Шифрование меток конфиденциальности для соответствия австралийского правительства требованиям PSPF
В этой статье приводятся рекомендации для австралийских государственных организаций по использованию шифрования меток конфиденциальности. Ее цель — помочь правительственным организациям Австралии укрепить свои подходы к безопасности данных. Рекомендации, приведенные в этом руководстве, тесно согласуются с требованиями, изложенными в разделе Защита политики безопасности (PSPF) и Руководстве по информационной безопасности (ISM).
Microsoft Purview предоставляет возможность шифрования элементов с меткой конфиденциальности, применяемой через Azure Rights Management. Azure Rights Management используется для подтверждения проверки подлинности и авторизации. Чтобы пользователь получил доступ к зашифрованным элементам, ему необходимо пройти проверку подлинности в службе Microsoft 365 и получить разрешение на доступ к элементу. Azure Rights Management используется для применения ограничений использования к элементам. Эти ограничения не позволяют пользователям выполнять такие действия, как редактирование содержимого, сохранение элементов, печать, копирование или пересылка содержимого другим пользователям.
Требования к шифрованию меток
Государственные организации должны использовать шифрование меток в соответствии с требованиями к доступу и передаче данных, указанными в требованиях к шифрованию. Эти требования гласили, что шифрование требуется для передачи информации OFFICIAL: Конфиденциальной или ЗАЩИЩЕННОЙ через общедоступные или незащищенные сети.
Совет
Организациям, которые часто общаются с внешними организациями и организациями в OFFICIAL и выше, может потребоваться риск оценить это состояние на основе их бизнес-требований. Дополнительные сведения см. в разделе Общие сведения о шифровании.
Включение шифрования на основе меток в OFFICIAL: конфиденциальные и защищенные элементы укрепляют способность государственных организаций выполнять требования к шифрованию во время передачи и гарантирует, что помеченные элементы шифруются, когда:
- Скопировано в USB-хранилище.
- Отправлено в облачные службы сторонних разработчиков, включая облачные службы хранилища.
- Сохранено на потенциально небезопасных устройствах (например, на устройствах без шифрования BitLocker).
- По электронной почте внешним получателям, которые могут нарушить необходимость знать путем дальнейшего распространения информации.
Австралийские правительственные организации обычно реализуют дополнительные стратегии и решения для решения этих векторов риска. Например, использование зашифрованных USB-дисков, решений cloud Access Security Broker (CASB) и платформ управления устройствами. Шифрование на основе меток не предназначено для замены этих решений. Однако он используется для дополнения этих решений, обеспечивая дополнительную защиту от случайного неправильного использования и вредоносных инсайдеров.
Рекомендации по шифрованию меток
Сведения о стандартных рекомендациях и потенциальных последствиях включения шифрования меток конфиденциальности см. в статье Рекомендации по использованию зашифрованного содержимого.
Существуют и другие аспекты, более характерные для австралийских государственных организаций. К ним относятся изменения в метаданных документов и требования, связанные с обменом информацией.
Зашифрованные изменения совместного редактирования
Microsoft 365 поддерживает совместное редактирование зашифрованных документов.
Включение зашифрованного совместного редактирования вносит изменения в то, как метаданные меток конфиденциальности применяются к документу Office и используются MSIP_labels свойства документа. После включения зашифрованного совместного редактирования метаданные зашифрованных элементов перемещаются из традиционного расположения свойств документа во внутренний XML-файл документа. Дополнительные сведения см. в разделе Изменения метаданных для меток конфиденциальности.
Австралийские государственные организации, которые применяют правила к шлюзам электронной почты, которые проверка для классификации вложений с помощью свойств документов, должны быть осведомлены об изменениях метаданных, чтобы их конфигурации были согласованы. Администраторы Microsoft Exchange должны:
- Чтение и понимание версии 2.6.3 LabelInfo и пользовательских свойств документа.
