Возможности шифрования Microsoft 365 для обеспечения соответствия требованиям PSPF для государственных организаций Австралии
В этой статье приводятся общие сведения о возможностях шифрования Microsoft 365, относящихся к австралийским государственным организациям. Его цель заключается в том, чтобы помочь государственным организациям повысить уровень безопасности данных при соблюдении требований, изложенных в Руководстве по политике защиты безопасности (PSPF) и Руководстве по информационной безопасности (ISM).
Шифрование является важной частью вашей стратегии защиты файлов и защиты информации и является требованием к Политике политики безопасности (PSPF) 8, приложение A.
Службы Microsoft 365 обеспечивают шифрование неактивных и передаваемых данных. Дополнительные сведения см. в статье Шифрование и его работа в Microsoft 365.
Возможности шифрования, присущие платформе Microsoft 365, такие как шифрование BitLocker и TLS , должны рассматриваться как соответствующие требованиям к шифрованию для государственных организаций Австралии. Помимо этих встроенных возможностей, существуют и другие необязательные функции шифрования, которые можно применить к элементам, чтобы обеспечить доступ к ним только авторизованным пользователям. К выравниванию PSPF относятся:
Шифрование просто применяется в организации. Обмен зашифрованными данными с внешними организациями требует дополнительного рассмотрения, которое рассматривается в этом руководстве, для обеспечения согласованности в контексте требований австралийского правительства и PSPF.
Требования к шифрованию для правительства Австралии
Требования к шифрованию, передаче и доступу, описанные в приложении A к политике PSPF 8.
Шифрование в целом относится к требованиям к передаче, но различные типы шифрования также относятся к доступу и необходимости знать, например Azure Rights Management. Azure Rights Management подтверждает разрешение на доступ к элементам во время доступа. Служба Azure Rights Management гарантирует, что неавторизованные лица не получают доступа к информации, выгремой или распространяемой ненадлежащим образом. Ниже приведен фрагмент соответствующих требований PSPF.
| Классификация | Требования |
|---|---|
| ОФИЦИАЛЬНОЕ 1 | Рекомендуется шифровать все сведения, передаваемые через инфраструктуру общедоступной сети. Для официальной информации рекомендуется использовать принцип need-to-know. Для доступа к официальной информации отсутствуют требования к разрешениям на безопасность. |
| OFFICIAL: Sensitive | Encrypt OFFICIAL: конфиденциальная информация, передаваемая через инфраструктуру общедоступной сети или через незащищенные пространства (включая зоны безопасности зоны 1), если остаточный риск безопасности, связанный с этим, не был распознан и принят сущностью. Принцип need-to-know применяется ко всем OFFICIAL: Конфиденциальная информация. Для доступа к конфиденциальной информации OFFICIAL: отсутствуют требования к разрешениям на безопасность. |
| ЗАЩИЩЕННЫЙ | Шифруйте защищенные сведения для любого обмена данными, которые не передаются через сеть PROTECTED (или сеть более высокой классификации). Принцип "необходимо знать" применяется ко всем защищенным сведениям. Для постоянного доступа к защищенной информации требуется базовый зазор безопасности или более высокий. |
Совет
1Необязательные возможности шифрования Microsoft 365, такие как Azure Rights Management, влияют как на внутренних пользователей, так и на внешних пользователей, получающих элементы из вашей организации. При планировании использования расширенных средств, таких как Управление правами Azure, рекомендуется поэтапный подход с дополнительными возможностями шифрования, которые изначально применяются к элементам с более высокой конфиденциальности. Организациям следует учитывать внутренние и внешние варианты использования пользователей при принятии решения о том, как следовать рекомендуемым PSPF подходу шифрования официальной информации. Это решение должно быть тщательно оценено по рискам; балансировка риска перехвата содержимого для элементов с относительно низкой конфиденциальности и влияния на организацию элементов, которые не отправляются или недоступны получателем.
