Requisitos para la asignación de funcionalidades de Microsoft 365 para el cumplimiento del gobierno australiano con PSPF
Este artículo es un componente clave de la Guía de Information Protection del Gobierno de Australia. Enumera el marco de directivas de seguridad de protección, el Manual de seguridad de la información (ISM) y los requisitosdel Estándar de metadatos de mantenimiento de registros del Gobierno de Australia (AGRkMS). También proporciona consejos sobre cómo Microsoft Purview y otras funcionalidades de Microsoft 365 pueden cumplir los requisitos indicados y proporciona vínculos a otras secciones de la guía en las que se describen estas funcionalidades. El artículo también proporciona orientación sobre los marcos gubernamentales estatales, como el Marco de seguridad de datos de protección de datos victoriano del gobierno victoriano (VPDSF).
Marco de directiva de seguridad de protección
El Marco de directivas de seguridad de protección (PSPF) es un conjunto de directivas diseñadas para apoyar a las entidades gubernamentales australianas para proteger a sus personas, información y recursos. La PSPF describe los requisitos para que las entidades alcancen los resultados de seguridad de protección deseados por el Gobierno.
Para más información sobre PSPF, consulte Marco de directivas de seguridad de protección.
Las directivas de PSPF que se relacionan estrechamente con las configuraciones de Microsoft Purview Information Protection son:
La clave para comprender la aplicación de PSPF a los servicios de correo electrónico es la política de PSPF 8 Anexo F: Australian Government Email Protection Marking Standard, a la que se hace referencia en este documento.
PSPF incluye un mecanismo de generación de informes que permite a las organizaciones informar sobre su nivel de madurez en las distintas directivas de PSPF. La intención es que esta guía permita a las organizaciones con bajos niveles de madurez mejorar su madurez de la directiva 8 y la directiva 9 de PSPF a los niveles de "Administración" o "Incrustado" con un esfuerzo reducido. Para obtener más información sobre los niveles de madurez de PSPF, vea: Informe de evaluación del marco de directivas de seguridad de protección 2022-23.
Directiva de PSPF 8: información confidencial y clasificada
Los requisitos se basan en los requisitos de la directiva PSPF 8 V2018.8 (actualizado el 30 de agosto de 2023).
La directiva 8 de PSPF detalla cómo las entidades evalúan correctamente la clasificación de confidencialidad o seguridad de su información y adoptan disposiciones de marcado, manipulación, almacenamiento y eliminación que protegen contra el riesgo de la información.
Esta directiva se divide en requisitos básicos y de soporte técnico. En la tabla siguiente se proporcionan comentarios sobre las funcionalidades de Microsoft 365 que se alinean con los requisitos y vínculos a las instrucciones pertinentes de este sitio. La directiva también se puede leer en su totalidad en la directiva pspf 8: información confidencial y clasificada.
Requisito básico A y requisito de soporte técnico 1: Identificación de las retenciones de información
| Funcionalidad de la solución | Sección |
|---|---|
| Requerir que los usuarios identifiquen la confidencialidad de los elementos (archivos y correos electrónicos) a través de etiquetas de confidencialidad. |
Experiencia del cliente de etiquetado Etiquetado obligatorio Integración de PDF de etiquetado de confidencialidad |
| Aplique marcas de protección a ubicaciones (Sitios y Teams) y aplique protecciones a ubicaciones marcadas. | Configuración de sitios y grupos de etiquetas de confidencialidad |
| Defina la confidencialidad de las reuniones e implemente los controles operativos asociados. | Etiquetado de confidencialidad para elementos de calendario y reuniones de equipos |
| Requerir que los usuarios identifiquen la confidencialidad de las áreas de trabajo de Power BI a través de etiquetas de confidencialidad. | Integración de datos y Power BI |
| Aplique etiquetas a la información confidencial que reside en los sistemas de base de datos. | Recursos de datos esquematizados |
| Aplique encabezados de correo electrónico, que se pueden usar para identificar la confidencialidad de los elementos entrantes y aplicar los controles adecuados. | Etiquetado del correo electrónico durante el transporte |
Requisito básico B y requisito de soporte técnico 2: Evaluación de información confidencial y clasificada de seguridad
| Funcionalidad de la solución | Sección |
|---|---|
| Proporcione a los usuarios la oportunidad de evaluar el valor, la importancia y la confidencialidad de los elementos al seleccionar una etiqueta de confidencialidad. | Etiquetado obligatorio |
| Guía a los usuarios en la evaluación de la confidencialidad de los elementos a través de cuadros de diálogo emergentes de etiquetas que contienen descripciones de etiquetas, visibles durante la selección de etiquetas. | Etiqueta de descripción para usuarios |
| Proporciona la capacidad de configurar un vínculo específico de la organización Más información que es accesible desde el menú de selección de etiquetas y puede proporcionar a los usuarios consejos adicionales sobre las etiquetas adecuadas para los tipos de información. | Página de ayuda personalizada |
| Ayuda a los usuarios en la evaluación de las existencias de información mediante la detección de elementos no clasificados y la recomendación de reevaluación cuando corresponda. | Recomendación de etiquetas basadas en la detección de contenido confidencial |
| Ayuda con la evaluación de la información mediante la identificación de datos confidenciales que se toman de aplicaciones de base de datos o plataformas similares o existen en ellas. | Tipos de información confidencial de coincidencia exacta de datos |
| Ayude con la evaluación de la información mediante el uso del aprendizaje automático para identificar elementos que normalmente se considerarían confidenciales. | Clasificadores que se pueden entrenar |
| Ayude a los usuarios a evaluar las existencias de información mediante la recomendación de etiquetas que se alineen con las marcas aplicadas por organizaciones externas. | Recomendaciones basadas en marcas de agencias externas |
| Ayude a los usuarios a evaluar las existencias de información recomendando etiquetas que se alineen con las marcas históricas. |
Recomendaciones basadas en marcas históricas Etiquetado automático de elementos con clasificaciones de seguridad históricas |
