Сценарии защиты от потери данных (DLP) для австралийского правительства в соответствии с PSPF

В этой статье представлен обзор использования Защита от потери данных Microsoft Purview (DLP) для маркировки и защиты информации австралийского правительства. Его цель — помочь государственным организациям повысить уровень безопасности и соответствия требованиям, соблюдая требования, изложенные в Руководстве по политике защиты безопасности (PSPF) и Руководстве по информационной безопасности (ISM).

Защита от потери данных (DLP) — это служба, которая в основном используется для снижения информационных рисков, помогая предотвратить выход конфиденциальной информации из среды. Политики защиты от потери данных можно настроить на основе:

• Расположение или служба: например, SharePoint или Exchange.
• Условие или набор условий. Например, содержит метку или конфиденциальную информацию.
• Действие. Например, блокировать передачу или общий доступ к элементу.

Читатели должны ознакомиться с этой информацией, прежде чем изучать приведенные здесь советы, которые более конкретно относятся к конфигурации для австралийских государственных организаций.

Варианты использования защиты от потери данных, относящиеся к требованиям государственных организаций

В контексте требований австралийского правительства служба защиты от потери данных Microsoft Purview используется для:

• Применение необходимых метаданных к электронной почте (x-protect-маркировка x-headers).
• Применение маркировки темы к электронной почте.
• Блокировка передачи сообщений электронной почты с неправильной меткой.
• Блокировка передачи или предотвращение недопустимого распространения конфиденциальной информации безопасности.
• Блокировка или предупреждение о запрете распространения или совместного использования элементов по электронной почте для пользователей, у которых нет необходимости знать.
• Реализация оперативного контроля для предотвращения потери информации, которая может привести к повреждению физического лица, организации или правительства.

Стратегия защиты от потери данных

Платформа политики безопасности (PSPF) — это платформа, которая помогает правительственным организациям Австралии защищать своих людей, информацию и активы. Политики PSPF, наиболее важные для конфигурации защиты от потери данных, — это политика PSPF 8: система классификации и политика PSPF 9: доступ к информации.

К организационным нюансам австралийского правительства, влияющим на стратегию защиты от потери данных, относятся:

• Законодательные документы, относящиеся к организации.
• Тип австралийского государственного органа и соответствующие законодательные требования.
• Другие организации с частыми контактами.
• Клиенты организации и максимальный уровень безопасности для каждого клиента.
• Требования неавтралийского государственного служащего (APS), гостя и подрядчика.

Следующие разделы относятся к подходу защиты от потери данных во всех интегрированных службах защиты от потери данных. Государственные организации должны принять решение о своей стратегии обратной связи с пользователями и управления событиями защиты от потери данных. Затем стратегии, которые были приняты, можно применять в конфигурациях защиты от потери данных, которые далее рассматриваются в следующих целях:

• Предотвращение недопустимого распространения секретной информации безопасности
• Предотвращение недопустимого распространения конфиденциальной информации
• Предотвращение утечки данных путем получения недопустимых классификаций

Решения, касающиеся отзывов пользователей о нарушении политики защиты от потери данных

При условии, что организации согласуются с рекомендациями, приведенными в этом руководстве, когда пользователь пытается отправить информацию, существует четыре причины, по которым активируется политика защиты от потери данных:

1. У пользователя есть неправильный получатель электронной почты (случайный).
2. Неправильная конфигурация, и в список исключений необходимо добавить другой домен.
3. Соответствующая внешняя организация может быть подходящей для получения информации, но бизнес-процесс заключения официальных соглашений и связанной с ними конфигурации еще не завершен.
4. Пользователь пытается выфильтровать секретную информацию (вредоносную).

Когда политики защиты от потери данных активируются из-за действий, согласующихся с одним из первых трех сценариев, обратная связь с пользователем имеет ценность. Обратная связь позволяет пользователю исправить свою ошибку, вашей организации исправить конфигурацию или выполнить необходимый бизнес-процесс. Если политика активируется из-за вредоносных действий, обратная связь с пользователем оповещает пользователя о том, что его действие было замечено. Организациям необходимо учитывать риск и преимущества отзывов пользователей и выбрать оптимальный подход к своей ситуации.

