Предотвращение утечки данных путем получения недопустимых классификаций для соответствия австралийского правительства PSPF
В этой статье приводятся рекомендации для австралийских государственных организаций по конфигурациям, чтобы снизить риск утечки данных путем мониторинга и предотвращения получения в службах Microsoft 365 элементов с недопустимыми классификациями. Его цель — помочь организациям улучшить состояние информационной безопасности. Советы, приведенные в этой статье, соответствуют требованиям, изложенным в разделе Защита политики безопасности (PSPF) и Руководстве по информационной безопасности (ISM).
Государственные организации обязаны обеспечить защиту конфиденциальной информации от ее передаче в среды с низкой степенью конфиденциальности. Сюда входит информация с примененными классификациями, которые выше, чем разрешено организацией, и информация, неуместная для использования в облачных средах Microsoft 365 (например, сведения SECRET и TOP SECRET).
Блокировка передачи сообщений электронной почты с неправильной меткой
ISM-0565 предписывает меры по защите от разлива данных по электронной почте:
| Требование | Detail (Сведения) |
|---|---|
| ISM-0565 (июнь 2024 г.) | Email серверы настроены для блокировки, ведения журнала и отправки сообщений электронной почты с недопустимой защитной маркировкой. |
Помимо ISM-0565, элементы управления в этом руководстве соответствуют платформе политики защиты безопасности (PSPF). В Microsoft 365 классификации безопасности согласованы с ISM (Руководство по информационной безопасности) и средствами управления безопасностью PSPF с помощью меток конфиденциальности. Элементы должны иметь метки конфиденциальности в государственных учреждениях, так как с элементом связаны предписанные средства управления безопасностью и управление.
Развертывания Microsoft Purview для австралийских организаций для государственных организаций обычно представляют собой сопряженную конфигурацию, которая требует применения меток ко всем элементам. Эта обязательная конфигурация маркировки позволяет организациям соответствовать требованиям 1 политики PSPF 8, так как при создании элемента к нему применяется метка. Применение меток ко всем элементам гарантирует, что они получают соответствующую защиту и снижает риск компрометации.
Политики защиты от потери данных (DLP) настраиваются для обеих сторон:
- Предотвращение утечки данных путем предотвращения передачи, получения и дальнейшего распространения элементов более высокой классификации, чем разрешено в среде (в этой статье они называются неопермитированными классификациями); и
- Запретить передачу сообщений электронной почты без меток, которые не были оценены на уровень конфиденциальности или могут указывать на попытку обойти элементы управления безопасностью.
Блокировка передачи неинтермитированных классификаций
Чтобы заблокировать получение и (или) дальнейшую передачу классифицированных элементов и элементов, которые не должны существовать на платформе, сначала необходимо установить методы идентификации такой информации. К таким методам относятся:
- Оценка меток субъектов и x-заголовков x-protect-маркировки по электронной почте для определения классификации, применяемой к входящим элементам.
- Использование типов конфиденциальной информации (SIT) (как описано в разделе идентификации конфиденциальной информации) для идентификации информации, которая не должна существовать на платформе. Эти SIT включают ключевое слово идентификаторы, такие как "SEC=SECRET" и "SEC=TOP-SECRET", а также другие ключевые слова для государственных организаций, которые существуют в элементах с высокой степенью конфиденциальности.
- Использование неопубликованных меток конфиденциальности в сочетании с автоматической маркировкой в качестве метода для идентификации элементов, которые не должны существовать на платформе. Дополнительные сведения см. в разделе Метки для получения сведений, которые находятся за пределами защищенного уровня.
Чтобы заблокировать утечку неопермитированных классификаций, используется набор политик защиты от потери данных. Так как доступные условия политики зависят от служб, используемых организацией, для охвата всех доступных каналов связи требуется несколько политик. Политики, касающиеся службы Exchange, являются рекомендуемой отправной точкой для большинства организаций.
Политики защиты от потери данных содержат одно или несколько правил, в которых используются такие условия, как:
- Содержимое содержит тип конфиденциальной информации, секретные ключевые слова SIT, ИЛИ
- Содержимое содержит метку конфиденциальности, SECRET, OR
-
Заголовок соответствует шаблону,
X-Protective-Marking : SEC=SECRETили -
Шаблон соответствия темы,
\[SEC=SECRET
Правила должны иметь действие блокировать все, которое доступно при параметре ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 .
ISM-0133 относится к DLP для действий отчетности:
| Требование | Detail (Сведения) |
|---|---|
| ISM-0133 (июнь 2024 г.) | При возникновении утечки данных владельцы данных получают рекомендации, а доступ к данным ограничен. |
Действия по предупреждению оповещений важны для предотвращения дальнейшего утечки данных и ускорения действий по очистке. В одном правиле защиты от потери данных можно настроить несколько действий. Группы безопасности организации для определения соответствующих действий по оповещению. Возможности, доступные через интерфейс защиты от потери данных, расширяются с помощью решений Power Automate и управления информационной безопасностью и событиями безопасности (SIEM), таких как Sentinel.