| Ayude a los usuarios a evaluar las existencias de información mediante la recomendación de etiquetas que se alineen con las marcas que han sido aplicadas por soluciones de clasificación que no son de Microsoft. | Recomendaciones basadas en marcas aplicadas por herramientas que no son de Microsoft |
| Ayudar con la evaluación de la información proporcionando notificaciones visuales a los usuarios a través de la sugerencia de directiva DLP cuando se detecta información confidencial en un elemento. | Sugerencias de directiva DLP antes de la infracción |
| Identifique la información confidencial que reside en los sistemas de base de datos, etiquete la información en su lugar y permita que la etiqueta se herede en los sistemas de bajada. |
Power BI y Azure Purview Mapa de datos de Microsoft Purview |
Requisito básico C: Implementar controles operativos para estas retenciones de información proporcionales a su valor, importancia y confidencialidad
| Funcionalidad de la solución | Sección |
|---|---|
| Evite la distribución inapropiada de información clasificada de seguridad mediante directivas de prevención de pérdida de datos (DLP) basadas en etiquetas de confidencialidad. | Protección de información clasificada |
| Evite la distribución inapropiada de información confidencial mediante directivas de prevención de pérdida de datos (DLP) destinadas a contenido confidencial. | Protección de información confidencial |
| Proporcione marcas visuales en elementos individuales que reflejen la clasificación de seguridad aplicada a la información del elemento. | Marcado de contenido de etiqueta de confidencialidad |
| Proporcione marcas visuales que reflejen el nivel más alto de confidencialidad que debe existir dentro de una ubicación (sitio o equipo). | Confidencialidad de ubicación y elemento de SharePoint |
| Configure los valores de privacidad de la ubicación en función de la confidencialidad aplicada a la ubicación. | Configuración de privacidad de etiquetas |
| Habilite o deshabilite el acceso de invitado a una ubicación y a los elementos de una ubicación en función de la etiqueta de ubicaciones aplicadas. | Configuración de acceso de invitado |
| Controlar la configuración de uso compartido de Microsoft 365 para una ubicación basada en SharePoint (sitio o equipo) en función de la etiqueta aplicada a la ubicación. | Configuración de uso compartido de etiquetas |
| Proporcione notificaciones y alertas de usuario para elementos altamente confidenciales ubicados en ubicaciones de confidencialidad inferior. | Alertas de datos fuera de lugar |
| Configure otros requisitos para el acceso a ubicaciones altamente confidenciales (sitios o Teams). Por ejemplo, desde dispositivos no administrados, dispositivos no seguros o ubicaciones desconocidas. |
Acceso condicional Contexto de autenticación Protección de información clasificada Control del uso compartido a través de la protección adaptable |
| Cifre los elementos altamente confidenciales para evitar el acceso de usuarios no autorizados, independientemente de la ubicación de un elemento. | Cifrado de etiquetas de confidencialidad |
| Configure las restricciones de acceso y uso para grupos de usuarios internos o invitados. | Asignación de permisos de cifrado de etiquetas |
| Restrinja el movimiento de elementos clasificados de seguridad o su información contenida a ubicaciones en las que no se pueda controlar el acceso o la distribución adicional de su información adjunta. |
Impedir la descarga o impresión de elementos clasificados de seguridad Impedir la carga de elementos clasificados de seguridad en ubicaciones no administradas |
Requisitos de compatibilidad
Requisito 1: Identificación de las existencias de información
No hay requisitos adicionales de soporte técnico más allá de los requisitos básicos.
Requisito 2: Evaluación de información confidencial y clasificada de seguridad
No hay requisitos adicionales de soporte técnico más allá de los requisitos básicos.
Requisito 3: Desclasificación
| Funcionalidad de la solución | Sección |
|---|---|
| Registre un seguimiento auditable de todas las actividades relacionadas con las etiquetas, incluida la eliminación o reducción de las etiquetas de confidencialidad aplicadas. Registre las actividades de cambio de etiqueta, incluido el usuario que realizó el cambio y su justificación para hacerlo. |
Justificación de cambio de etiqueta Registro de auditoría |
| Aplique el cifrado a los elementos que restrinjan la capacidad interna o de los invitados de modificar los elementos, conservando el elemento y aplicando la marcación o clasificación. | Asignación de permisos de cifrado de etiquetas |
| Bloqueo de elementos en su lugar para evitar cambios en los elementos, incluida la capacidad de cambiar la etiqueta de confidencialidad aplicada. | Enfoque de "bloqueo" de etiquetas |
| Informe sobre los usuarios que realizan actividades consideradas de riesgo para la seguridad de la información, incluidas las secuencias de degradación y filtración de etiquetas. |
Enfoque basado en riesgos del usuario Supervisión del uso compartido a través de Insider Risk Management Control del uso compartido a través de la protección adaptable |
| Implemente directivas DLP para detectar marcas de protección dentro de elementos alerta si la etiqueta aplicada actualmente es menor que el marcado identificado. | Implicaciones para la degradación de etiquetas malintencionadas |
Requisito 4: Información de marcado
| Funcionalidad de la solución | Sección |
|---|---|
| Los clientes de Office proporcionan una identificación clara de la confidencialidad de un elemento a través de marcas de etiquetas basadas en cliente. | Experiencia del cliente de etiquetado |
| Aplique marcas protectoras basadas en texto para marcar información confidencial y clasificada de seguridad. |
Marcado de contenido de etiqueta de confidencialidad Estrategias de marcado de información |
| Aplique marcas codificadas por colores para ayudar a los usuarios con la identificación de confidencialidad. | Color de la etiqueta |
| Aplicar marcas protectoras a través de metadatos de correo electrónico (encabezados X). | Aplicación de encabezados de marcado de protección x mediante la directiva DLP |
| Aplicar marcas protectoras a través del asunto del correo electrónico. | Aplicación de marcas de correo electrónico basadas en asuntos |
