Требования к сопоставлению возможностей Microsoft 365 для соответствия требованиям австралийского правительства с PSPF
Эта статья является ключевым компонентом руководства по Information Protection правительства Австралии. В ней перечислены требования к платформе политики безопасности защиты, руководству по информационной безопасности (ISM) истандарту метаданных для австралийского правительства (AGRkMS). В нем также содержатся советы о том, как Microsoft Purview и другие возможности Microsoft 365 могут соответствовать указанным требованиям, а также приводятся ссылки на другие разделы руководства, в которых эти возможности рассматриваются далее. В этой статье также содержатся рекомендации по государственным структурам, таким как викторианской государственной системы защиты данных (VPDSF).
Платформа политики безопасности защиты
Структура политики защиты безопасности (PSPF) представляет собой набор политик, направленных на поддержку австралийских правительственных организаций в целях защиты их людей, информации и активов. В PSPF изложены требования, предъявляемые к организациям, с тем чтобы добиться желаемых правительственных результатов в области безопасности.
Дополнительные сведения о PSPF см. в разделе Защита политики безопасности.
Политики PSPF, которые тесно связаны с Защита информации Microsoft Purview конфигурациями:
Ключом к пониманию применения PSPF к службам электронной почты является политика PSPF Приложение F. Австралийское правительство Email стандарт маркировки, на который ссылается в этом документе.
PSPF включает механизм отчетности, который позволяет организациям сообщать об их уровне зрелости в различных политиках PSPF. Цель заключается в том, что это руководство позволяет организациям с низким уровнем зрелости улучшить свою политику PSPF 8 и политику 9 до уровня "Управление" или "Внедренные" с меньшими усилиями. Дополнительные сведения об уровнях зрелости PSPF см. в статье Отчет об оценке платформы политики безопасности за 2022-23 г.
Политика PSPF 8: конфиденциальная и засекреченная информация
Требования основаны на требованиях Политики PSPF 8 версии 2018.8 (обновлено 30 августа 2023 г.).
Политика 8 PSPF описывает, как субъекты правильно оценивают конфиденциальность или классификацию безопасности своей информации, а также применяют механизмы маркировки, обработки, хранения и удаления, которые предохраняют от компрометации информации.
Эта политика разделена на основные и вспомогательные требования. Комментарии о возможностях Microsoft 365, которые соответствуют требованиям, и ссылки на соответствующие рекомендации на этом сайте приведены в следующей таблице. Политику также можно прочитать в полном объеме в разделе Политика PSPF 8: Конфиденциальные и секретные сведения.
Основное требование A и вспомогательное требование 1: выявление запасов информации
| Возможности решения | Раздел |
|---|---|
| Требовать от пользователей определять конфиденциальность элементов (файлы и сообщения электронной почты) с помощью меток конфиденциальности. |
Создание меток в клиенте Обязательное применение метки Интеграция PDF-файлов с метками конфиденциальности |
| Нанесите защитную маркировку на расположения (сайты и Teams) и примените защиту к помеченным расположениям. | Настройка групп меток конфиденциальности и сайтов |
| Определите конфиденциальность собраний и реализуйте связанные операционные элементы управления. | Метки конфиденциальности для элементов календаря и собраний команд |
| Требовать от пользователей определять конфиденциальность рабочих областей Power BI с помощью меток конфиденциальности. | Power BI и интеграция данных |
| Применение меток к конфиденциальной информации, находящейся в системах баз данных. | Схематизированные ресурсы данных |
| Применяйте заголовки электронной почты, которые можно использовать для определения конфиденциальности входящих элементов и применения соответствующих элементов управления. | Маркировка электронной почты во время транспортировки |
Основное требование B и вспомогательное требование 2. Оценка конфиденциальной информации и информации, классифицированной по безопасности
| Возможности решения | Раздел |
|---|---|
| Предоставьте пользователям возможность оценить значение, важность и чувствительность элементов при выборе метки конфиденциальности. | Обязательное применение метки |
| Руководство по оценке конфиденциальности элементов с помощью всплывающих диалоговых окон меток, содержащих описания меток, видимых во время выбора метки. | Описание метки для пользователей |
| Предоставляет возможность настроить конкретную организацию Ссылку Подробнее , доступную из меню выбора меток, и может предоставить пользователям дополнительные советы относительно соответствующих меток для типов информации. | Настраиваемая страница справки |