Советы по политике защиты от потери данных перед нарушением

Если вы решили предоставить отзывы пользователей, советы по политике — это отличный способ помочь пользователям при запуске непосредственно в клиентах Outlook. Они предупреждают пользователей о проблемах перед отправкой сообщения электронной почты и активацией нарушения политики, потенциально избегая дисциплины или неловкой ситуации. Советы политики настраиваются с помощью параметра советы политики в конфигурации правила защиты от потери данных. При применении к сценариям электронной почты конечный пользователь в этой конфигурации получает предупреждение в верхней части сообщения электронной почты о том, что он разрабатывает:

Если пользователи игнорируют подсказку политики, активируются другие действия политики защиты от потери данных, например действие блокировки. Также доступен ряд вариантов уведомлений, включая уведомления, которые отображаются в режиме реального времени и уведомляют пользователя о том, что его электронная почта заблокирована.

Также следует учитывать преимущества советов по политике для рабочей нагрузки событий защиты от потери данных. События риска защиты от потери данных уменьшаются с помощью подсказок политики перед действием блокировки и соответствующим оповещением. Преимущество заключается в том, что группы безопасности имеют меньше инцидентов для управления.

Дополнительные сведения об уведомлениях о защите от потери данных и советах политик см. в статье Отправка Уведомления по электронной почте и отображение советов политик для политик защиты от потери данных.

Управление событиями защиты от потери данных

Организациям, реализующим защиту от потери данных, следует рассмотреть свой подход к управлению событиями защиты от потери данных, в том числе:

• Какое средство следует использовать для управления событиями защиты от потери данных?
• Какие серьезности событий защиты от потери данных требуют действий администратора и какое время нужного разрешения?
• Какая команда отвечает за управление событиями защиты от потери данных (например, группы безопасности, данных или конфиденциальности)?
• Какие необходимые возможности?

Существует четыре решения Майкрософт, которые помогут в мониторинге событий защиты от потери данных и управлении ими:

• Microsoft Defender XDR
• Панель мониторинга оповещений защиты от потери данных
• Обозреватель действий
• Microsoft Sentinel

Microsoft Defender XDR

Microsoft Defender XDR — это комплексное решение безопасности, которое обеспечивает защиту от угроз между доменами и реагирование на все конечные точки, электронную почту, удостоверения, облачные приложения и инфраструктуру. Она обеспечивает упрощенную и эффективную защиту от сложных атак, предоставляя группам безопасности полное представление о ландшафте угроз, обеспечивая более эффективные исследования и автоматическое исправление. Microsoft Defender XDR рекомендуется для управления инцидентами защиты от потери данных в Microsoft 365.

Дополнительные сведения об управлении инцидентами защиты от потери данных с помощью Microsoft Defender XDR см. в статье Исследование оповещений защиты от потери данных с помощью Microsoft Defender XDR.

Панель мониторинга оповещений защиты от потери данных

Панель мониторинга оповещений Microsoft Purview отображается в Портал соответствия требованиям Microsoft Purview. Панель мониторинга предоставляет администраторам видимость инцидентов защиты от потери данных. Сведения о настройке оповещений в политиках защиты от потери данных и использовании панели мониторинга управления оповещениями О DLP см. в статье Начало работы с информационной панелью оповещений DLP.

Обозреватель действий

Обозреватель действий — это панель мониторинга, доступная в Портал соответствия требованиям Microsoft Purview и предоставляющая другое представление о событиях защиты от потери данных. Это средство предназначено не для управления событиями, а для предоставления администраторам более глубокой информации, более широких фильтров и продольного поведения. Дополнительные сведения о Обозреватель действий см. в разделе Обозреватель действий.

Microsoft Sentinel

Microsoft Sentinel — это масштабируемое облачное управление информационной безопасностью и событиями безопасности (SIEM), которое предоставляет интеллектуальное и комплексное решение для SIEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Соединители можно настроить для импорта сведений об инцидентах защиты от потери данных из Microsoft Defender XDR в Microsoft Sentinel. Установка этого подключения позволяет использовать более сложные возможности исследования и автоматизации Sentinel для управления инцидентами защиты от потери данных. Дополнительные сведения об использовании Sentinel для управления событиями защиты от потери данных см. в статье Изучение оповещений защиты от потери данных с помощью Microsoft Sentinel.