| Aplique marcas a ubicaciones, como sitios o Teams. Estas marcas identifican el nivel más alto de confidencialidad del elemento que debe existir en la ubicación o el contenedor. | Alertas de datos fuera de contexto |
| Identifique claramente la confidencialidad de los elementos para los usuarios al trabajar en directorios basados en SharePoint (sitios, Teams o OneDrive). | Confidencialidad de ubicación y elemento de SharePoint |
Requisito 5: Uso de metadatos para marcar la información
| Funcionalidad de la solución | Sección |
|---|---|
| Index security classification and Security Caveat and Dissemination Limiting Marker properties via SharePoint search, aligning with AGRkMS requirements. | Administración de metadatos de clasificación y advertencia |
| Aplique X-Protective-Marking x-headers para cumplir los requisitos de metadatos de correo electrónico según la directiva de PSPF 8 Anexo F. | Aplicación de encabezados de marcado de protección x mediante la directiva DLP |
| Aplique metadatos a columnas de base de datos que contengan información confidencial en sistemas de base de datos conectados. | Integración de datos y Power BI |
Requisito 6: Advertencias y material responsable
| Funcionalidad de la solución | Sección |
|---|---|
| Marque la información de advertencia y los marcadores de limitación de difusión (DLM) asociados o la clasificación a través de la estructura de etiquetas de confidencialidad. | Taxonomía de etiquetas de confidencialidad necesarias |
| Marque advertencias sobre los elementos asociados a través del texto. |
Marcado de contenido de etiqueta de confidencialidad Marcas basadas en asuntos |
| Registre toda la transferencia de material entrante y saliente. | Registro de auditoría |
| Aplique restricciones de distribución o acceso de advertencia. |
Limitación de la distribución de información confidencial Cifrado de etiquetas de confidencialidad |
Requisito 7: Requisitos mínimos de protección y control
| Funcionalidad de la solución | Sección |
|---|---|
| La información almacenada en los centros de datos de Microsoft 365 se cifra en reposo mediante el cifrado de BitLocker. | Introducción al cifrado |
| Requiere cifrado TLS para la transmisión basada en correo electrónico de elementos confidenciales, lo que garantiza que se cifran cuando se transfieren a través de redes públicas. | Requerir cifrado TLS para la transmisión de correo electrónico confidencial |
| Configure el control de acceso pormenorizado en ubicaciones marcadas (sitios o Teams) y bloquee usuarios, dispositivos o ubicaciones que no cumplan los requisitos de acceso o la autorización. |
Restricciones de dispositivos no administrados Contexto de autenticación |
| Mantenga los principios de necesidad de conocer mediante la restricción del uso compartido, el acceso de invitado y el control de la configuración de privacidad de las ubicaciones marcadas. | Configuración de sitios y grupos de etiquetas de confidencialidad |
| Aplique directivas DLP para ayudar a garantizar la necesidad de conocer y restringir la distribución de elementos a usuarios internos no autorizados o no claros y organizaciones externas. | Limitación de la distribución de información confidencial |
| Cifre los elementos confidenciales o clasificados de seguridad, proporcionando control de acceso y asegurándose de que solo los usuarios autorizados tengan acceso a la información contenida, independientemente de la ubicación del elemento. | Cifrado de etiquetas de confidencialidad |
| Aplique protecciones, incluidos el cifrado, el uso compartido y los controles relacionados con DLP a las exportaciones o archivos PDF generados a partir de sistemas de origen etiquetados. | Integración de datos y Power BI |
| Identifique los elementos marcados con clasificaciones de seguridad históricas y la alineación automática con marcas modernas o mantenga la etiqueta histórica junto con los controles necesarios. | Recomendaciones basadas en marcas históricas |
Requisito 8: Eliminación
| Funcionalidad de la solución |
|---|
| Implemente directivas de retención, etiquetado de retención, ciclo de vida de datos y configuraciones de administración de registros, incluida la revisión de eliminación, para admitir los requisitos de archivo y registros. |
| Alinee el marcado de seguridad, la etiqueta o directiva de retención y la eliminación asociada cuando sea necesario (observando que la seguridad y el archivo rara vez se alinean). |
| Implemente directivas de retención que quiten permanentemente la información una vez que se cumplan los requisitos de retención de elementos o proporcionen a los equipos de administración de registros la funcionalidad de revisión de eliminación que permita el filtrado de elementos antes de su eliminación permanente. |
Estos artículos se relacionan con Administración del ciclo de vida de Microsoft Purview Information Protection y están fuera del ámbito de esta guía. Para obtener instrucciones sobre Administración del ciclo de vida de Microsoft Purview, consulte Administración del ciclo de vida.
Requisito 9: Discusiones confidenciales y clasificadas en seguridad
| Funcionalidad de la solución | Sección |
|---|---|
| Aplique marcas de protección a las invitaciones a reuniones de Teams y a los elementos del calendario de Outlook. Aplicar controles a elementos de calendario, como el cifrado de datos adjuntos de reunión. |
Etiquetado de elementos de calendario |
| Aplique marcas de protección a las reuniones de Teams y configure controles avanzados para proteger las conversaciones clasificadas, incluidas técnicas avanzadas de cifrado y marcas de agua de reunión. Cifrado de un extremo a otro de las conversaciones de Teams, lo que proporciona a los usuarios la seguridad de que no se pueden interceptar discusiones confidenciales o clasificadas de seguridad. |
configuración de etiqueta de Teams Premium |
Directiva de PSPF 9: Acceso a la información
El acceso a la información se basa en los requisitos de la directiva 9 de PSPF V2018.6 (actualizado el 16 de agosto de 2022).
La política 9 de PSPF se refiere al acceso puntual, confiable y adecuado a la información oficial.
Al igual que con la directiva 8, la directiva 9 se divide en requisitos básicos y auxiliares.
En la tabla siguiente se proporcionan comentarios sobre las funcionalidades de Microsoft 365 que se alinean con los requisitos y vínculos a las secciones pertinentes de este documento.
Para obtener información sobre el origen de la directiva PSPF, consulte: Directiva de PSPF 9: Acceso a la información.