| Помогает пользователям в оценке информационных запасов путем обнаружения недосекреченных предметов и рекомендаций по повторной оценке при необходимости. | Рекомендации меток на основе обнаружения конфиденциального содержимого |
| Помогает в оценке информации путем выявления конфиденциальных данных, которые взяты из или существуют в приложениях баз данных или аналогичных платформах. | Типы конфиденциальной информации точного сопоставления данных |
| Помогите при оценке информации, используя машинное обучение для выявления элементов, которые обычно считаются конфиденциальными. | Обучаемые классификаторы |
| Помогите пользователям в оценке информационных запасов, рекомендуя метки, которые соответствуют маркировке, применяемой внешними организациями. | Рекомендации, основанные на маркировке внешних агентств |
| Помогите пользователям в оценке информационных запасов, рекомендуя метки, которые соответствуют исторической маркировке. |
Рекомендации, основанные на исторических маркировках Автоматическая маркировка элементов с историческими классификациями безопасности |
| Помогите пользователям в оценке информационных запасов, рекомендуя метки, которые соответствуют маркировке, примененной решениями классификации сторонних разработчиков. | Рекомендации, основанные на маркировке, применяемой инструментами сторонних корпораций |
| Помощь в оценке информации путем предоставления пользователям визуальных уведомлений с помощью подсказки политики защиты от потери данных при обнаружении конфиденциальной информации в элементе. | Советы по политике защиты от потери данных перед нарушением |
| Определите конфиденциальную информацию, хранящейся в системах баз данных, пометку на месте и добавьте метку для наследования в подчиненных системах. |
Power BI и Azure Purview Схема данных Microsoft Purview |
Основное требование C. Реализуйте операционные элементы управления для этих информационных холдингов пропорционально их значению, важности и конфиденциальности
| Возможности решения | Раздел |
|---|---|
| Предотвращение недопустимого распространения конфиденциальной информации с помощью политик защиты от потери данных (DLP) на основе меток конфиденциальности. | Защита секретной информации |
| Предотвращение недопустимого распространения конфиденциальной информации с помощью политик защиты от потери данных (DLP), предназначенных для конфиденциального содержимого. | Защита конфиденциальной информации |
| Предоставьте визуальную маркировку для отдельных элементов, отражающую классификацию безопасности, применяемую к информации в элементе. | Маркировка содержимого меток конфиденциальности |
| Предоставьте визуальную маркировку, отражающую наивысший уровень конфиденциальности, который должен существовать в расположении (сайте или группе). | Расположение SharePoint и конфиденциальность элементов |
| Настройте параметры конфиденциальности расположения на основе конфиденциальности, применяемой к расположению. | Параметры конфиденциальности меток |
| Включение или отключение гостевого доступа к расположению и элементам в расположении на основе примененной метки расположения. | Конфигурация гостевого доступа |
| Управление конфигурацией общего доступа Microsoft 365 для расположения на основе SharePoint (сайта или группы) в зависимости от метки, примененной к расположению. | Конфигурация совместного использования меток |
| Предоставьте пользователям уведомления и оповещения для элементов с высокой степенью конфиденциальности, расположенных в расположениях с низкой конфиденциальностью. | Оповещение о том, что данные не на месте |
| Настройте другие требования для доступа к расположениям с высокой степенью конфиденциальности (сайты или Teams). Например, из неуправляемых устройств, небезопасных устройств или неизвестных расположений. |
Условный доступ Контекст проверки подлинности Защита секретной информации Управление общим доступом с помощью адаптивной защиты |
| Шифруйте элементы с высокой степенью конфиденциальности, чтобы предотвратить доступ несанкционированных пользователей независимо от расположения элемента. | Шифрование меток конфиденциальности |
| Настройка ограничений доступа и использования для групп внутренних пользователей или гостей. | Выделение разрешений на шифрование меток |
| Ограничьте перемещение элементов, классифицированных по безопасности и (или) содержащихся в ней сведений, в тех местах, где невозможно контролировать доступ или дальнейшее распространение их закрытой информации. |
Предотвращение скачивания или печати элементов безопасности, классифицированных Предотвращение отправки классифицированных элементов безопасности в неуправляемые расположения |
Вспомогательные требования
Требование 1. Определение запасов информации
Дополнительные вспомогательные требования за пределами основных требований отсутствуют.
Требование 2. Оценка конфиденциальной и защищенной информации
Дополнительные вспомогательные требования за пределами основных требований отсутствуют.