- Оцените свои организации защита от потери данных (DLP), правило потока обработки почты или синтаксис правил транспорта в шлюзах электронной почты сторонних организаций на наличие потенциальных проблем.
Примером того, почему это важно, является правило потока обработки почты или транспорта, которое проверяет наличие защищенных вложений с помощью GUID метки в свойстве документа, не работает правильно после перемещения метаданных документа из свойства документа в расположение LabelInfo.
В качестве альтернативы подходам на основе свойств документа:
-
ClassificationContentMarkingHeaderTextиспользуются свойства документа иClassificationContentMarkingFooterText. Эти свойства отображаются после включения зашифрованного совместного редактирования и заполняются текстом визуальной маркировки, примененным к документам Office. - Методы потока обработки почты переходят на более новый подход на основе защиты от потери данных, при котором метки конфиденциальности можно запрашивать в собственном коде в рамках политики защиты от потери данных.
Доступ внешних пользователей к зашифрованным элементам
Австралийские правительственные организации, использующие шифрование на основе меток, делают это в соответствии с защитой политики безопасности (PSPF).
| Требование | Detail (Сведения) |
|---|---|
| Политика PSPF 9. Требование 1 . Формализованные соглашения об обмене информацией и ресурсами | При раскрытии секретной информации или ресурсов безопасности лицу или организации за пределами правительства организации должны иметь соглашение или соглашение, например контракт или дело, регулирующее использование и защиту информации. |
Чтобы гарантировать доступ к зашифрованным элементам только пользователям из авторизованных внешних организаций, можно использовать следующие подходы:
- Списки утвержденных внешних доменов добавляются в разрешения Azure Rights Management, аналогичные подходам защиты от потери данных, описанным в предотвращении распространения секретной информации по электронной почте между несанкционированными организациями.
- Группы, содержащие гостевые учетные записи, используются для предоставления разрешений только авторизованному набору пользователей из утвержденных внешних доменов. Этот подход аналогичен разрешению распространения секретной информации по электронной почте среди авторизованных гостей.
Совет
Согласование подхода организации к защите от потери данных и шифрования меток для секретной информации упрощает администрирование. Результатом является надежный и последовательный подход к обработке секретной информации, когда только авторизованные пользователи могут отправлять секретную информацию и иметь к ней доступ.
Включение шифрования меток
Сведения о предварительных требованиях и шагах, необходимых для включения шифрования меток конфиденциальности, см. в статье Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.
Следующие конфигурации шифрования меток имеют особое отношение к требованиям австралийского правительства и подробно рассматриваются.
Назначение разрешений
Назначение разрешений Теперь обеспечивает согласованное управление доступом к помеченным элементам во всей среде. При использовании этой конфигурации, когда к элементу применяется метка с параметрами шифрования, шифрование содержимого активируется немедленно.
Если выбран параметр Назначить разрешения сейчас , администраторы должны настроить разрешения для применения к помеченным элементам. Доступны следующие параметры:
Все пользователи и группы в организации. Этот параметр добавляет разрешения для всех пользователей в среде, за исключением гостевых учетных записей. Это хорошая вводная точка для организаций, желающих ограничить доступ к помеченным элементам только внутренним пользователям.
Это хороший вариант для организаций, желающих зашифровать "ОФИЦИАЛЬНАЯ: конфиденциальная" информация и убедиться, что она может быть открыта всей организацией.
Любой пользователь, прошедший проверку подлинности. Этот параметр предоставляет доступ любому пользователю, прошедшему проверку подлинности в Microsoft 365, через учетную запись Microsoft 365, федеративный поставщик социальных сетей или внешний адрес электронной почты, зарегистрированный как учетная запись Майкрософт (MSA). Этот параметр гарантирует отправку и хранение элементов в зашифрованном формате, но является наиболее открытым с точки зрения доступа к элементам. Этот вариант не подходит с точки зрения обеспечения необходимости знать и согласование PSPF в австралийском правительстве.
Важно!
