Aplicação automática de etiquetas de confidencialidade para conformidade do Governo Australiano com o PSPF
Este artigo fornece orientações para organizações do Governo Australiano sobre etiquetagem automática de confidencialidade. O seu objetivo é ajudar as organizações governamentais a aumentar a sua maturidade de segurança e conformidade, ao mesmo tempo que cumprem os requisitos descritos no Framework de Políticas de Segurança De Proteção (PSPF) e no Manual de Segurança da Informação (ISM).
A etiquetagem automática utiliza capacidades como Tipos de Informações Confidenciais (SITs) e classificadores treináveis para identificar marcas ou informações confidenciais nos itens. Após a identificação, o serviço recomenda ou aplica automaticamente uma etiqueta ao item onde as informações foram detetadas. A etiqueta ajuda a garantir que as informações contidas estão adequadamente protegidas. O Microsoft Purview tem dois tipos de etiquetagem automática de confidencialidade; etiquetagem automática baseada no cliente e etiquetagem automática baseada no serviço. Os conceitos de etiquetagem automática podem ser expandidos para localizações no local através do scanner de Proteção de Informações do Microsoft Purview. Também podem ser aplicadas a bases de dados ou serviços de armazenamento através do Azure Data Map.
Os requisitos do Governo australiano relevantes para a etiquetagem automática são:
| Requisito | Detalhe |
|---|---|
| PSPF Policy 8 Requirement 2 a.i. – Avaliar informações confidenciais e classificadas de segurança (v2018.6) | Para decidir qual a classificação de segurança a aplicar, o criador deve avaliar o valor, a importância ou a sensibilidade das informações oficiais, considerando os potenciais danos causados ao governo, ao interesse nacional, às organizações ou às pessoas, que surgiriam se a confidencialidade da informação fosse comprometida. |
| Controlo de Segurança ISM: 0271 (junho de 2024) | As ferramentas de marcação protetora não inserem automaticamente marcas de proteção em e-mails. |
Tanto o PSPF como o ISM afirmam que uma pessoa deve ser responsável pelas decisões de aplicar etiquetas a itens, em vez de um serviço automatizado. No entanto, num ambiente de trabalho moderno, tanto o serviço como a etiquetagem automática baseada no cliente beneficiam as organizações governamentais e reduzem os riscos nas seguintes circunstâncias:
- Assistência do utilizador: a etiquetagem automática baseada no cliente deteta informações confidenciais ou marcas de segurança e recomenda a etiqueta mais adequada ao utilizador que tem agência para tomar a decisão. Para obter mais informações sobre como implementar a assistência ao utilizador, veja Etiquetagem automática baseada no cliente.
- Respeitar as marcas externas: a etiquetagem automática baseada no serviço pode respeitar as classificações de segurança aplicadas a itens por organizações externas. Respeitar a marcação externa traz documentos e e-mails recebidos no âmbito dos controlos de segurança de dados da sua organização. Também permite que a sua organização honre as classificações aplicadas pela organização de origem. Para obter mais informações, veja recomendações baseadas em marcações de organização externa.
- Etiquetas baseadas no sistema: a etiquetagem automática baseada no serviço honra as etiquetas geradas pelos sistemas, por exemplo, e-mails de folha de pagamentos para funcionários que detalham o respetivo payslip de um sistema de RH. Para obter mais informações sobre a implementação, veja recomendações baseadas em marcas do sistema e como configurar uma etiqueta de confidencialidade predefinida para uma biblioteca de documentos do SharePoint.
- Alinhamento de itens legados: a etiquetagem automática baseada no serviço deteta classificações de segurança através de marcas ou propriedades de documento aplicadas a itens legados e coloque os itens dentro do âmbito dos controlos de segurança atuais. Quando utilizada desta forma, a etiquetagem automática reforça a Prevenção de Perda de Dados (DLP) e outras configurações de segurança ao garantir que todos os itens legados são protegidos por controlos modernos. Para obter mais informações sobre como implementar numa organização do Governo, veja recomendações baseadas em classificações históricas.
Observação
Quando a etiquetagem automática deteta múltiplas correspondências, a correspondência que se alinha com o conteúdo de confidencialidade mais elevado é aquela que é aplicada ou recomendada para o item, garantindo que os itens não estão sub-classificados. Para obter mais informações, veja Prioridade da etiqueta.
As organizações com etiquetagem automática de confidencialidade implementada aumentaram a precisão das etiquetas. A precisão das etiquetas ajuda a garantir que as informações estão dentro do âmbito dos controlos relevantes e reforça a capacidade das organizações de cumprirem o Requisito Principal C da Política PSPF 8:
| Requisito | Detalhe |
|---|---|
| PSPF Policy 8 Core Requirement C | Implementar controlos operacionais para estas propriedades de informações proporcionalmente ao seu valor, importância e sensibilidade |
Tais capacidades são consideradas como integrando proativamente requisitos de segurança de proteção em práticas empresariais, que se alinham com o nível Incorporado do modelo de maturidade PSPF (discutido no Relatório de Avaliação PSPF (Protective Security Policy Framework).