Требование 3. Рассекречивание
| Возможности решения | Раздел |
|---|---|
| Запишите проверяемый журнал всех действий, связанных с метками, включая удаление или снижение примененных меток конфиденциальности. Запишите действия по изменению меток, включая пользователя, который внес изменение, и его обоснование для этого. |
Обоснование изменения меток Журнал аудита |
| Примените шифрование к элементам, которые ограничивают внутреннюю или гостевую возможность изменять элементы, сохраняя элементы и применяя маркировку и классификацию. | Выделение разрешений на шифрование меток |
| Блокировка элементов на месте, чтобы предотвратить любые изменения элементов, включая возможность изменения примененной метки конфиденциальности. | Применение меток "lock" |
| Отчет о пользователях, которые выполняют действия, которые считаются рискованными для информационной безопасности, включая понижение уровня меток и последовательности кражи. |
Подход, основанный на пользовательских рисках Совместное использование мониторинга с помощью управления внутренними рисками Управление общим доступом с помощью адаптивной защиты |
| Реализуйте политики защиты от потери данных для обнаружения защитной маркировки в элементах, если в настоящее время примененная метка ниже, чем идентифицированная маркировка. | Последствия для вредоносного понижения уровня меток |
Требование 4. Сведения о маркировке
| Возможности решения | Раздел |
|---|---|
| Клиенты Office обеспечивают четкую идентификацию конфиденциальности элемента с помощью маркировки меток на основе клиента. | Создание меток в клиенте |
| Примените защитную маркировку на основе текста, чтобы помечать конфиденциальную и конфиденциальную информацию. |
Маркировка содержимого меток конфиденциальности Стратегии маркировки информации |
| Применяйте цветную маркировку, чтобы помочь пользователям с идентификацией конфиденциальности. | Цвет метки |
| Применение защитной маркировки с помощью метаданных электронной почты (X-заголовков). | Применение заголовков x-защитной маркировки с помощью политики защиты от потери данных |
| Нанесите защитную маркировку с помощью темы электронной почты. | Применение тематических меток электронной почты |
| Применение маркировки к расположениям, таким как сайты или Teams. Эти маркировки определяют наивысший уровень конфиденциальности элементов, который должен существовать в расположении или контейнере. | Оповещение о том, что данные не на месте |
| Четкое определение конфиденциальности элементов для пользователей при работе в каталогах на основе SharePoint (сайты, Teams или OneDrive). | Чувствительность к расположению и элементам SharePoint |
Требование 5. Использование метаданных для пометки информации
| Возможности решения | Раздел |
|---|---|
| Индексирование свойств классификации безопасности и предостережения безопасности и маркера ограничения распространения с помощью поиска SharePoint в соответствии с требованиями AGRkMS. | Управление метаданными классификации и предостережения |
| Применение x-заголовков X-protect-маркировки для удовлетворения требований к метаданным электронной почты в соответствии с политикой PSPF 8 Приложение F. | Применение заголовков x-защитной маркировки с помощью политики защиты от потери данных |
| Применение метаданных к столбцам базы данных, содержащим конфиденциальную информацию в подключенных системах баз данных. | Power BI и интеграция данных |
Требование 6. Предостережения и материал, подотчетный
| Возможности решения | Раздел |
|---|---|
| Пометка сведений с пещерами и связанных маркеров ограничения распространения (DLM) или классификация с помощью структуры меток конфиденциальности. | Требуемая таксономия меток конфиденциальности |
| Пометка предостережения для связанных элементов с помощью текста. |
Маркировка содержимого меток конфиденциальности Маркировка на основе темы |
| Запишите все входящие и исходящие передачи материалов. | Журнал аудита |
| Применение ограничений на распространение и (или) доступ. |
Ограничение распространения конфиденциальной информации Шифрование меток конфиденциальности |
Требование 7. Минимальные требования к защите и обработке
| Возможности решения | Раздел |
|---|---|
| Данные, хранящиеся в центрах обработки данных Microsoft 365, шифруются при хранении с помощью шифрования BitLocker. | Общие сведения о шифровании |
| Требовать шифрование TLS для передачи конфиденциальных элементов на основе электронной почты, гарантируя, что они шифруются при передаче через общедоступные сети. | Требование шифрования TLS для передачи конфиденциальной электронной почты |
| Настройте детализированное управление доступом к помеченным расположениям (сайтам или Teams) и блокируйте пользователей, устройств или расположений, которые не соответствуют требованиям доступа или разрешениям. |
Ограничения неуправляемых устройств Контекст проверки подлинности |
| Соблюдайте принципы необходимой информации, ограничивая общий доступ, гостевой доступ и контролируя конфигурацию конфиденциальности помеченных расположений. | Настройка групп меток конфиденциальности и сайтов |
| Применяйте политики защиты от потери данных, чтобы обеспечить необходимые сведения и ограничить распространение элементов неавторизованными или неявными внутренними пользователями и внешними организациями. | Ограничение распространения конфиденциальной информации |
| Шифруйте конфиденциальные или защищенные элементы, обеспечивая контроль доступа и гарантируя, что только авторизованные пользователи имеют доступ к содержащейся информации, независимо от расположения элемента. | Шифрование меток конфиденциальности |
| Применяйте средства защиты, включая шифрование, общий доступ и связанные с защитой от потери данных элементы управления для экспорта или PDF-файлов, созданных из исходных систем с метками. | Power BI и интеграция данных |
| Идентифицируйте элементы, помеченные историческими классификациями безопасности, и либо автоматически закрепите современную маркировку, либо сохраните историческую метку вместе с необходимыми элементами управления. | Рекомендации, основанные на исторических маркировках |
Требование 8. Утилизация
| Возможности решения |
|---|
| Реализуйте политики хранения, метки хранения, конфигурации жизненного цикла данных и управления записями, включая проверку ликвидации, для поддержки требований к архивам и записям. |
| При необходимости выравнивайте маркировку безопасности, метку хранения или политику и связанную ликвидацию (обратите внимание, что безопасность и архив редко совпадают). |
| Реализуйте политики хранения, которые либо окончательно удаляют сведения после выполнения требований к хранению элементов, либо предоставляют группам управления записями возможность проверки ликвидации, которая позволяет проверять элементы до их окончательного удаления. |
Эти статьи относятся к Управление жизненным циклом данных Microsoft Purview затем Information Protection и не область этого руководства. Рекомендации по Управление жизненным циклом данных Microsoft Purview см. в разделе Управление жизненным циклом.