Любой пользователь, прошедший проверку подлинности , не является хорошим вариантом для австралийских государственных организаций для применения к безопасности классифицированных элементов из-за открытого характера примененных разрешений.
Добавление пользователей или групп. Этот параметр позволяет указывать отдельных пользователей (например, отдельных пользователей организации или гостей). Он позволяет распределять разрешения для групп.
Существует несколько вариантов использования этого параметра для государственных организаций. Например:
- Этот параметр используется для обеспечения необходимой информации путем ограничения доступа к содержимому с метками для подмножества внутренних пользователей, которые соответствуют требованию. Например, авторизованные пользователи с базовым разрешением группируются в группу защищенных пользователей , которая предоставляет разрешения для защищенного содержимого. Пользователям, не входящим в группу, запрещается доступ к защищенным элементам.
- Для организаций с высоким уровнем внешнего контроля совместной работы (как описано в разделе с высоким уровнем внешнего управления совместной работой) создается динамическая группа, содержащая все гостевые учетные записи. Этой группе могут быть предоставлены разрешения для зашифрованных элементов, что позволяет распространять элементы извне с меньшим риском доступа сущностей за пределами группы. Такая конфигурация также должна соответствовать элементам управления защиты от потери данных, которые обсуждаются в разрешении распространения секретной информации по электронной почте авторизованным гостям.
- Для организаций с относительно низким уровнем внешнего управления совместной работой (как описано в разделе с низким уровнем внешнего управления совместной работой) поддерживается группа безопасности, содержащая гостей, которым разрешен доступ к зашифрованным содержимому.
- Для организаций, желающих предоставить гостевой доступ к содержимому, не делая содержимое метки доступным для всего домена, создается динамическая группа для предоставления доступа гостям из организации, например "Гости отдела". Этот подход рассматривается при разрешении рассылки по электронной почте секретной информации авторизованным гостям.
Добавление определенных адресов электронной почты или доменов Этот параметр позволяет предоставлять разрешения отдельным адресам электронной почты внешних пользователей, которые могут или не могут быть гостями. Его также можно использовать для предоставления разрешений всему домену. Например, Contoso.com. Организации, у которых есть сложные требования к совместной работе и распространению информации или необходимость распространения конфиденциальной или защищенной информации среди других государственных организаций, могут рассмотреть возможность добавления списка доменов всех организаций, в которые они распространяют такую информацию. Такой список должен соответствовать доменам, с которыми ваша организация официально заключила соглашения о совместном доступе к информации и ресурсам, как определено в политике PSPF 9 Требование 1.
Для достижения желаемого результата в конфигурацию метки добавляется несколько наборов разрешений. Например, все пользователи и группы можно использовать в сочетании с набором динамических групп, содержащих гостей из других организаций, а также список авторизованных доменов отделов, с которыми ваша организация регулярно сотрудничает.
Назначение разрешений пользователям, группам или доменам
Для каждого пользователя, группы пользователей или домена, которому предоставлен доступ, также необходимо выбрать определенные разрешения. Эти разрешения группируются в типичные наборы, например совладельца, соавтора или рецензента. Можно также определить пользовательские наборы разрешений.
Разрешения на шифрование являются детализированными, поэтому организациям необходимо провести собственный бизнес-анализ и оценку рисков, чтобы определить наиболее правильный подход. Ниже приведен пример подхода.
| Категория пользователя | Contains | Разрешения |
|---|---|---|
| Все пользователи и группы | Все внутренние пользователи | Co-Owner (предоставляет все разрешения) |
| Гости из других отделов с требованиями к совместной работе | Динамические Группы Microsoft 365: - Гости из отдела 1 - Гости из отдела 2 - Гости из отдела 3 |
Co-Author (ограничивает разрешения на редактирование, экспорт и изменение содержимого) |
| Очищенные гости из партнерских организаций | Группы безопасности: - Гости из партнера 1 - Гости из партнера 2 - Гости из партнера 3 |
Рецензент (ограничивает печать, копирование и извлечение, экспорт содержимого и изменение разрешений) |
Разрешить пользователям решать
Подход к шифрованию заключается в том, чтобы позволить пользователям выбирать, какие разрешения следует применять при выборе метки.