Requisito básico A: Habilitar el acceso adecuado al compartir información dentro de la entidad y con otras partes interesadas pertinentes
| Funcionalidad de la solución | Sección |
|---|---|
| Restrinja el uso compartido, la privacidad o el acceso de invitado en función de la etiqueta de confidencialidad aplicada a una ubicación de Team o SharePoint. | Configuración de sitios y grupos de etiquetas de confidencialidad |
| Restringir el uso compartido o advertir a los usuarios cuando intenten compartir contenido etiquetado con grupos internos o externos no autorizados. |
Prevención de la distribución inapropiada de información clasificada de seguridad Limitación de la distribución de información confidencial |
| Impedir la entrega de correos electrónicos etiquetados o datos adjuntos de correo electrónico a destinatarios no autorizados. |
Impedir la distribución por correo electrónico de información clasificada a organizaciones no autorizadas Impedir la distribución por correo electrónico de información clasificada a usuarios no autorizados |
| Restrinja la carga de contenido etiquetado a servicios en la nube no aprobados o ubicaciones donde los usuarios no autorizados puedan distribuirlo o acceder a él. | Impedir la carga de elementos clasificados de seguridad en ubicaciones no administradas |
| Impedir el acceso a elementos etiquetados (archivos o correos electrónicos) por parte de usuarios no autorizados en situaciones en las que se hayan compartido de forma inapropiada. | Cifrado de etiquetas de confidencialidad |
| Impedir que los elementos etiquetados se carguen en servicios en la nube no aprobados. Evita que se impriman, copien en USB, se transfieran a través de Bluetooth o una aplicación no permitida. |
Impedir el uso compartido de información clasificada de seguridad Impedir la descarga o impresión de elementos clasificados de seguridad |
Requisito principal B: Asegúrese de que las personas que acceden a información confidencial o clasificada de seguridad tengan la autorización de seguridad adecuada y necesiten conocer esa información.
| Funcionalidad de la solución | Sections |
|---|---|
| Restrinja el acceso a las ubicaciones que contienen información confidencial o clasificada solo a los usuarios autorizados. | Contexto de autenticación |
| Integre el etiquetado de confidencialidad y DLP. Las directivas se pueden crear para evitar el uso compartido (por correo electrónico o acción de uso compartido) de elementos con determinadas marcas con usuarios no autorizados. |
Impedir la distribución por correo electrónico de información clasificada a organizaciones no autorizadas Impedir la distribución por correo electrónico de información clasificada a usuarios no autorizados Impedir el uso compartido de información clasificada de seguridad |
| Proporcione sugerencias de directiva DLP, que advierten a los usuarios de que no compartan información antes de la infracción de la directiva, lo que reduce la probabilidad de divulgación de información debido a situaciones como identidades erróneas. | Sugerencias de directiva DLP antes de la infracción |
| Supervise, alerte o bloquee los intentos de compartir o enviar por correo electrónico elementos etiquetados a los usuarios que no tengan la autorización de seguridad adecuada. | Administración de eventos DLP |
| Configure las opciones de privacidad para sitios o Teams en función del marcado de una ubicación. Esto ayuda a evitar el acceso abierto a las ubicaciones de los usuarios que no tienen información necesaria y pone a los propietarios del equipo o de la ubicación en control del acceso a estas ubicaciones. También ayuda a cumplir el requisito de soporte técnico 2 al no proporcionar acceso automáticamente en función del estado, el rango o la comodidad. | Configuración de privacidad de etiquetas |
| Configure restricciones de uso compartido para un sitio o equipo, lo que garantiza que los elementos de las ubicaciones marcadas solo se puedan compartir con usuarios internos. | Configuración de uso compartido de etiquetas |
| Use el cifrado de etiquetas para controlar el acceso al contenido etiquetado, lo que garantiza que solo los usuarios autorizados tengan la capacidad de acceder a él. | Habilitación del cifrado de etiquetas |
| Alerta sobre la información de seguridad clasificada o marcada de que se mueve a ubicaciones de menor confidencialidad en las que los usuarios no autorizados pueden acceder más fácilmente a ellos. | Alertas de datos fuera de contexto |
Requisito básico C: Control del acceso (incluido el acceso remoto) para admitir sistemas de TIC, redes, infraestructura, dispositivos y aplicaciones
| Funcionalidad de la solución | Sections |
|---|---|
| Permite el uso del acceso condicional (CA) para restringir el acceso a la aplicación de Microsoft 365 a usuarios, dispositivos y ubicaciones aprobados, solo cuando se cumplen los requisitos de autenticación adecuados. | Acceso condicional |
| Proporcionar control de acceso pormenorizado a ubicaciones etiquetadas confidenciales o clasificadas de seguridad. | Contexto de autenticación |
| Evalúe la autenticación y autorización del usuario en el momento del acceso a elementos cifrados (archivos o correo electrónico). | Cifrado de etiquetas de confidencialidad |
Requisitos de compatibilidad
Requisito de soporte técnico 1: acuerdos formalizados para compartir información y recursos
| Funcionalidad de la solución | Sections |
|---|---|
| Configure los Términos de uso como parte de una directiva de acceso condicional para que los invitados estén obligados a aceptar los términos antes de permitir el acceso a los elementos. Esto complementa los acuerdos escritos entre organizaciones. | Microsoft Entra configuración de negocio a negocio (B2B) está fuera del ámbito de esta guía1. Los conceptos se introducen en el acceso condicional. |
| Implemente restricciones para evitar el uso compartido de información clasificada o marcada por seguridad, sino también de otros tipos de información confidencial con organizaciones externas. Se pueden aplicar excepciones a estas directivas para que se permita el uso compartido en una lista aprobada de organizaciones para las que se establecen acuerdos formales. | Limitación de la distribución de información confidencial |
| Configure el cifrado para restringir el acceso a la información (archivos o correo electrónico) a los invitados, excepto a los usuarios u organizaciones para los que se configuran los permisos. | Cifrado de etiquetas de confidencialidad |
| Configure el acceso de invitado para permitir actividades de colaboración (como compartir, coeditar, chat y pertenencia a Teams) solo con organizaciones aprobadas con las que existen acuerdos formales. | Microsoft Entra configuración B2B está fuera del ámbito de esta guía1. Los conceptos o la restricción del acceso de invitado a elementos etiquetados se introducen en la configuración de acceso de invitado |
| Audite el acceso de invitado y la pertenencia, solicitando a los propietarios de recursos que quiten invitados cuando ya no se necesiten y recomendando la eliminación cuando no se tenga acceso a los recursos. | Microsoft Entra configuración B2B está fuera del ámbito de esta guía1, 2. |
Nota:
1 Para obtener más información sobre Microsoft Entra configuración B2B, consulte Configuración de la nube de Microsoft para la colaboración B2B.