Требование 9. Конфиденциальные обсуждения и обсуждения, классифицированные по безопасности
| Возможности решения | Раздел |
|---|---|
| Применение защитной маркировки к приглашениям на собрания Teams и элементам календаря Outlook. Применяйте элементы управления к элементам календаря, например шифрование вложений собраний. |
Маркировка элементов календаря |
| Примените защитную маркировку к собраниям Teams и настройте расширенные элементы управления для защиты классифицированных бесед, включая расширенные методы шифрования и водяные знаки для собраний. Сквозное шифрование бесед Teams, предоставляющее пользователям уверенность в том, что конфиденциальные обсуждения или обсуждения, классифицированные по безопасности, не могут быть перехвачены. |
конфигурация меток Teams премиум |
Политика PSPF 9. Доступ к информации
Доступ к информации основан на требованиях Политики PSPF 9 версии 2018.6 (обновлено 16 августа 2022 г.).
Политика 9 PSPF касается своевременного, надежного и надлежащего доступа к официальной информации.
Как и в случае с политикой 8, политика 9 разделена на основные и вспомогательные требования.
Комментарии о возможностях Microsoft 365, которые соответствуют требованиям, и ссылки на соответствующие разделы этого документа приведены в следующей таблице.
Сведения об источнике политики PSPF см. в статье Политика PSPF 9: Доступ к информации.
Основное требование A. Включение соответствующего доступа при совместном доступе к информации внутри сущности и с другими соответствующими заинтересованными лицами
| Возможности решения | Раздел |
|---|---|
| Ограничьте общий доступ, конфиденциальность и (или) гостевой доступ на основе метки конфиденциальности, примененной к команде или расположению SharePoint. | Настройка групп меток конфиденциальности и сайтов |
| Ограничьте общий доступ или предостеречье пользователей при попытке предоставить общий доступ к содержимому с метками с несанкционированными внутренними или внешними группами. |
Предотвращение недопустимого распространения секретной информации безопасности Ограничение распространения конфиденциальной информации |
| Запретить доставку сообщений электронной почты с метками или вложений к неавторизованным получателям. |
Предотвращение распространения секретной информации по электронной почте в несанкционированных организациях Предотвращение распространения секретной информации по электронной почте среди несанкционированных пользователей |
| Ограничьте отправку помеченного содержимого неутвержденными облачными службами или расположениями, где оно может быть дополнительно распространено или получить доступ к нему неавторизованным пользователям. | Предотвращение отправки классифицированных элементов безопасности в неуправляемые расположения |
| Запретить доступ к помеченным элементам (файлам или сообщениям электронной почты) неавторизованных пользователей в ситуациях, когда им был предоставлен недопустимый доступ. | Шифрование меток конфиденциальности |
| Запретить отправку помеченных элементов в неутвержденные облачные службы. Запретить их печать, копирование на USB, передачу через Bluetooth или не разрешенное приложение. |
Предотвращение совместного использования сведений, классифицированных по безопасности Предотвращение скачивания или печати классифицированных элементов безопасности |
Основное требование Б. Убедитесь, что лица, обращающиеся к конфиденциальной или секретной информации, имеют соответствующие разрешения на безопасность и должны знать эти сведения.