Поведение элементов, помеченных с помощью этого метода, зависит от приложения. Для Outlook доступны следующие варианты:
Не пересылайте: Если выбран этот параметр, сообщения электронной почты шифруются. Шифрование применяет ограничения доступа, чтобы получатели могли отвечать на сообщение электронной почты, но параметры пересылки, печати или копирования информации недоступны. Разрешения Azure Rights Management применяются ко всем незащищенным документам Office, вложенным в сообщение электронной почты. Этот параметр гарантирует необходимость в том, чтобы получатели электронной почты не перенаправляли элементы тем, кто не был указан в исходном сообщении.
Только шифрование: Этот параметр шифрует элементы и предоставляет получателям все права на использование, кроме сохранения как, экспорта и полного управления. Он полезен для выполнения требований к зашифрованной передаче, но не применяет никаких ограничений доступа (результатом является необходимость знать, что элементы управления не применяются).
Эти параметры обеспечивают большую степень детализации. Однако, поскольку разрешения применяются на уровне элемента, эти параметры могут привести к несогласованности конфигурации, так как параметры, выбранные разными пользователями, различаются.
Предоставляя пользователям не переадресацию или шифрование только параметров в качестве вложенных меток, организация может предоставить пользователям метод защиты обмена данными при необходимости. Например:
- НЕОФИЦИАЛЬНЫЙ
- ОФИЦИАЛЬНЫЙ
- OFFICIAL Sensitive (Category)
- OFFICIAL Sensitive
- Только официальные конфиденциальные получатели
Метки с примененными конфигурациями должны публиковаться только для пользователей, которым требуются такие возможности.
Microsoft Purview поддерживает согласование с PSPF с требованием включения маркеров управления информацией (IMM) и предостережения, а также добавления вложенных меток в соответствии с конкретными организационными требованиями. Например, группа пользователей, которым требуется сообщить с внешними пользователями информацию "OFFICIAL: конфиденциальность персональных данных", может быть опубликована метка "OFFICIAL: Конфиденциальное личное конфиденциальность ENCRYPT-ONLY".
Срок действия доступа к содержимому
Параметры истечения срока действия содержимого разрешают доступ к зашифрованным элементам с примененной меткой для запрета на дату или по истечении определенного периода времени. Эта возможность используется для обеспечения того, чтобы элементы больше не были доступны с определенного времени независимо от того, где они находятся или какие разрешения были применены к ним.
Этот вариант полезен для удовлетворения требований к доступу к информации с ограничением по времени, когда государственным организациям необходимо предоставить временный доступ к информации или ресурсам. Эти ситуации охватываются политикой PSPF 9:
| Требование | Detail (Сведения) |
|---|---|
| Политика PSPF 9. Требование 4. Временный доступ к секретной информации и ресурсам | Сущности могут предоставить лицу временный доступ к секретной информации или ресурсам безопасности на основе оценки риска для каждого случая. В таких случаях сущности должны: А. Ограничьте продолжительность доступа к секретной информации или ресурсам: i. До периода, в течение которого для конкретного лица обрабатывается заявление о допуске к безопасности, или ii. До трех месяцев за 12-месячный период Б. Проведение рекомендуемых проверок на работу (см. политику PSPF: право и пригодность персонала) c. Контроль всех временных доступа d. Чтобы получить доступ к информации TOP SECRET, убедитесь, что у пользователя есть существующий допуск безопасности отрицательной проверки 1, и e. Запретить временный доступ к секретной информации (кроме исключительных случаев и только с одобрения владельца предостережения). |
Такой подход гарантирует необходимость контроля за временным доступом и гарантирует, что временный пользователь имеет доступ только к тому, что разрешено, и только в течение необходимого времени.