2 Para obtener más información sobre las revisiones de acceso, consulte revisiones de acceso.
Requisito de soporte técnico 2: Limitación del acceso a información confidencial y clasificada y recursos
No hay requisitos adicionales más allá del requisito básico B.
Requisito de soporte técnico 3: Información y recursos clasificados de seguridad de acceso continuo
| Funcionalidad de la solución | Sections |
|---|---|
| Configure directivas DLP para evitar la distribución de información clasificada de seguridad a los usuarios que no se borran al nivel adecuado. | Impedir la distribución por correo electrónico de información clasificada a organizaciones no autorizadas |
| Limite el acceso a las ubicaciones que contienen información de seguridad clasificada (o advertencia) a las personas que se borran al nivel adecuado. | Contexto de autenticación |
| Ayuda a evitar que la información de seguridad clasificada o marcada se mueva a ubicaciones de menor confidencialidad donde los usuarios no autorizados puedan acceder a ellos fácilmente. | Alertas de datos fuera de contexto |
| Configure el cifrado para garantizar que los usuarios que abandonan la organización ya no tienen acceso a material confidencial. | Cifrado de etiquetas de confidencialidad |
Requisito de soporte técnico 4: acceso temporal a información y recursos clasificados
| Funcionalidad de la solución | Sections |
|---|---|
| Configure el cifrado de etiquetas para conceder acceso temporal a elementos confidenciales y revocar el acceso después de un período de tiempo, lo que hace que el destinatario no pueda leer los elementos. | Expiración del acceso al contenido |
Requisito de soporte técnico 5: Administración del acceso a los sistemas de información
| Funcionalidad de la solución | Sections |
|---|---|
| Configure directivas de acceso condicional (CA) para requerir la identificación del usuario, la autenticación, incluidos otros factores de "autenticación moderna", como MFA, dispositivo administrado o ubicación conocida, antes de conceder acceso a los servicios. | Acceso condicional |
| Aplique otros requisitos de acceso condicional a los usuarios cuando accedan a las ubicaciones, que están marcadas con determinadas etiquetas. | Contexto de autenticación |
| Configure el cifrado de etiquetas, que confirma la identidad, la autenticación y la autorización cada vez que un usuario accede a un elemento cifrado. | Cifrado de etiquetas de confidencialidad |
Manual de seguridad de la información (ISM)
El propósito del Manual de seguridad de la información (ISM) es describir un marco de ciberseguridad que las organizaciones pueden aplicar, utilizando su marco de administración de riesgos, para proteger su información y sistemas frente a amenazas. El manual contiene los controles que deben implementar las organizaciones gubernamentales y otras que trabajan bajo la PSPF para los gobiernos federales, estatales y locales de Australia, y en el nivel adecuado asociado a la clasificación de los datos que administran.
La intención de esta guía de Microsoft Purview Information Protection no es reemplazar ningún trabajo detallado que las organizaciones deben realizar para evaluar su alineación con el ISM. Está diseñado para guiar a las organizaciones en la configuración de Microsoft 365 que se alinean con los controles ISM.
Para obtener una guía más amplia sobre la configuración adecuada de Microsoft 365, se recomienda plano técnico de ASD para la nube segura.
Los requisitos de ISM descritos en esta sección hacen referencia a la versión de ISM: marzo de 2023.
Los siguientes requisitos de ISM son pertinentes para las organizaciones gubernamentales Microsoft Purview Information Protection configuración:
ISM-0270: Las marcas de protección se aplican a los correos electrónicos y reflejan la más alta confidencialidad o clasificación del asunto, el cuerpo y los datos adjuntos.
| Funcionalidad de la solución | Sections |
|---|---|
| La herencia de etiquetas garantiza que un correo electrónico se marca según la confidencialidad más alta que se aplica al elemento o los datos adjuntos. | Herencia de etiquetas |
| Identifique información confidencial y recomiende que se aplique un marcado de mayor confidencialidad si un elemento está clasificado. |
Etiquetado automático basado en cliente Identificación de información confidencial |
ISM-0271: Las herramientas de marcado de protección no insertan automáticamente marcas de protección en correos electrónicos
| Funcionalidad de la solución | Sections |
|---|---|
| Requerir que los usuarios seleccionen una etiqueta de confidencialidad adecuada para cada elemento (archivo o correo electrónico) y pídales una etiqueta si no han aplicado una. | Etiquetado obligatorio |
| Configure recomendaciones de etiquetas para sugerir que se aplica una etiqueta después de la detección de contenido confidencial, al tiempo que deja la determinación al usuario. | Recomendaciones de etiquetado automático basado en cliente |
ISM-0272: Las herramientas de marcado de protección no permiten a los usuarios seleccionar marcas de protección que un sistema no está autorizado para procesar, almacenar o comunicar
| Funcionalidad de la solución | Sections |
|---|---|
| Los usuarios solo pueden seleccionar y aplicar etiquetas de confidencialidad a los elementos que se publican en ellos a través de una directiva de etiquetado. |
Directivas de etiqueta de confidencialidad Etiquetas para obtener información más allá del nivel protegido Bloqueo de la transmisión de clasificaciones no emitidas |
ISM-1089: las herramientas de marcado de protección no permiten a los usuarios responder o reenviar correos electrónicos seleccionar marcas de protección inferiores a las usadas anteriormente
| Funcionalidad de la solución | Sections |
|---|---|
| Tomando nota de las diferencias entre este control y el enfoque de Microsoft 365, Purview se puede configurar para requerir una justificación empresarial con el fin de quitar o reducir una etiqueta de confidencialidad. Esta información se conserva en el registro de auditoría, se muestra a través de los portales de clasificación de datos y se puede exportar a través de soluciones de administración de eventos e información de seguridad (SIEM), como Sentinel. Esta información también se tiene en cuenta en las métricas de Administración de riesgos internos (IRM), que se pueden usar para identificar usuarios de riesgo e impedir que realicen actividades nefastas. |
Control del correo electrónico de información marcada a través de DLP Implicaciones para la degradación de etiquetas malintencionadas Justificación de cambio de etiqueta Registro de auditoría Impedir el uso compartido de información clasificada de seguridad |
| Configure el cifrado basado en etiquetas y la administración de derechos para evitar cambios en los elementos etiquetados para los usuarios que no tienen permisos suficientes, lo que impide los cambios en las etiquetas. | Cifrado de etiquetas de confidencialidad |
ISM-0565: los servidores de Email están configurados para bloquear, registrar e informar correos electrónicos con marcas de protección inadecuadas
| Funcionalidad de la solución | Sections |
|---|---|
| Implemente directivas DLP para evitar la recepción y distribución adicional de elementos con clasificaciones que no se permiten en la plataforma. | Bloqueo de la transmisión de clasificaciones no emitidas |
| Configure directivas DLP o reglas de flujo de correo de Exchange para bloquear, registrar e informar correos electrónicos con marcas que faltan. |
Etiquetado obligatorio Bloqueo de la transmisión de correo electrónico sin etiquetar |
ISM-1023: Se notifica a los destinatarios previstos de los correos electrónicos entrantes bloqueados y a los remitentes de los correos electrónicos salientes bloqueados.
