Microsoft Purview Information Protection approccio al programma per la conformità del governo australiano con PSPF
Questo articolo viene fornito come parte della guida australiana per il Information Protection del governo e ha lo scopo di aiutare le organizzazioni a esplorare la gamma di scenari e opzioni di configurazione esplorati nella guida. L'approccio descritto in questo articolo include più fasi di progetto incrementali destinate ad aiutare le organizzazioni a migliorare rapidamente la maturità di Protective Security Policy Framework (PSPF) man mano che passano attraverso le fasi del programma.
L'approccio qui elencato include anche i controlli di sicurezza dei dati che sono fondamentali per la conformità al Manuale di sicurezza delle informazioni (ISM).
Fase 1: Fondamenta di Microsoft Purview
Risultati desiderati - Fondamenta di Microsoft Purview
Lo scopo della prima fase è quello di stabilire un set di configurazioni iniziali di Microsoft Purview che consentono all'organizzazione di soddisfare i requisiti di pspf Policy 8 Core, consentendo agli utenti di valutare e contrassegnare le informazioni riservate o classificate per la sicurezza. La prima fase implementa anche un set di base di controlli operativi che proteggono le informazioni in base alla riservatezza.
| Inclusioni consigliate | Sezioni |
|---|---|
| Creazione di una tassonomia delle etichette allineata ai criteri PSPF 8, incluse tutte le etichette di riservatezza che gli utenti devono applicare agli elementi. | Tassonomia delle etichette di riservatezza |
| Configurazione dell'etichetta di riservatezza e distribuzione delle funzionalità di etichettatura agli utenti. |
Configurazione dell'etichetta di riservatezza Criteri delle etichette di riservatezza |
| Definizione di metodi di contrassegno, inclusi i criteri DLP che applicano x-protective-marking x-headers e contrassegni soggetto alla posta elettronica. | strategie di contrassegno Email |
| Implementazione di un set iniziale di criteri DLP per monitorare o controllare il flusso di informazioni classificate di sicurezza (incluse le classificazioni non consentite). |
Prevenzione della distribuzione inappropriata di informazioni classificate per la sicurezza Prevenzione della perdita di dati tramite la ricezione di classificazioni inappropriate |
| Implementazione di criteri DLP modello allineati ai tipi di dati australiani per identificare e proteggere le informazioni sensibili indipendentemente dall'etichetta di riservatezza applicata. | Utilizzo di modelli di criteri DLP per il controllo della posta elettronica di informazioni riservate |
| Implementazione di tipi di informazioni sensibili (SIT) per facilitare l'identificazione delle informazioni in base ai contrassegni protettivi applicati. | Sintassi SIT di esempio per rilevare i contrassegni protettivi |
| Implementazione della configurazione di etichettatura automatica per identificare i contrassegni protettivi applicati agli elementi legacy e consigliare un'etichetta appropriata all'utente. |
Raccomandazioni basate sui contrassegni delle agenzie esterne Raccomandazioni basate su contrassegni cronologici |
| Implementazione di criteri di etichettatura automatica per applicare automaticamente etichette di riservatezza agli elementi ricevuti da entità esterne in cui i contrassegni protettivi applicati sono allineati con l'etichetta di riservatezza. In questo modo, la prevenzione della perdita dei dati e altre protezioni basate su etichetta si applicano agli elementi ricevuti e non solo a quelli generati internamente. | Etichettatura della posta elettronica durante il trasporto |
Fase 2: Conoscere e proteggere le informazioni
Risultati desiderati - Conoscere e proteggere le informazioni
Implementazione di funzionalità per identificare meglio le informazioni sensibili e garantire l'applicazione delle protezioni pertinenti.
| Inclusioni consigliate | Sezioni |
|---|---|
| Implementazione della configurazione di gruppi di etichette e siti per consentire l'applicazione di controlli ai siti di SharePoint e a Teams. | Gruppi di etichette di riservatezza & configurazione dei siti |
| Implementazione della configurazione delle riunioni delle etichette e degli elementi del calendario per estendere i concetti PSPF e i controlli di sicurezza dei dati tramite i calendari. | Etichettatura di riservatezza per gli elementi del calendario e le riunioni di Teams |
| Identificazione delle risorse informative chiave delle organizzazioni e definizione di metodi per la sua identificazione. È probabile che questi metodi richiedano l'uso di classificatori avanzati, inclusi tipi di informazioni sensibili personalizzati, classificatori sottoponibili a training, corrispondenza esatta dei dati e/o impronta digitale dei documenti. |
Tipi di informazioni sensibili personalizzati I dati esatti corrispondono ai tipi di informazioni sensibili Impronta digitale dei documenti Classificatori sottoponibili a training |
| Implementazione o miglioramento dei criteri DLP per evitare la perdita di informazioni sensibili identificate tramite tecniche di classificazione avanzate. |
Controllo della posta elettronica dei SIT personalizzati tramite DLP Limitazione della chat esterna contenente contenuti sensibili Controllo della condivisione di informazioni riservate tramite DLP |
| Implementazione di criteri di etichettatura automatica per consigliare le etichette in base al rilevamento di informazioni riservate. |
Raccomandazione di etichette in base al rilevamento di contenuti sensibili raccomandazioni basate sui contrassegni delle agenzie esterne |
| Potenziale implementazione di etichette di riservatezza aggiuntive, insieme alle configurazioni di etichettatura automatica necessarie, per consentire la gestione delle classificazioni applicate da altre giurisdizioni senza riclassificazione. | Etichette per organizzazioni con tassonomie di etichette diverse |
Fase 3: Controlli avanzati e percorsi legacy
Risultati desiderati - Controlli avanzati e posizioni legacy
Controlli avanzati per garantire la conformità e prevenire ulteriormente la perdita di informazioni riservate o classificate per la sicurezza. Questa fase potrebbe includere anche l'estensione dei controlli agli elementi e alle posizioni legacy.
| Inclusioni consigliate | Sezioni |
|---|---|
| Etichettatura di siti, teams e gruppi che erano presenti prima della distribuzione dell'etichetta di riservatezza. |
Posizione e riservatezza degli elementi di SharePoint Posizione di Teams e riservatezza degli elementi |
| Etichettatura di elementi preesistenti per inserirli nell'ambito dei controlli basati su etichetta. |
Etichettatura degli elementi esistenti inattivi Etichettatura automatica per posizioni non Microcoft 365 |
| Processi e strategie per agire su attività potenzialmente dannose che circondano elementi etichettati o altrimenti sensibili (ad esempio, gestione dei rischi Insider, conformità delle comunicazioni, avvisi out-of-place dei dati). |
Avvisi fuori luogo dei dati Monitoraggio delle informazioni sensibili con la gestione dei rischi Insider Controllo delle informazioni sensibili con Protezione adattiva Monitoraggio della chat esterna tramite conformità delle comunicazioni |
| Implementazione della crittografia e delle strategie di Azure Rights Management basate su etichette per garantire la protezione di informazioni altamente sensibili senza alcun impatto su altri servizi. | Crittografia delle etichette di riservatezza |
| Estensione dei criteri di prevenzione della perdita dei dati e degli approcci agli endpoint e ai servizi cloud (tramite EndPoint DLP e Defender for Cloud Apps). |
Impedire il caricamento di elementi classificati di sicurezza in posizioni non gestite Impedire il download o la stampa di elementi classificati di sicurezza |