Applicazione automatica delle etichette di riservatezza per la conformità del governo australiano con PSPF
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sull'etichettatura automatica della riservatezza. Il suo scopo è quello di aiutare le organizzazioni governative ad aumentare la loro maturità in materia di sicurezza e conformità, rispettando al tempo stesso i requisiti descritti in Protective Security Policy Framework (PSPF) e Information Security Manual (ISM).
L'etichettatura automatica usa funzionalità come tipi di informazioni sensibili (SIT) e classificatori sottoponibili a training per identificare contrassegni o informazioni sensibili all'interno degli elementi. Dopo l'identificazione, il servizio consiglia o applica automaticamente un'etichetta all'elemento in cui sono state rilevate le informazioni. L'etichetta consente di garantire che le informazioni contenute siano adeguatamente protette. Microsoft Purview ha due tipi di etichettatura automatica di riservatezza; l'etichettatura automatica basata sul client e l'etichettatura automatica basata su servizi. I concetti di etichettatura automatica possono essere estesi alle posizioni locali tramite lo scanner Microsoft Purview Information Protection. Possono anche essere applicati ai database o ai servizi di archiviazione tramite Mappa dati di Azure.
I requisiti del governo australiano relativi all'etichettatura automatica sono:
| Requisito | Dettagli |
|---|---|
| Criterio PSPF 8 Requisito 2 a.i. - Valutazione delle informazioni riservate e classificate per la sicurezza (v2018.6) | Per decidere quale classificazione di sicurezza applicare, l'originatore deve valutare il valore, l'importanza o la sensibilità delle informazioni ufficiali considerando il potenziale danno al governo, all'interesse nazionale, alle organizzazioni o ai singoli individui, che si verificherebbe se la riservatezza delle informazioni fosse compromessa. |
| Controllo di sicurezza ISM: 0271 (giugno 2024) | Gli strumenti di contrassegno protettivo non inseriscono automaticamente i contrassegni protettivi nei messaggi di posta elettronica. |
Sia PSPF che ISM dichiarano che una persona deve essere responsabile delle decisioni relative all'applicazione di etichette agli elementi, anziché a un servizio automatizzato. Tuttavia, in un ambiente di lavoro moderno, l'etichettatura automatica basata su servizi e client offre vantaggi alle organizzazioni governative e riduce i rischi nelle circostanze seguenti:
- Assistenza utente: l'etichettatura automatica basata sul client rileva le informazioni sensibili o i contrassegni di sicurezza e consiglia l'etichetta più appropriata all'utente che ha l'agenzia per prendere la decisione. Per altre informazioni sull'implementazione dell'assistenza utente, vedere Etichettatura automatica basata su client.
- Rispetto dei contrassegni esterni: l'etichettatura automatica basata sul servizio può rispettare le classificazioni di sicurezza applicate agli elementi da organizzazioni esterne. Il rispetto del contrassegno esterno comporta la ricezione di documenti e messaggi di posta elettronica nell'ambito dei controlli di sicurezza dei dati dell'organizzazione. Consente inoltre all'organizzazione di rispettare le classificazioni applicate dall'organizzazione di origine. Per altre informazioni, vedere raccomandazioni basate sui contrassegni dell'organizzazione esterna.
- Etichette basate sul sistema: l'etichettatura automatica basata sul servizio rispetta le etichette generate dai sistemi, ad esempio i messaggi di posta elettronica per le buste paga al personale che dettagliano i puntini di pagamento di un sistema hr. Per altre informazioni sull'implementazione, vedere raccomandazioni basate sui contrassegni di sistema e su come configurare un'etichetta di riservatezza predefinita per una raccolta documenti di SharePoint.
- Allineamento degli elementi legacy: l'etichettatura automatica basata sul servizio rileva le classificazioni di sicurezza tramite contrassegni o proprietà dei documenti applicate agli elementi legacy e inserisce gli elementi nell'ambito dei controlli di sicurezza correnti. Se usata in questo modo, l'etichettatura automatica rafforza la prevenzione della perdita dei dati (DLP) e altre configurazioni di sicurezza assicurando che tutti gli elementi legacy siano protetti dai controlli moderni. Per altre informazioni su come eseguire l'implementazione in un'organizzazione governativa, vedere raccomandazioni basate sulle classificazioni cronologiche.
Nota
Quando l'etichettatura automatica rileva più corrispondenze, la corrispondenza che si allinea con il contenuto con la massima riservatezza è quella applicata o consigliata per l'elemento, assicurando che gli elementi non siano sotto-classificati. Per altre informazioni, vedere Priorità dell'etichetta.
Le organizzazioni con l'assegnazione automatica di etichette di riservatezza hanno una maggiore accuratezza delle etichette. L'accuratezza delle etichette consente di garantire che le informazioni rientrino nell'ambito dei controlli pertinenti e rafforza la capacità delle organizzazioni di soddisfare il requisito di base del criterio PSPF 8 C:
| Requisito | Dettagli |
|---|---|
| Requisito di base del criterio PSPF 8 C | Implementare controlli operativi per queste aziende di informazioni proporzionali al loro valore, importanza e sensibilità |
Tali funzionalità sono considerate come un'integrazione proattiva dei requisiti di sicurezza protettivi nelle procedure aziendali, allineate al livello incorporato del modello di maturità PSPF (illustrato nel report di valutazione di Protective Security Policy Framework (PSPF).