Protection des données Microsoft Purview l’approche du programme pour la conformité du gouvernement australien aux PSPF
Cet article est fourni dans le cadre du Guide de Information Protection du gouvernement australien et est destiné à aider les organisations à naviguer dans la gamme de scénarios et d’options de configuration explorés dans le guide. L’approche détaillée dans cet article comprend plusieurs étapes de projet incrémentielles destinées à aider les organisations à améliorer rapidement leur maturité du Framework de stratégie de sécurité de protection (PSPF) à mesure qu’elles passent par les étapes du programme.
L’approche répertoriée ici inclut également des contrôles de sécurité des données qui sont essentiels au respect du Manuel de sécurité des informations (ISM).
Étape 1 : Fondements de Microsoft Purview
Résultats souhaités - Fondements de Microsoft Purview
L’objectif de la phase 1 est d’établir un ensemble de configurations Microsoft Purview initiales qui permettent à votre organization de répondre aux exigences de base de la stratégie 8 du PSPF, en permettant aux utilisateurs d’évaluer et de marquer des informations sensibles ou classifiées de sécurité. L’étape 1 implémente également un ensemble de contrôles opérationnels de base qui protège les informations en fonction de la sensibilité.
| Inclusions recommandées | Sections |
|---|---|
| Établissement d’une taxonomie d’étiquette qui s’aligne sur la stratégie PSPF 8, y compris toutes les étiquettes de confidentialité que les utilisateurs doivent appliquer aux éléments. | Taxonomie des étiquettes de confidentialité |
| Configuration des étiquettes de confidentialité et déploiement des fonctionnalités d’étiquetage pour les utilisateurs. |
Configuration de l’étiquette de confidentialité Stratégies d’étiquette de confidentialité |
| Établissement de méthodes de marquage, y compris des stratégies DLP qui appliquent des en-têtes x-protective-marking et des marquages d’objet aux e-mails. | stratégies de marquage Email |
| Implémentation d’un ensemble initial de stratégies DLP pour surveiller ou contrôler le flux d’informations classifiées de sécurité (y compris les classifications non émises). |
Prévention de la distribution inappropriée d’informations classifiées en matière de sécurité Prévention de la fuite de données par réception de classifications inappropriées |
| Implémentation de stratégies DLP basées sur un modèle qui s’alignent sur les types de données australiens pour aider à identifier et à protéger les informations sensibles, quelle que soit l’étiquette de confidentialité appliquée. | Utilisation de modèles de stratégie DLP pour contrôler les e-mails d’informations sensibles |
| Implémentation de types d’informations sensibles (SIT) pour faciliter l’identification des informations en fonction des marquages de protection appliqués. | Exemple de syntaxe SIT pour détecter les marquages de protection |
| Implémentation de la configuration de l’étiquetage automatique pour identifier les marquages de protection appliqués aux éléments hérités et recommander une étiquette appropriée à l’utilisateur. |
Recommandations basées sur les marquages des agences externes Recommandations basées sur les marquages historiques |
| Implémentation de stratégies d’étiquetage automatique pour appliquer automatiquement des étiquettes de confidentialité aux éléments reçus d’entités externes où les marquages de protection appliqués s’alignent sur l’étiquette de confidentialité. Cela garantit que les protections DLP et autres protections basées sur les étiquettes s’appliquent aux éléments reçus et pas seulement à ceux générés en interne. | Étiquetage des e-mails pendant le transport |
Étape 2 : Connaître et protéger les informations
Résultats souhaités - Connaître et protéger les informations
Implémentation de fonctionnalités pour mieux identifier les informations sensibles et garantir l’application des protections pertinentes.
| Inclusions recommandées | Sections |
|---|---|
| Implémentation des groupes d’étiquettes et de la configuration des sites pour permettre l’application de contrôles aux sites SharePoint et à Teams. | Configuration des groupes d’étiquettes de confidentialité & sites |
| Implémentation de la configuration des éléments de réunion et de calendrier d’étiquettes pour étendre les concepts PSPF et les contrôles de sécurité des données via des calendriers. | Étiquetage de confidentialité pour les éléments de calendrier et les réunions Teams |
| Identification des ressources d’information clés des organisations et établissement de méthodes pour leur identification. Ces méthodes sont susceptibles de nécessiter l’utilisation de classifieurs avancés, y compris les types d’informations sensibles personnalisés, les classifieurs pouvant être formés, la correspondance exacte des données et/ou l’empreinte digitale du document. |
Types d’informations sensibles personnalisés Correspondance exacte des données avec les types d’informations sensibles Empreintes digitales des documents Classifieurs pouvant être formés |
| Implémentation ou amélioration des stratégies DLP pour éviter la perte d’informations sensibles identifiées via des techniques de classification avancées. |
Contrôle de l’e-mail des sits personnalisés via DLP Limitation des conversations externes contenant du contenu sensible Contrôle du partage d’informations sensibles via DLP |
| Implémentation de stratégies d’étiquetage automatique pour recommander des étiquettes en fonction de la détection d’informations sensibles. |
Recommandations d’étiquettes en fonction de la détection de contenu sensible écommendations basées sur des marquages d’agences externes |
| Implémentation potentielle d’étiquettes de confidentialité supplémentaires, ainsi que des configurations d’étiquetage automatique requises, pour permettre le maintien des classifications appliquées par d’autres juridictions sans reclassement. | Étiquettes pour les organisations avec des taxonomies d’étiquettes différentes |
Étape 3 : Contrôles avancés et emplacements hérités
Résultats souhaités - Contrôles avancés et emplacements hérités
Contrôles avancés pour garantir la conformité et empêcher la perte d’informations sensibles ou classifiées de sécurité. Cette étape peut également inclure l’extension des contrôles aux éléments et emplacements hérités.
| Inclusions recommandées | Sections |
|---|---|
| Étiquetage des sites, teams et groupes qui étaient en place avant le déploiement des étiquettes de confidentialité. |
Emplacement SharePoint et sensibilité des éléments Emplacement Teams et sensibilité des éléments |
| Étiquetage des éléments préexistants pour les placer dans l’étendue des contrôles basés sur des étiquettes. |
Étiquetage des éléments existants au repos Étiquetage automatisé pour les emplacements non-Microcoft 365 |
| Processus et stratégies pour agir sur des activités potentiellement malveillantes entourant des éléments étiquetés ou sensibles (par exemple, la gestion des risques internes, la conformité des communications, les alertes de données hors lieu). |
Alertes de données non locales Surveillance des informations sensibles avec la gestion des risques internes Contrôle des informations sensibles avec la protection adaptative Surveillance d’une conversation externe via la conformité des communications |
| Implémentation du chiffrement et des stratégies de Azure Rights Management basés sur les étiquettes pour garantir la protection des informations hautement sensibles sans impact sur d’autres services. | Chiffrement des étiquettes de confidentialité |
| Extension des stratégies et approches DLP aux points de terminaison et aux services cloud (via EndPoint DLP et Defender for Cloud Apps). |
Empêcher le chargement d’éléments classifiés de sécurité vers des emplacements non gérés Empêcher le téléchargement ou l’impression d’éléments classifiés de sécurité |