| Funcionalidad de la solución | Sections |
|---|---|
| Configure directivas DLP o reglas de flujo de Correo de Exchange con diferentes opciones de notificación basadas en el destinatario. | Bloqueo de la transmisión de correo electrónico sin etiquetar |
ISM-0572: el cifrado TLS oportunista está habilitado en los servidores de correo electrónico que realizan conexiones de correo electrónico entrante o saliente a través de la infraestructura de red pública.
| Funcionalidad de la solución | Sections |
|---|---|
| La seguridad de la capa de transporte (TLS) oportunista está configurada de forma predeterminada en Exchange Online. Configure los conectores de correo electrónico para establecer el cifrado TLS como obligatorio para la transmisión de correos electrónicos confidenciales, sin necesidad de aplicar estos requisitos en elementos de menor confidencialidad. |
Requerir cifrado TLS para la transmisión de correo electrónico confidencial |
ISM-1405: Se implementa una instalación de registro de eventos centralizado y los sistemas están configurados para guardar los registros de eventos en la instalación lo antes posible después de que se produzca cada evento.
| Funcionalidad de la solución | Sections |
|---|---|
| El registro de auditoría unificado proporciona registro de eventos centralizado para todos los servicios de Microsoft 365. | Registro de auditoría |
ISM-0859: Los registros de eventos, excepto los de servicios del sistema de nombres de dominio y servidores proxy web, se conservan durante al menos siete años.
| Funcionalidad de la solución | Sections |
|---|---|
| Los registros de auditoría se pueden conservar durante un máximo de 10 años a través de directivas de retención de registros de auditoría. Este período se puede ampliar aún más mediante la integración de Microsoft 365 con una solución SIEM como Sentinel. | Registro de auditoría |
ISM-0585: Para cada evento registrado, se registra la fecha y hora del evento, el usuario o proceso correspondiente, el nombre de archivo correspondiente, la descripción del evento y el equipo de TIC implicado.
| Funcionalidad de la solución | Sections |
|---|---|
| El registro de auditoría de Microsoft 365 captura los detalles de eventos administrativos y de usuario. Para cada evento, se registran detalles relevantes como el elemento, el usuario, la actividad completada y la hora del evento. Los registros de auditoría capturan eventos para actividades relacionadas con la etiqueta, como la aplicación de etiquetas y los cambios. |
Registro de auditoría |
ISM-0133: Cuando se produce un derrame de datos, se recomienda a los propietarios de datos y se restringe el acceso a los datos.
| Funcionalidad de la solución | Sections |
|---|---|
| Configure directivas DLP para detectar derrames de datos y notificar a las partes adecuadas tras la detección. | Bloqueo de la transmisión de clasificaciones no emitidas |
Estándar de metadatos de mantenimiento de registros del gobierno de Australia
La versión de los requisitos de AGRkMS a los que se hace referencia en esta guía es AGRkMS V2.2 (junio de 2015).
El Estándar de metadatos de mantenimiento de registros del Gobierno de Australia (AGRkMS) y la guía de AGRkMS adjunta establecen el tipo de metadatos que las agencias gubernamentales australianas deben incluir en sus sistemas empresariales y especifica los requisitos obligatorios mínimos.
Entre estos requisitos se encuentran las propiedades de metadatos de "Clasificación de seguridad" y "Advertencia de seguridad", que se alinean con la directiva 8 de PSPF.