| Возможности решения | Sections |
|---|---|
| Ограничьте доступ к расположениям, содержащим конфиденциальную или секретную информацию, только авторизованным пользователям. | Контекст проверки подлинности |
| Интеграция меток конфиденциальности и защиты от потери данных. Политики можно создать, чтобы предотвратить общий доступ (по электронной почте или поделиться действием) элементов с определенной маркировкой для неавторизованных пользователей. |
Предотвращение распространения секретной информации по электронной почте в несанкционированных организациях Предотвращение распространения секретной информации по электронной почте среди несанкционированных пользователей Предотвращение совместного использования сведений, классифицированных по безопасности |
| Предоставьте советы по политике защиты от потери данных, которые предостерегают пользователей от совместного использования информации перед нарушением политики, уменьшая вероятность раскрытия информации из-за таких ситуаций, как ошибочное удостоверение. | Советы по политике защиты от потери данных перед нарушением |
| Мониторинг, оповещение и (или) блокирование попыток предоставления общего доступа или отправки по электронной почте помеченных элементов пользователям, у которых нет соответствующего разрешения на безопасность. | Управление событиями защиты от потери данных |
| Настройте параметры конфиденциальности для сайтов или Teams на основе маркировки расположения. Это помогает предотвратить открытый доступ к расположениям для пользователей, у которых нет необходимости знать, и позволяет владельцам команд или расположений управлять доступом к этим расположениям. Это также помогает выполнить вспомогательное требование 2, не предоставляя автоматически доступ на основе состояния, ранга или удобства. | Параметры конфиденциальности меток |
| Настройка ограничений общего доступа для сайта или группы, которая гарантирует, что элементы в помеченных расположениях могут предоставляться только внутренним пользователям. | Конфигурация совместного использования меток |
| Используйте шифрование меток для управления доступом к содержимому с метками, гарантируя, что доступ к нему имеют только авторизованные пользователи. | Включение шифрования меток |
| Оповещение о том, что данные безопасности классифицированы или помечены при перемещении в места с более низкой конфиденциальности, где к неавторизованным пользователям будет проще получить доступ. | Оповещение о том, что данные не на месте |
Основное требование C. Управление доступом (включая удаленный доступ) к поддержке систем, сетей, инфраструктуры, устройств и приложений ИКТ
| Возможности решения | Sections |
|---|---|
| Позволяет использовать условный доступ (ЦС) для ограничения доступа к приложению Microsoft 365 утвержденным пользователям, устройствам и расположениям только при соблюдении соответствующих требований проверки подлинности. | Условный доступ |
| Обеспечение детального управления доступом к конфиденциальным расположениям или расположениям, классифицированным по безопасности. | Контекст проверки подлинности |
| Оценка проверки подлинности и авторизации пользователей во время доступа к зашифрованным элементам (файлам или электронной почте). | Шифрование меток конфиденциальности |
Вспомогательные требования
Вспомогательное требование 1. Формализованные соглашения об обмене информацией и ресурсами
| Возможности решения | Sections |
|---|---|
| Настройте условия использования в рамках политики условного доступа, чтобы гости должны согласиться с условиями, прежде чем доступ к элементам будет разрешен. Это дополняет письменные соглашения между организациями. | Конфигурация Microsoft Entra "бизнес — бизнес" (B2B) не область этого руководства1. Эти понятия вводятся в разделе условный доступ. |
| Реализуйте ограничения, чтобы предотвратить совместное использование не только помеченной или секретной информации безопасности, но и других типов конфиденциальной информации с внешними организациями. К этим политикам можно применять исключения, чтобы общий доступ разрешен для утвержденного списка организаций, для которых установлены официальные соглашения. | Ограничение распространения конфиденциальной информации |
| Настройте шифрование, чтобы ограничить доступ гостей к информации (файлам или электронной почте), за исключением пользователей или организаций, для которых настроены разрешения. | Шифрование меток конфиденциальности |
| Настройте гостевой доступ, чтобы разрешить совместную работу (включая совместное использование, совместное использование, чат и членство в Teams) только с утвержденными организациями, с которыми существуют официальные соглашения. | Microsoft Entra конфигурации B2B не область этого руководства1. Основные понятия или ограничение гостевого доступа к помеченным элементам вводятся в конфигурации гостевого доступа. |
| Аудит гостевого доступа и членства, предлагая владельцам ресурсов удалять гостей, когда они больше не требуются, и рекомендуется удалить, когда доступ к ресурсам отсутствует. | Microsoft Entra конфигурации B2B не область этого руководства1, 2. |
Примечание.
1 Дополнительные сведения о конфигурации Microsoft Entra B2B см. в разделе Параметры microsoft Cloud для совместной работы B2B.
2 Дополнительные сведения о проверках доступа см. в статье Проверки доступа.
Вспомогательное требование 2. Ограничение доступа к конфиденциальной и секретной информации и ресурсам
Нет дополнительных требований за пределами основного требования B.