Шифрование Azure Rights Management, применяемое с помощью метки и с конфигурацией срока действия доступа, позволяет предоставлять доступ к конфиденциальным элементам пользователям или организациям без необходимости создавать полные учетные записи.
Например, у правительственной организации есть набор проектных документов, которые необходимо предоставить вымышленной подрядной организации с именем Contoso. Создается и публикуется метка "OFFICIAL Sensitive — Contoso Temp Access" с разрешениями, предоставляющими доступ к утвержденному списку адресов электронной почты Contoso. Затем к копии документов по проектированию применяется эта метка, которая запускает 30-дневный таймер доступа. Затем документы предоставляются компании Contoso, которая может получить доступ к элементам в своих системах, пока срок действия таймера не истечет, а доступ будет отозван независимо от места их расположения.
Так как срок действия содержимого применяется к меткам, а не к разрешениям, для этого требуются выделенные метки. Этот и другие сценарии истечения срока действия доступа являются нишевыми и неприменимы в большинстве государственных организаций. В этом примере используется и расширяется базовая конфигурация PSPF Защита информации Microsoft Purview, как описано в этом руководстве.
Автономный доступ
Параметры автономного доступа позволяют настроить период времени, когда пользователи могут получать доступ к элементам без необходимости повторной проверки подлинности или повторной проверки подлинности разрешений Azure Rights Management. Автономный доступ полезен, чтобы обеспечить, например, доступ к автономным файлам при сбое сети или службы. Если этот параметр настроен, элементы по-прежнему шифруются, а их разрешения кэшируются на клиентских устройствах.
Государственные организации, которые развертывают шифрование, обычно выбирают период автономного доступа от трех до семи дней, чтобы пользователи могли работать в автономном режиме и в качестве меры по устранению аварийных ситуаций.
При рассмотрении этого подхода следует провести оценку риска кэшированного доступа к элементам с учетом влияния на удобство использования отсутствия доступа, когда пользователи работают без сетевого доступа со стороны государственных организаций.
Пример конфигурации шифрования меток
Примечание.
Эти примеры предназначены для демонстрации конфигурации шифрования меток с операционными элементами управления, пропорциональными значению информации, что соответствует требованию 1 политики PSPF 8. Государственные организации должны провести собственный бизнес-анализ, оценку рисков и тестирование, прежде чем включать такую конфигурацию.
| Метка конфиденциальности | Шифрование | Разрешения |
|---|---|---|
| НЕОФИЦИАЛЬНЫЙ | - | - |
| ОФИЦИАЛЬНЫЙ | - | - |
| OFFICIAL Sensitive (Category) | - | - |
| OFFICIAL Sensitive | Назначение разрешения сейчас |
Все пользователи и группы в вашей организации: Co-Owner Добавьте определенные адреса электронной почты или домены: Список внешних доменов, утвержденных для доступа - Соавтор |
| PROTECTED (Категория) | - | - |
| ЗАЩИЩЕННЫЙ | Назначение разрешения сейчас |
Добавление пользователей или групп: Группа - защищенных пользователейСовладелец Группа - защищенных гостейСоавтор |
Шифрование сообщений Microsoft Purview
Шифрование сообщений Microsoft Purview — это возможность шифрования Microsoft 365, созданная на основе Azure Rights Management. Как и в случае с шифрованием Azure Rights Management на основе меток, Шифрование сообщений Microsoft Purview подтверждает удостоверение с помощью проверки подлинности и авторизации с помощью применения разрешения на элементы.
Сведения о Шифрование сообщений Microsoft Purview см. в статье о том, как работает шифрование сообщений.