В следующей таблице описано требование и метод его выполнения.
| Категория требований | Метод достижения |
|---|---|
| Шифрование во время передачи |
-
Шифрование TLS соответствует требованиям к передаче, шифруя файлы и сообщения электронной почты во время передачи, а также взаимодействие между клиентским устройством и службами Microsoft 365. - Шифрование меток конфиденциальности применяется как к файлам, так и к сообщениям электронной почты. Когда элементы шифруются, они шифруются во время передачи, продолжая соответствовать требованиям к шифрованию PSPF. - Шифрование сообщений Microsoft Purview создает правила для применения шифрования к электронной почте и вложениям во время передачи. |
| Убедитесь, что необходимо знать |
-
Шифрование меток конфиденциальности гарантирует необходимость знать, разрешая открывать их только прошедшим проверку подлинности пользователям, которым предоставлены разрешения на элементы. - Шифрование сообщений Microsoft Purview гарантирует, что только указанные получатели могут открывать зашифрованные сообщения электронной почты и их вложения. |
| Обеспечение разрешения на безопасность | - Шифрование меток конфиденциальности гарантирует, что пользователи имеют соответствующие разрешения, разрешая только пользователям, имеющим разрешения на открытие зашифрованных элементов. |
Рекомендации по шифрованию для правительства Австралии
В австралийском правительстве требования к совместной работе и распространению информации зависят от типа организации. Некоторые организации работают в значительной степени изолированно, что упрощает настройку шифрования. Другие имеют требования к постоянному обмену конфиденциальной информацией с другими организациями и должны планировать соответствующие действия.
Требования к зашифрованной передаче выполняются через защищенные сети. Для электронной почты полезно использовать конфигурацию TLS на основе меток, как описано в разделе Требование шифрования TLS для передачи конфиденциальной электронной почты . Кроме того, можно настроить безопасные соединители партнеров, как описано в статье Настройка соединителей для безопасного потока обработки почты с партнерской организацией в Exchange Online.
Элементы управления шифрованием, применяемые во время передачи, не защищают отдельные элементы, такие как использование USB. Государственные организации реализуют другие средства управления для снижения таких рисков, которые могут отличаться в зависимости от устройства. Например, отключение USB-портов в UEFI с ноутбуком Microsoft Surface очень просто. Другие варианты для устройств сторонних разработчиков — приклеивание USB-портов и программное обеспечение для управления устройствами, которое принудительно использует зашифрованные USB-накопители. Шифрование на основе меток является альтернативой некоторым из этих элементов управления, а также защищает элементы от несанкционированного доступа, если они когда-либо эксфильтрованы.
Чтобы упростить навигацию по параметрам, в этом руководстве рассматриваются параметры шифрования в соответствии со следующими категориями организаций:
Организации с простыми требованиями к совместной работе и распространению информации
Организации с простыми требованиями к обмену конфиденциальной информацией в значительной степени выигрывают от шифрования на основе меток, а также организации, которым необходимо выполнить самые основные требования к передаче и доступу. Эти организации:
- Необходимо убедиться, что их разрешения на шифрование обслуживают гостей или организаций, с которыми они сотрудничают или отправляют зашифрованную информацию;
- Получите уверенность в том, что только те, кто добавлен к их разрешениям шифрования, могут получать доступ к зашифрованным элементам, что помогает обеспечить соблюдение принципов необходимости знать.
Совет
Государственные организации, скорее всего, попадают в эту категорию, так как их сценарии обмена информацией проще, чем в федеральном правительстве.
Организации со сложными требованиями к совместной работе и распространению информации
Организации со сложными требованиями обычно включают в себя более крупные отделы, которые обмениваются большими объемами информации с другими организациями. Эти типы организаций, скорее всего, уже настроили процессы для удовлетворения требований шифрования, включая доступ к защищенным сетям для обмена данными между отделами. Эти организации:
- Преимущество облачного шифрования меток Microsoft 365, особенно в ситуациях, когда элементы удаляются в качестве шифрования, гарантирует, что только авторизованные пользователи могут получить доступ к элементам независимо от того, где они находятся.
- Следует рассмотреть возможность более открытой конфигурации шифрования, включая использование списков доменов государственных организаций в разрешениях на шифрование, чтобы пользователи из других отделов могли получать доступ к отправляемым им элементам.
- Необходимо проверить, что шифрование Microsoft 365 не влияет на существующие элементы управления, включая любое текущее использование соединителей для маршрутизации Exchange Online созданной электронной почты обратно в локальные службы, чтобы затем их можно было отправлять через защищенные сети.
Примечание.
Шифрование Azure Rights Management не является жестким требованием для развертывания Microsoft Purview или защиты информации в службах Microsoft 365. Однако шифрование на основе меток считается одним из наиболее эффективных методов обеспечения защиты данных, поступающих из сред Microsoft 365 или находящихся в них, от несанкционированного доступа, особенно после ухода из организации.