Вспомогательное требование 3. Непрерывное обеспечение безопасности доступа к конфиденциальным сведениям и ресурсам
| Возможности решения | Sections |
|---|---|
| Настройте политики защиты от потери данных, чтобы предотвратить распространение конфиденциальной информации среди пользователей, которые не очищаются до соответствующего уровня. | Предотвращение распространения секретной информации по электронной почте в несанкционированных организациях |
| Ограничьте доступ к расположениям, содержащим сведения, классифицированные (или кавернированные) для лиц, которые очищаются до соответствующего уровня. | Контекст проверки подлинности |
| Помогает предотвратить перемещение секретной или помеченной информации в места с более низкой конфиденциальности, где к ней легко получить доступ неавторизованных пользователей. | Оповещение о том, что данные не на месте |
| Настройте шифрование, чтобы пользователи, покидающие организацию, больше не имели доступа к конфиденциальным материалам. | Шифрование меток конфиденциальности |
Вспомогательное требование 4. Временный доступ к секретной информации и ресурсам
| Возможности решения | Sections |
|---|---|
| Настройте шифрование меток, чтобы предоставить временный доступ к конфиденциальным элементам и отменить доступ по истечении определенного периода времени, сделав элементы нечитаемыми получателем. | Срок действия доступа к содержимому |
Вспомогательное требование 5. Управление доступом к информационным системам
| Возможности решения | Sections |
|---|---|
| Перед предоставлением доступа к службам настройте политики условного доступа (ЦС), чтобы требовать идентификации пользователей, проверки подлинности, включая другие факторы "современной проверки подлинности", такие как MFA, управляемое устройство или известное расположение. | Условный доступ |
| Применяйте другие требования к условному доступу к пользователям при доступе к расположениям, которые помечены определенными метками. | Контекст проверки подлинности |
| Настройте шифрование меток, которое подтверждает удостоверение, проверку подлинности и авторизацию каждый раз, когда пользователь обращается к зашифрованным элементам. | Шифрование меток конфиденциальности |
Руководство по информационной безопасности (ISM)
Руководство по информационной безопасности (ISM) предназначено для того, чтобы изложить структуру кибербезопасности, которую организации могут применять, используя свою платформу управления рисками, для защиты своей информации и систем от угроз. Руководство содержит элементы управления, которые должны реализовать государственные организации и другие лица, работающие в рамках PSPF для австралийских федеральных, государственных и местных органов власти, и на соответствующем уровне, связанном с классификацией данных, которыми они управляют.
Цель этого Защита информации Microsoft Purview руководства не в том, чтобы заменить какую-либо подробную работу, которую организации должны выполнять для оценки их соответствия с ISM. Он предназначен для руководства организациями в конфигурации Microsoft 365, которая соответствует элементам управления ISM.
Чтобы получить более широкие рекомендации по соответствующей конфигурации Microsoft 365, мы рекомендуем использовать схему ASD для Secure Cloud.
Требования к ISM, рассмотренные в этом разделе, относятся к версии ISM за март 2023 г.
Следующие требования ISM относятся к конфигурации государственных организаций Защита информации Microsoft Purview:
ISM-0270: защитная маркировка применяется к электронным письмам и отражает наивысшую чувствительность или классификацию темы, текста и вложений
| Возможности решения | Sections |
|---|---|
| Наследование меток гарантирует, что сообщение электронной почты помечается в соответствии с наивысшей конфиденциальностью, применяемой к элементу или вложению. | Наследование меток |
| Определите конфиденциальную информацию и рекомендуется применять маркировку с повышенной конфиденциальности, если элемент находится под классификацией. |
Автоматическая маркировка на основе клиента Определение конфиденциальной информации |
ISM-0271: средства маркировки защиты не вставляются автоматически в сообщения электронной почты
| Возможности решения | Sections |
|---|---|
| Попросите пользователей выбрать соответствующую метку конфиденциальности для каждого элемента (файла или сообщения электронной почты) и попросить их ввести метку, если они ее не применили. | Обязательное применение метки |
| Настройте рекомендации по меткам, чтобы предположить, что метка применяется после обнаружения конфиденциального содержимого, оставляя определение за пользователем. | Рекомендации по автоматическому присвоению меток на основе клиента |
ISM-0272: средства защитной маркировки не позволяют пользователям выбирать защитные маркировки, которые система не имеет прав на обработку, хранение или обмен данными
| Возможности решения | Sections |
|---|---|
| Пользователи могут выбирать и применять метки конфиденциальности только к элементам, опубликованным для них с помощью политики маркировки. |
Политики меток конфиденциальности Метки для информации за пределами защищенного уровня Блокировка передачи неинтермитированных классификаций |
ISM-1089: средства защитной маркировки не позволяют пользователям отвечать на сообщения электронной почты или пересылать их, выбирать защитные маркировки ниже, чем ранее
| Возможности решения | Sections |
|---|---|
| Отмечая различия между этим элементом управления и подходом Microsoft 365, Purview можно настроить так, чтобы требовать бизнес-обоснования, чтобы удалить или понизить метку конфиденциальности. Эти сведения хранятся в журнале аудита, отображаются на порталах классификации данных и могут быть экспортированы с помощью решений для управления информационной безопасностью и событиями безопасности (SIEM), таких как Sentinel. Эта информация также учитывается в метриках управления внутренними рисками (IRM), которые можно использовать для выявления рискованных пользователей и предотвращения их выполнения гнусных действий. |
Управление электронной почтой помеченных сведений с помощью защиты от потери данных Последствия для вредоносного понижения уровня меток Обоснование изменения меток Журнал аудита Предотвращение совместного использования сведений, классифицированных по безопасности |
| Настройте шифрование на основе меток и управление правами, чтобы предотвратить изменения помеченных элементов для пользователей, у которых нет достаточных разрешений, и предотвратить изменение меток. | Шифрование меток конфиденциальности |
ISM-0565: Email серверы настроены для блокировки, регистрации и отправки сообщений электронной почты с неправильной защитной маркировкой.