Ключевым преимуществом Шифрование сообщений Microsoft Purview является размещение почтовых ящиков отправителей и получателей в Exchange Online с клиентами, поддерживающими Шифрование сообщений Microsoft Purview (включая Приложения Microsoft 365, мобильных и веб-клиентов) процесс шифрования, включая доступ получателей к полученному сообщению электронной почты, является простым. Получатель может получать и просматривать сообщение так же, как и любое нешифрованное сообщение электронной почты. Однако если получатель не использует Exchange Online и (или) клиент электронной почты с поддержкой Шифрование сообщений Microsoft Purview, вместо получения полного сообщения электронной почты он получает *оболочку, которая сообщает ему о получении защищенного сообщения электронной почты. и направляет их на портал Майкрософт, где они могут пройти проверку подлинности для безопасного доступа к информации. Эти сообщения-оболочки полностью настраиваются, поэтому их можно изменить в соответствии с вашей организацией.
Проверка подлинности для Шифрование сообщений Microsoft Purview обрабатывается иначе, чем служба Azure Rights Management на основе меток, так как разрешения не должны определяться в метках. Это обеспечивает большую гибкость с точки зрения того, кто может получить зашифрованную корреспонденцию, что может быть желательно для некоторых вариантов использования.
Существует три категории проверки подлинности, относящиеся к получателям сообщений Шифрование сообщений Microsoft Purview:
- Если получатели используют удостоверения Microsoft 365 через Exchange Online, то для проверки подлинности и авторизации можно использовать существующие учетные данные и (или) маркеры, используемые для текущего сеанса.
- Если получатели используют поддерживаемые внешние удостоверения, например предоставленные Gmail или Yahoo, им потребуется пройти проверку подлинности с помощью этих учетных данных, чтобы получить доступ к электронной почте-оболочке и подключиться к порталу Microsoft 365 для доступа к сообщению.
- Если получатели используют неподдерживаемое удостоверение, они получат сообщение-оболочку и могут выбрать ссылку для доступа к порталу Microsoft 365, когда им будет предложено настроить свой адрес электронной почты в качестве учетной записи Майкрософт (MSA). Эта учетная запись Майкрософт свяжет пароль и другие сведения с адресом электронной почты пользователя, который используется для проверки подлинности в будущем.
Шифрование сообщений Microsoft Purview также используется для обеспечения конфиденциальности и предоставления получателям уверенности в том, что их информация обрабатывается безопасно. Например, отделы кадров могут использовать Шифрование сообщений Microsoft Purview при обсуждении потенциальной занятости с кандидатом на работу. Шифрование сообщений Microsoft Purview полезно при обсуждении важных финансовых вопросов с членом общественности. Университеты и другие поставщики образования могут использовать Шифрование сообщений Microsoft Purview при переписке со студентами по академическим вопросам.
Ниже приведены варианты использования Шифрование сообщений Microsoft Purview, которые относятся к австралийским правительственным организациям:
- Применение Шифрование сообщений Microsoft Purview ко всем сообщениям электронной почты с меткой (например, OFFICIAL Sensitive), которые отправляются в список внешних организаций. Этот список включает в себя другие правительственные организации, с которыми организация официально заключила соглашения (согласно политике PSPF 9, требование 1).
- Применение Шифрование сообщений Microsoft Purview к сообщениям электронной почты, содержащим конфиденциальную информацию (определяемую через SIT), которые отправляются в список других неправительственных организаций, в которых существует связь. Из-за того, что эти организации не обязательно должны соблюдать требования австралийского правительства к безопасности, состояние этих сред неизвестно.
Дополнительные сведения о возможностях и потенциальных возможностях Шифрование сообщений Microsoft Purview см. в разделе Настройка Шифрование сообщений Microsoft Purview
Конфигурацию для применения Шифрование сообщений Microsoft Purview к электронной почте можно применить с помощью правил потока почты Exchange. Все сообщения, соответствующие меткам конфиденциальности, активируют правило, которое применяет шаблон Шифрование сообщений Microsoft Purview к сообщению электронной почты. Для этих правил требуется метод идентификации сообщений электронной почты с метками на основе GUID.