El estándar incluye una instrucción de propósito para la inclusión de estas propiedades de metadatos. Al igual que con los requisitos mencionados en las secciones anteriores, la intención de la inclusión de estas propiedades de AGRkMS en este estándar se alinea con las funcionalidades proporcionadas por Microsoft Purview Information Protection y las herramientas de Microsoft 365 asociadas:
| Requisito | Sections |
|---|---|
| 1. Facilitar o restringir el acceso a los registros, o a determinadas funciones empresariales, actividades o transacciones, por parte del personal de la agencia o del público (Clasificación y Advertencia). 2. Impedir el acceso a registros, o a determinadas funciones empresariales, actividades o transacciones, por parte de usuarios con permisos de seguridad insuficientes (Clasificación). 3. Para habilitar la restricción de acceso a los registros por parte de aquellos con permisos de seguridad insuficientes (advertencia). |
Prevención de la distribución inapropiada de información clasificada de seguridad Etiquetar la configuración de acceso de invitado Configuración de uso compartido de etiquetas Contexto de autenticación Alertas de datos fuera de lugar |
| 4. Para permitir que los registros, las funciones empresariales, las actividades o las transacciones, y los mandatos con sensibilidades de seguridad se identifiquen y administren adecuadamente (Clasificación y Advertencia). |
Experiencia del cliente de etiquetado Marcado de contenido de etiqueta Confidencialidad de ubicación y elemento de SharePoint |
| 5. Para alertar a los usuarios sobre las restricciones de seguridad en el acceso a registros y mandatos (clasificación y advertencia). |
Impedir la distribución por correo electrónico de información clasificada a organizaciones no autorizadas Impedir el uso compartido de información clasificada de seguridad |
| 6. Evitar la detección de la naturaleza de la información o actividad cubierta por compartimentos de seguridad concretos (Clasificación y Advertencia). | Límites de cumplimiento |
Estos requisitos de metadatos se pueden cumplir en la plataforma de Microsoft 365 sin ninguna manipulación avanzada de metadatos. Sin embargo, las organizaciones gubernamentales que aspiran a usar Microsoft 365 para la administración de registros locales y que desean cumplir los requisitos de AGRkMS en su totalidad deben tener en cuenta el consejo proporcionado en la sección de clasificación de administración y metadatos de advertencia de esta guía.
Requisitos de State Government
En la sección siguiente se proporcionan referencias a los requisitos del Gobierno del Estado y algunas notas de alto nivel sobre cómo sus marcos difieren del Gobierno Federal.
Territorio de la capital australiana
El gobierno de Australia Capital Territory (ACT) hace uso del Marco de política de seguridad de protección del gobierno (PSPF), que es similar al estándar del Gobierno Federal en intención, etiquetas requeridas y marcadores de administración de la información (IMM). Por lo tanto, el asesoramiento de esta guía es directamente aplicable a ACT Government.
Nueva Gales del Sur
El gobierno del estado de Nueva Gales del Sur (NSW) usa las directrices de clasificación, etiquetado y manipulación de información gubernamental de NSW.
Estos requisitos se alinean con el estándar FEDERAL PSPF en un nivel alto, ya que ambos conjuntos de requisitos hacen uso de etiquetas NO OFICIALES a PROTEGIDAs. Sin embargo, el estándar NSW usa un conjunto diferente de marcadores de limitación de difusión (DLL) que no se alinean con las etiquetas federales:
"La etiqueta OFICIAL: Confidencial es aplicada por el Gobierno de Australia, y otros estados y territorios. El gobierno de NSW no aplicará esta etiqueta a su información porque los seis ARCHIVOS DLL usados en NSW con el prefijo OFICIAL: confidencial permiten la especificidad requerida en NSW. Esto significa que la información etiquetada OFICIAL: Confidencial se considera que se originó fuera del gobierno de NSW."
Esto significa que la información confidencial de NSW Government no está marcada con etiquetas federales, sino que se trata por separado. Por ejemplo, la etiqueta "OFFICIAL Sensitive - NSW Government" no tiene ningún equivalente de PSPF, por lo que la traducción a una etiqueta PSPF no es adecuada.
Hay tres opciones que deben tener en cuenta las organizaciones gubernamentales federales que colaboran con NSW Government al diseñar su configuración de MPIP:
- Uso de etiquetas ocultas donde el administrador implementa un conjunto de etiquetas que no se publican para los usuarios, pero que están disponibles para el servicio de etiquetado automático. Las etiquetas ocultas permiten que la información generada por las organizaciones gubernamentales del estado reciba protecciones similares a la información interna sin necesidad de volver a etiquetar elementos con marcas PSPF. Para obtener más información, vea Etiquetas para organizaciones con taxonomías de etiquetas diferentes.
- Uso de tipos de información confidencial (SIT) donde las organizaciones implementan un conjunto de SIT, que identifican la información marcada con etiquetas de NSW Government. Estos SIT se usan en DLP y otros tipos de directiva para asegurarse de que la información se trata adecuadamente. Para obtener más información, vea Tipos de información confidencial personalizados.
- Uso de etiquetas alineadas con NSW donde las organizaciones optan por aplicar etiquetas a la información recibida que se alinea más estrechamente con las marcas gubernamentales de NSW. Esto puede ser accionado manualmente por los usuarios, potencialmente con la ayuda del etiquetado automático para sugerir lo más adecuado (OFICIAL: Confidencial en la mayoría de los casos). Con este enfoque, el marcado visual de NSW todavía se aplica a los elementos y se complementa con equivalentes federales en los correos electrónicos de respuesta. Esto ayudaría a garantizar que la información está protegida de acuerdo con las configuraciones de inquilino mientras reside en el entorno. Para obtener más información, consulte recomendaciones basadas en marcas de agencias externas.
Estas opciones también son pertinentes para las organizaciones gubernamentales de NSW que están considerando la mejor manera de controlar la información que se recibe con las marcas de PSPF federales, o los marcados aplicados por otros gobiernos estatales.
Territorio del Norte
El gobierno del Territorio del Norte (NT) hace uso de la Organización del Sector Público del Gobierno del Territorio del Norte (NTG PSO): Sistema de clasificación de seguridad.
Este sistema tiene una alineación parcial con la PSPF federal, ya que existen etiquetas UNCLASSIFIED y PROTECTED en el marco. Sin embargo, también hace uso de las etiquetas CONFIDENTIAL y PUBLIC, lo que significa que las organizaciones que colaboran con el Gobierno de NT deben considerar métodos para la traducción de etiquetas o la identificación de la información confidencial de NT Government a través de los métodos mencionados anteriormente en la sección de administración pública de NSW con el fin de garantizar que la información esté protegida mientras reside en entornos de Microsoft 365 del Gobierno Federal.
Las organizaciones gubernamentales de NT deben considerar el consejo de este documento, pero agregar una etiqueta PÚBLICA y sustituir OFICIAL: Confidencial para etiquetas CONFIDENCIALES. Los puntos anteriores en torno a la protección de información de otras jurisdicciones también son pertinentes, por lo que NT debe implementar tipos de información confidencial, etiquetas no publicadas o recomendaciones de etiquetado basadas en cliente, como se describe en la sección NSW.