| Возможности решения | Sections |
|---|---|
| Реализуйте политики защиты от потери данных, чтобы предотвратить получение и дальнейшее распространение элементов с классификациями, которые не разрешены на платформе. | Блокировка передачи неинтермитированных классификаций |
| Настройте политики защиты от потери данных или правила потока обработки почты Exchange, чтобы блокировать, регистрировать и сообщать сообщения электронной почты с отсутствующими маркировками. |
Обязательное применение метки Блокировка передачи сообщений электронной почты без меток |
ISM-1023: уведомления о предполагаемых получателях заблокированных входящих сообщений электронной почты и отправителях заблокированных исходящих сообщений электронной почты.
| Возможности решения | Sections |
|---|---|
| Настройте политики защиты от потери данных или правила потока обработки почты Exchange с разными параметрами уведомлений в зависимости от получателя. | Блокировка передачи сообщений электронной почты без меток |
ISM-0572: на серверах электронной почты, которые выполняют входящие или исходящие подключения электронной почты через инфраструктуру общедоступной сети, включено оппортунистическое шифрование TLS.
| Возможности решения | Sections |
|---|---|
| Протокол TLS настраивается по умолчанию в Exchange Online. Настройте соединители электронной почты так, чтобы шифрование TLS было обязательным для передачи конфиденциальных сообщений электронной почты без необходимости применять эти требования к элементам с более низкой конфиденциальности. |
Требование шифрования TLS для передачи конфиденциальной электронной почты |
ISM-1405: реализовано централизованное средство ведения журнала событий, и системы настроены для сохранения журналов событий в объекте как можно скорее после каждого события.
| Возможности решения | Sections |
|---|---|
| Единый журнал аудита обеспечивает централизованное ведение журнала событий для всех служб Microsoft 365. | Журнал аудита |
ISM-0859: журналы событий, за исключением журналов для служб системы доменных имен и веб-прокси, хранятся не менее семи лет.
| Возможности решения | Sections |
|---|---|
| Журналы аудита можно хранить до 10 лет с помощью политик хранения журналов аудита. Этот период можно продлить за счет интеграции Microsoft 365 с решением SIEM, например Sentinel. | Журнал аудита |
ISM-0585: для каждого зарегистрированного события регистрируются дата и время события, соответствующий пользователь или процесс, соответствующее имя файла, описание события и задействованное оборудование ИКТ.
| Возможности решения | Sections |
|---|---|
| Журнал аудита Microsoft 365 записывает сведения о событиях пользователя и администратора. Для каждого события записываются соответствующие сведения, такие как элемент, пользователь, действие завершено и время события. Журналы аудита фиксируют события для действий, связанных с метками, таких как применение меток и изменения. |
Журнал аудита |
ISM-0133: при возникновении утечки данных владельцы данных получают рекомендации, а доступ к данным ограничен.
| Возможности решения | Sections |
|---|---|
| Настройте политики защиты от потери данных для обнаружения разливов данных и уведомления соответствующих сторон о обнаружении. | Блокировка передачи неинтермитированных классификаций |
Стандарт метаданных для государственных организаций Австралии
Версия требований AGRkMS, упомянутых в этом руководстве, — ЭТО AGRkMS V2.2 (июнь 2015 г.).
Австралийский стандарт государственного учета (AGRkMS) и соответствующее руководство AGRkMS определяют тип метаданных, которые австралийские правительственные учреждения должны включать в свои бизнес-системы, и определяют минимальные обязательные требования.
Среди этих требований есть свойства метаданных для "Классификация безопасности" и "Предостережение безопасности", которые соответствуют политике PSPF 8.
Стандарт содержит инструкцию о назначении для включения этих свойств метаданных. Как и в случае с требованиями, упомянутыми в предыдущих разделах, намерение включения этих свойств в этот стандарт в соответствии с возможностями, предоставляемыми Защита информации Microsoft Purview и связанными средствами Microsoft 365:
| Требование | Sections |
|---|---|
| 1. Упрощение или ограничение доступа к записям или определенным деловым функциям, видам деятельности или транзакциям со стороны сотрудников агентства или общественности (классификация и предостережение). 2. Чтобы запретить доступ к записям или определенным бизнес-функциям, действиям или транзакциям, пользователям с недостаточными разрешениями безопасности (классификация). 3. Включение ограничения доступа к записям для пользователей с недостаточными разрешениями безопасности (Предостережение). |
Предотвращение недопустимого распространения секретной информации безопасности Метка параметров гостевого доступа Конфигурация совместного использования меток Контекст проверки подлинности Оповещение о том, что данные не на месте |
| 4. Обеспечение надлежащей идентификации и управления записями, бизнес-функциями, действиями или транзакциями, а также мандатов с чувствительностью к безопасности (классификация и предостережение). |
Создание меток в клиенте Маркировка содержимого метками Чувствительность к расположению и элементам SharePoint |
| 5. Оповещение пользователей об ограничениях безопасности на доступ к записям и мандатам (классификация и предупреждение). |
Предотвращение распространения секретной информации по электронной почте в несанкционированных организациях Предотвращение совместного использования сведений, классифицированных по безопасности |
| 6. Предотвращение обнаружения характера информации или действий, охватываемых определенными разделами безопасности (классификация и предупреждение). | Ограничения для соответствия требованиям |
Эти требования к метаданным можно выполнить на платформе Microsoft 365 без каких-либо дополнительных операций с метаданными. Тем не менее, государственные организации, стремящиеся использовать Microsoft 365 для управления записями на месте и желающие полностью соответствовать требованиям AGRkMS, должны учитывать рекомендации, приведенные в разделе метаданных управления классификацией и предупреждением этого руководства.
