Automatische Anwendung von Vertraulichkeitsbezeichnungen für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel enthält Anleitungen für australische Regierungsbehörden zur automatischen Vertraulichkeitsbezeichnung. Ihr Zweck ist es, Regierungsorganisationen dabei zu unterstützen, ihre Sicherheits- und Compliancereife zu erhöhen und gleichzeitig die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Die automatische Bezeichnung verwendet Funktionen wie vertrauliche Informationstypen (Sensitive Information Types, SITs) und trainierbare Klassifizierer, um Markierungen oder vertrauliche Informationen in Elementen zu identifizieren. Nach der Identifizierung empfiehlt der Dienst oder wendet automatisch eine Bezeichnung auf das Element an, in dem die Informationen erkannt wurden. Die Bezeichnung trägt dazu bei, dass die enthaltenen Informationen angemessen geschützt sind. Microsoft Purview verfügt über zwei Arten der automatischen Vertraulichkeitsbezeichnung: clientbasierte automatische Bezeichnung unddienstbasierte automatische Bezeichnung. Konzepte für automatische Bezeichnungen können über den Microsoft Purview Information Protection Scanner auf lokale Standorte erweitert werden. Sie können auch über Azure Data Map auf Datenbanken oder Speicherdienste angewendet werden.
Die für die automatische Bezeichnung relevanten Anforderungen der australischen Regierung lauten:
| Anforderung | Detail |
|---|---|
| PSPF-Richtlinie 8 Anforderung 2 a.i. – Bewertung vertraulicher und sicherheitsrelevanter Informationen (v2018.6) | Um zu entscheiden, welche Sicherheitsklassifizierung angewendet werden soll, muss der Absender den Wert, die Wichtigkeit oder die Vertraulichkeit der offiziellen Informationen bewerten, indem er den potenziellen Schaden für Behörden, nationale Interessen, Organisationen oder Einzelpersonen berücksichtigt, der entstehen würde, wenn die Vertraulichkeit der Informationen kompromittiert würde. |
| ISM-Sicherheitskontrolle: 0271 (Juni 2024) | Schutzmarkierungswerkzeuge fügen nicht automatisch Schutzmarkierungen in E-Mails ein. |
Sowohl PSPF als auch ISM geben an, dass eine Person für Entscheidungen zum Anwenden von Bezeichnungen auf Elemente und nicht für einen automatisierten Dienst verantwortlich sein sollte. In einer modernen Arbeitsumgebung profitieren jedoch sowohl dienstbasierte als auch clientbasierte automatische Bezeichnungen von Behörden und verringern Risiken unter den folgenden Umständen:
- Benutzerunterstützung: Die clientbasierte automatische Bezeichnung erkennt vertrauliche Informationen oder Sicherheitsmarkierungen und empfiehlt dem Benutzer, der die Entscheidung treffen kann, die am besten geeignete Bezeichnung. Weitere Informationen zum Implementieren der Benutzerunterstützung finden Sie unter Clientbasierte automatische Bezeichnungen.
- Externe Kennzeichnungen berücksichtigen: Bei der dienstbasierten automatischen Bezeichnung können Sicherheitsklassifizierungen berücksichtigt werden, die von externen Organisationen auf Elemente angewendet werden. Wenn Sie die externe Kennzeichnung beachten, werden empfangene Dokumente und E-Mails in den Bereich der Datensicherheitskontrollen Ihrer organization. Außerdem können Ihre organization Klassifizierungen berücksichtigen, die vom ursprünglichen organization angewendet werden. Weitere Informationen finden Sie unter Empfehlungen basierend auf externen organization Markierungen.
- Systembasierte Bezeichnungen: Bei der dienstbasierten automatischen Bezeichnung werden von Systemen generierte Bezeichnungen berücksichtigt, z. B. Gehaltsabrechnungs-E-Mails an Mitarbeiter, die ihre Gehaltsabrechnung aus einem HR-System detailliert beschreiben. Weitere Informationen zur Implementierung finden Sie unter Empfehlungen basierend auf Systemmarkierungen und Konfigurieren einer Standardmäßigen Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek.
- Ausrichtung von Legacyelementen: Die dienstbasierte automatische Bezeichnung erkennt Sicherheitsklassifizierungen über Markierungen oder Dokumenteigenschaften, die auf Legacyelemente angewendet werden, und bringt die Elemente in den Bereich der aktuellen Sicherheitskontrollen. Bei dieser Verwendung stärkt die automatische Bezeichnung die Verhinderung von Datenverlust (Data Loss Prevention, DLP) und andere Sicherheitskonfigurationen, indem sichergestellt wird, dass alle Legacyelemente durch moderne Steuerelemente geschützt werden. Weitere Informationen zur Implementierung in einem Government-organization finden Sie unter Empfehlungen basierend auf historischen Klassifizierungen.
Hinweis
Wenn die automatische Bezeichnung mehrere Übereinstimmungen erkennt, ist die Übereinstimmung, die mit dem höchsten Vertraulichkeitsinhalt übereinstimmt, diejenige, die für das Element angewendet oder empfohlen wird, um sicherzustellen, dass Elemente nicht unterklassiert sind. Weitere Informationen finden Sie unter Bezeichnungspriorität.
Organisationen mit automatischer Vertraulichkeitsbezeichnung haben die Genauigkeit von Bezeichnungen erhöht. Die Bezeichnungsgenauigkeit trägt dazu bei, sicherzustellen, dass Informationen im Rahmen relevanter Kontrollen enthalten sind, und stärkt die Fähigkeit von Organisationen, PSPF-Richtlinie 8 Core Anforderung C zu erfüllen:
| Anforderung | Detail |
|---|---|
| PSPF-Richtlinie 8 Kernanforderung C | Implementieren sie operative Kontrollen für diese Informationsbestände proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit. |
Solche Funktionen werden als proaktive Integration von Schutzsicherheitsanforderungen in Geschäftspraktiken betrachtet, was der Embedded-Ebene des PSPF-Reifemodells entspricht (erläutert im PsPF-Bewertungsbericht (Protective Security Policy Framework).