC, was bedeutet, dass Organisationen, die mit der NT-Regierung zusammenarbeiten, Methoden für die Übersetzung von Bezeichnungen oder die Identifizierung vertraulicher NT Government-Informationen über die oben im Abschnitt NSW Government erwähnten Methoden in Betracht ziehen sollten, um sicherzustellen, dass die Informationen geschützt sind, während sie sich in Microsoft 365-Umgebungen der Bundesregierung befinden.
NT Government-Organisationen sollten die Ratschläge in diesem Dokument berücksichtigen, aber eine ÖFFENTLICHE Bezeichnung hinzufügen und OFFICIAL: Vertraulich durch VERTRAULICHE Bezeichnungen ersetzen. Die oben genannten Punkte zum Schutz von Informationen aus anderen Rechtsgebieten sind ebenfalls relevant, sodass NT vertrauliche Informationstypen, nicht veröffentlichte Bezeichnungen oder clientbasierte Bezeichnungsempfehlungen implementieren sollte, wie im Abschnitt NSW erläutert.
Queensland
Queensland Government-Organisationen müssen sich an das Queensland Government Information Security Classification Framework (QGISCF) halten.
Wie NSW und NT unterscheiden sich die Anforderungen der Regierung von Queensland von PSPF - aber QGISCF verwendet eine ähnliche Topologie von OFFICIAL, SENSITIVE und PROTECTED Bezeichnungen und Informationen, die in diesem Dokument bereitgestellt werden, sind relevant.
Der QGISCF soll mit dem Australian Government Protective Security Policy Framework und dem Australian Government Information Security Manual kompatibel sein. Aus diesem Grund sollten Organisationen der Bundesregierung die automatische Bezeichnung verwenden, um die Informationen, die sie von Queensland Government-Organisationen erhalten, in entsprechende PSPF-Bezeichnungen (z. B. SENSITIVE to OFFICIAL: Vertraulich) zu übersetzen, um sicherzustellen, dass solche Informationen im Rahmen von DLP und anderen Schutzmaßnahmen liegen, während sie sich in Microsoft 365-Umgebungen der Bundesregierung befinden. Umgekehrt gilt dies für Regierungsorganisationen in Queensland, die Informationen der Bundesregierung erhalten.
Australien, Süden
Das South Australian (SA) Protective Security Framework (SAPSF) enthält eine Richtlinie mit dem Namen "INFOCEC1: Schützen offizieller Informationen". Diese Richtlinie entspricht dem Bundesstandard auf hoher Ebene und weist auf einige Abweichungen in Bezug auf Informationsmanagementmarker und Einschränkungen (z. B. SA CABINET und Medical in Confidence) auf. Aufgrund dieser Ausrichtung sollten Bundesbehörden in der Lage sein, vertrauliche Sa Government-Elemente ohne erhebliche Änderungen ihrer Konfigurationen zu identifizieren und zu schützen. Die in diesem Dokument bereitgestellten Ratschläge sind für sa government relevant, ohne dass eine Übersetzung in lokale Kennzeichnungen erforderlich ist.
Bundesbehördenorganisationen, die Informationen von Sa Government-Behörden erhalten, sollten überlegen, wie Informationen der SA-Regierung in ihren Umgebungen geschützt werden. Einrichtung von SITs oder nicht veröffentlichten Vertraulichkeitsbezeichnungen zum Erfassen von SA-spezifischen Kennzeichnungen und DLP-Richtlinien, um geeignete Schutzmaßnahmen (wie unter Bezeichnungen für Organisationen mit unterschiedlichen Bezeichnungstaxonomien abgedeckt) anzuwenden.
Sa Government-Organisationen, die diesen Leitfaden verwenden, sollten berücksichtigen, dass das SAPSF-Framework keine Anforderungen an E-Mail-Metadaten wie X-Header angibt. Dies ist eine Lücke, da sa Government-Organisationen ohne die Spezifikation möglicherweise Schwierigkeiten haben, Klassifizierungen und zugehörige Schutzmaßnahmen aufrechtzuerhalten, wenn Informationen zwischen Organisationen übergeben werden. Die Verwendung des Federal PSPF-Standards ist hierfür geeignet, um die Übersetzung von E-Mail-Etiketten zu erreichen (wie in der Bezeichnung von E-Mails während des Transports abgedeckt).