Ниже приведен пример готового правила защиты от потери данных для идентификации и остановки распространения элементов SECRET в Exchange.
Имя политики: EXO — блокировка неинтермитированных классификаций
| Имя правила | Условия | Действие |
|---|---|---|
| Блокировать элементы SECRET | Содержимое содержит тип конфиденциальной информации: Секретные ключевые слова настраиваемого SIT, содержащие термины, которые, скорее всего, соответствуют классификации SECRET. ИЛИ Заголовок соответствует шаблонам: X-Protective-Marking : SEC=SECRET ИЛИ Тема соответствует шаблонам: \[SEC=SECRET ИЛИ Содержимое содержит метку конфиденциальности: СЕКРЕТ |
Ограничьте доступ или зашифруйте содержимое в расположениях Microsoft 365: - Блокировка получения электронной почты пользователями - Блокировать всех Настройте соответствующую степень серьезности инцидентов и оповещения. |
Логика, применяемая в предыдущем правиле, может использоваться для создания дополнительных политик защиты от потери данных для блокирования распределения неинтермитированных классификаций между другими службами, в том числе:
- SharePoint;
- OneDrive;
- Сообщения чата и канала Teams (за исключением условий метки конфиденциальности)
- Устройства через EndPoint DLP (включая неопермитированные сети, USB, расположения и т. д.)
- Отправка в облачные службы через Defender for Cloud Apps
- Локальные репозитории файлов
Блокировка передачи сообщений электронной почты без меток
Чтобы заблокировать передачу электронной почты без метки, политику защиты от потери данных можно настроить на основе пользовательского шаблона политики и применить к службе Exchange.
Для блокировки передачи политики электронной почты без меток требуется два правила:
- Первое правило для исходящих элементов через содержимое, которое предоставляется из Microsoft 365, с людьми за пределами моей организации .
- Второе правило, применяющееся к содержимому, к которому предоставлен общий доступ из Microsoft 365, только для пользователей в моей организации.
Для правил требуется исключение, которое применяется через группу условий с включенным операндом NOT . Группа условий включает в себя условие содержимого содержитметки конфиденциальности и содержит все метки, доступные в выбранной среде.
Службы, создающие электронную почту, не входят в конфигурацию обязательной маркировки, которая применяется к Приложения Microsoft 365 клиентам. Таким образом, эта политика защиты от потери данных активируется каждый раз, когда отправляется сообщение электронной почты, созданное неиспользователем. Он активирует оповещения системы безопасности, созданные службами Майкрософт, сообщения электронной почты от сканеров и многофункциональных устройств (MFD), а также сообщения электронной почты от таких приложений, как кадровые ресурсы или системы заработной платы. Чтобы убедиться, что политика не блокирует основные бизнес-процессы, исключения должны быть включены в группу NOT. Например:
- Илидомен отправителя — этоmicrosoft.com, который фиксирует оповещения системы безопасности и SharePoint.
- ИЛИотправитель является членом группы с группой, содержащей учетные записи, которым разрешено обойти это требование.
- ИЛИIP-адрес отправителя — это вместе с адресами office MFD.
Правило активируется при отправке сообщения электронной почты, которое не содержит ни одной из перечисленных меток конфиденциальности, если отправитель не будет освобожден через одно из настроенных исключений.
Эти правила защиты от потери данных должны иметь действие блокировать всех наряду с соответствующими действиями серьезности и отчетности.
Следующее требование оповещения относится к правилу защиты от потери данных, применяющемуся к исходящим элементам:
| Требование | Detail (Сведения) |
|---|---|
| ISM-1023 (июнь 2024 г.) | Предполагаемые получатели заблокированных входящих сообщений электронной почты и отправители заблокированных исходящих сообщений электронной почты будут уведомлены. |
Чтобы выполнить это требование, правило защиты от потери данных, применяемое к исходящим элементам, настраивается таким образом, чтобы уведомлять пользователя, который пытался отправить элемент.
Совет
Государственные организации, которые переходят на метку конфиденциальности, могут настроить подсказку политики, а не блокировать действия или оповещения. Такие политики можно использовать для предложения выбора меток, не настроив его в качестве жесткого требования. Хотя это не соответствует требованиям ISM, оно может обеспечить более корректное развертывание возможностей Microsoft Purview для пользователей.
Пример политики защиты от потери данных, блокирующей электронную почту без меток
Следующая политика защиты от потери данных применяется к службе Exchange и предотвращает потерю информации по электронной почте без меток:
Имя политики: EXO — блокировка электронной почты без меток
| Правило | Условия | Действие |
|---|---|---|
| Блокировка исходящих сообщений электронной почты без меток | Содержимое предоставляется из Microsoft 365 пользователям за пределами моей организации AND Группа условий NOT Содержимое содержит метки конфиденциальности: - Выбор всех меток ИЛИ Домен отправителя: — microsoft.com — включить другие исключения; |
Ограничьте доступ или зашифруйте содержимое в расположениях Microsoft 365: - Блокировка получения электронной почты пользователями - Блокировать всех |