Queensland
Las organizaciones gubernamentales de Queensland deben cumplir con el Marco de Clasificación de Seguridad de la Información (QGISCF) del Gobierno de Queensland.
Al igual que NSW y NT, los requisitos gubernamentales de Queensland difieren de pspf, pero QGISCF hace uso de una topología similar de etiquetas OFICIALES, CONFIDENCIALES y PROTEGIDAs y la información proporcionada en este documento es pertinente.
El QGISCF está diseñado para ser compatible con el Marco de política de seguridad de protección del Gobierno australiano y el Manual de seguridad de la información del Gobierno de Australia. Debido a esto, las organizaciones del Gobierno Federal deben usar el etiquetado automático para traducir la información que reciben de las organizaciones gubernamentales de Queensland en etiquetas PSPF equivalentes (SENSITIVE to OFFICIAL: Sensitive por ejemplo) para asegurarse de que dicha información está dentro del ámbito de DLP y otras protecciones mientras reside en entornos de Microsoft 365 del Gobierno Federal. Lo contrario es aplicable a las organizaciones gubernamentales de Queensland que reciben información del Gobierno Federal.
Australia Meridional
El Marco de seguridad de protección de Australia meridional (SA) (SAPSF) incluye una directiva denominada "INFOCEC1: Proteger la información oficial". Esta directiva se alinea con el estándar federal a un alto nivel, observando algunas variaciones en términos de marcadores y advertencias de administración de la información (por ejemplo, SA CABINET y Medical in Confidence). Debido a esta alineación, las organizaciones gubernamentales federales deben ser capaces de identificar y proteger elementos confidenciales de SA Government sin variaciones significativas en sus configuraciones. Los consejos proporcionados en este documento son pertinentes para sa government sin necesidad significativa de traducción a marcas locales.
Las organizaciones gubernamentales federales que reciben información de las agencias gubernamentales de SA deben considerar cómo se protege la información de SA Government dentro de sus entornos. Establecimiento de SIT o etiquetas de confidencialidad no publicadas para capturar marcas específicas de SA y directivas DLP para aplicar las protecciones adecuadas (tal como se cubren en etiquetas para organizaciones con taxonomías de etiquetas diferentes), según corresponda.
Las organizaciones de SA Government que usan esta guía deben tener en cuenta que el marco SAPSF no especifica los requisitos de metadatos de correo electrónico, como los encabezados X. Se trata de una brecha, ya que sin la especificación, las organizaciones gubernamentales de SA pueden tener dificultades para mantener las clasificaciones y las protecciones asociadas a medida que se pasa información entre las organizaciones. El uso del estándar FEDERAL PSPF para esto es adecuado para lograr la traducción de etiquetas de correo electrónico (tal como se describe en el etiquetado del correo electrónico durante el transporte).
El enfoque utilizado en los encabezados pspf X-Protective-Marking se puede adaptar para cubrir etiquetas específicas de SA, como SA CABINET y Medical in Confidence. Algunas organizaciones gubernamentales de SA han implementado metadatos de estilo PSPF, independientemente de que no se incluyan en SAPSF. Un ejemplo de esto sería establecer un encabezado X-Protective-Marking de "VER=2018.6, NS=sa.gov.au, SEC=OFFICIAL". Este enfoque mitiga los riesgos asociados al uso compartido de información entre organizaciones gubernamentales de SA y proporciona un marcado que otros estados y organizaciones federales pueden usar para determinar las protecciones necesarias de la información incluida.
Tasmania
El Estándar de Clasificación de Seguridad de la Información para el Gobierno de Tasmania (TAS) es un proyecto y está en revisión.
Para obtener información sobre los marcados actualmente en uso por el gobierno de TAS, consulte Clasificación de la seguridad de la información de TAS.
Las organizaciones gubernamentales federales que desean asegurarse de proteger la información recibida del gobierno de TAS deben utilizar los controles que están en vigor para ayudar a proteger la información heredada en la versión anterior de la PSPF. Para obtener más información, consulte Recomendaciones basadas en marcas históricas.
Victoria
El marco de gobierno estatal victoriano (VIC) es el marco de seguridad de datos de protección victoriana (VPDSF) es similar a SA, pero todavía se alinea estrechamente con la PSPF federal.
Las organizaciones del Gobierno del Estado victoriano deben considerar el asesoramiento proporcionado en esta guía como pertinente para sus propios entornos.
En el marco de VIC, la diferencia con las marcas aplicadas a través de encabezados x de correo electrónico para los valores de dominio y versión. Las marcas del Gabinete del Gobierno Victoriano también difieren con las del Gobierno Federal, por lo que las organizaciones gubernamentales victorianas deben tener en cuenta que se requiere un encabezado x de manejo especial de "SH:CABINET-IN-CONFIDENCE" en lugar del "SH:NATIONAL-CABINET". Para obtener más información sobre el control especial, consulte aplicación de encabezados de marcado x-protective a través de la directiva DLP.
Australia Occidental
El Gobierno de Australia Occidental (WA) tiene una política de clasificación de información, hace uso de etiquetas NO OFICIALES, OFICIALES y OFICIALES: Confidenciales, que se alinean estrechamente con las clasificaciones de PSPF del Gobierno Federal. Sin embargo, el acceso y otros requisitos difieren.
La política establece "Para la protección de la información clasificada de seguridad de la Commonwealth, los organismos deben cumplir con las disposiciones de los acuerdos interjurisciales pertinentes". Esto significa que los requisitos del Gobierno Federal deben ser considerados por las agencias gubernamentales de WA.
Los clientes de WA Government deben tener en cuenta el asesoramiento proporcionado en este documento por su relevancia para sus propias configuraciones.
En el caso de las organizaciones gubernamentales federales que reciben información de organizaciones gubernamentales de WA, como el enfoque de WA se alinea con federal, el etiquetado automático y otras configuraciones que se tratan en esta guía ayudan a garantizar que dicha información esté protegida mientras reside en entornos federales de Microsoft 365.