Der in PSPF X-Protective-Marking-Headern verwendete Ansatz kann angepasst werden, um SA-spezifische Etiketten wie SA CABINET und Medical in Confidence abzudecken. Einige Sa Government-Organisationen haben Metadaten im PSPF-Stil implementiert, unabhängig davon, ob sie nicht in SAPSF enthalten sind. Ein Beispiel hierfür wäre das Festlegen eines X-Protective-Marking-Headers von "VER=2018.6, NS=sa.gov.au, SEC=OFFICIAL". Dieser Ansatz verringert Risiken im Zusammenhang mit dem Austausch von Informationen zwischen Sa Government-Organisationen und bietet eine Kennzeichnung, die andere Bundesstaaten und Bundesorganisationen verwenden können, um die erforderlichen Schutzmaßnahmen der eingeschlossenen Informationen zu bestimmen.
Tasmanien
Die Informationssicherheitsklassifizierung Standard für die tasmanische Regierung (TAS) ist ein Entwurf und wird überprüft.
Informationen zu Kennzeichnungen, die derzeit von TAS Government verwendet werden, finden Sie unter TAS Information Security Classification
Organisationen der Bundesregierung, die sicherstellen möchten, dass sie informationen schützen, die von TAS Government erhalten wurden, sollten Kontrollen verwenden, die zum Schutz von Legacyinformationen unter der vorherigen Version des PSPF vorhanden sind. Weitere Informationen finden Sie unter Empfehlungen basierend auf Verlaufsmarkierungen.
Victoria
Das Victorian (VIC) State Government Framework ist das Victorian Protective Data Security Framework (VPDSF) ähnelt SA, ist aber immer noch eng mit der Federal PSPF verbunden.
Organisationen der Victorian State Government sollten die in diesem Leitfaden bereitgestellten Ratschläge als für ihre eigene Umgebung relevant betrachten.
Für das VIC-Framework ist der Unterschied zu den Markierungen, die über E-Mail-X-Header für Domänen- und Versionswerte angewendet werden. Die Kennzeichnungen des viktorianischen Regierungskabinetts unterscheiden sich auch von denen der Bundesregierung, daher sollten die Organisationen der viktorianischen Regierung beachten, dass anstelle des "SH:NATIONAL-CABINET" eine spezielle Handhabung von "SH:CABINET-IN-CONFIDENCE" erforderlich ist. Weitere Informationen zur speziellen Behandlung finden Sie unter Anwenden von X-Schutzmarkierungsheadern über eine DLP-Richtlinie.
Westaustralien
Die westaustralische Regierung (WA) verfügt über eine Informationsklassifizierungsrichtlinie, die inoffizielle, OFFIZIELLE und OFFIZIELLE: Vertrauliche Bezeichnungen verwendet, die eng mit den PSPF-Klassifizierungen der Bundesregierung übereinstimmen. Der Zugriff und andere Anforderungen unterscheiden sich jedoch.
In der Richtlinie heißt es: "Für den Schutz von Commonwealth-Sicherheits-Verschlusssachen sind die Behörden verpflichtet, die Bestimmungen der relevanten intergerichtsrechtlichen Vereinbarung(en) einzuhalten." Dies bedeutet, dass die Anforderungen der Bundesregierung von den WA-Regierungsbehörden berücksichtigt werden müssen.
WA Government-Kunden sollten die in diesem Dokument bereitgestellten Ratschläge hinsichtlich ihrer Relevanz für ihre eigenen Konfigurationen berücksichtigen.
Für Bundesbehördenorganisationen, die Informationen von WA Government-Organisationen erhalten, helfen die automatische Bezeichnung und andere Konfigurationen, die in diesem Leitfaden behandelt werden, um sicherzustellen, dass diese Informationen geschützt sind, während sie sich in Microsoft 365-Umgebungen von Federal befinden.