Требования правительства штата
В следующем разделе приводятся ссылки на требования правительства штатов и некоторые замечания высокого уровня о том, чем их рамки отличаются от федерального правительства.
Австралийская столичная территория
Правительство Австралийской столичной территории (ACT) использует платформу политики безопасности правительства АСТ (PSPF), которая аналогична стандарту федерального правительства по намерениям, требуемым меткам и маркерам управления информацией (IMM). Поэтому рекомендации, приведенные в этом руководстве, непосредственно применимы к act government.
Новый Южный Уэльс
Правительство штата Новый Южный Уэльс (NSW) использует рекомендации по классификации, маркировке и обработке информации правительства штата NSW.
Эти требования соответствуют федеральному стандарту PSPF на высоком уровне, так как оба набора требований используют метки UNOFFICIAL to PROTECTED. Тем не менее, стандарт NSW использует другой набор маркеров ограничения распространения (DLM), которые не соответствуют федеральным меткам:
"Официальное: чувствительная метка применяется австралийским правительством, а также другими штатами и территориями. Правительство NSW не будет применять эту метку к своей информации, потому что шесть dll-модулей, используемых в NSW с префиксом OFFICIAL: Sensitive, позволяет обеспечить специфику, необходимую в NSW. Это означает, что информация с меткой OFFICIAL: Sensitive считается полученной из-за пределов правительства Штата NSW".
Это означает, что конфиденциальная информация правительства Штата NSW не помечается федеральными этикетками, но обрабатывается отдельно. Например, метка "OFFICIAL Sensitive - NSW Government" не имеет эквивалента PSPF, поэтому перевод в метку PSPF не подходит.
Существует три варианта, которые федеральные правительственные организации, сотрудничающие с правительством Штата NSW, должны учитываться при разработке конфигурации MPIP:
- Использование скрытых меток , когда администратор реализует набор меток, которые не публикуются для пользователей, но доступны для службы автоматической маркировки. Скрытые метки позволяют информации, создаваемой государственными правительственными организациями, получать аналогичные меры защиты для внутренней информации без необходимости переклеивать элементы с помощью маркировки PSPF. Дополнительные сведения см. в разделе Метки для организаций с различными таксономиями меток.
- Использование типов конфиденциальной информации (SIT), когда организации реализуют набор sit, которые идентифицируют информацию, помеченную метками правительства Штата NSW. Эти SIT используются в DLP и других типах политик для обеспечения надлежащей обработки информации. Дополнительные сведения см. в разделе Настраиваемые типы конфиденциальной информации.
- Использование выровненных меток NSW , когда организации предпочитают применять метки к полученной информации, которая в наибольшей степени соответствует маркировке правительства Штата NSW. Это может быть предпринят вручную пользователями, возможно, с помощью автоматической маркировки, чтобы предложить наиболее подходящий (OFFICIAL: Sensitive в большинстве случаев). При использовании этого подхода визуальная маркировка NSW по-прежнему применяется к элементам и дополняется федеральными эквивалентами в ответных письмах. Это поможет обеспечить защиту информации в соответствии с конфигурациями клиента, пока они находятся в среде. Дополнительные сведения см. в статье Рекомендации, основанные на маркировке внешних агентств.
Эти варианты также относятся к государственным организациям штата NSW, которые рассматривают вопрос о том, как лучше всего обрабатывать информацию, полученную с помощью федеральной маркировки PSPF, или маркировки, применяемой правительствами других штатов.
Северная территория
Правительство Северной территории (NT) использует Организацию государственного сектора правительства Северной территории (NTG PSO): система классификации безопасности.
Эта система частично соответствует федеральной системе PSPF, так как в ней существуют метки UNCLASSIFIED и PROTECTED. Тем не менее, он также использует метки CONFIDENTIAL и PUBLIC, что означает, что организации, сотрудничающие с nt government, должны рассмотреть методы перевода или идентификации информации NT Government CONFIDENTIAL с помощью методов, упомянутых ранее в разделе правительства Штата NSW, чтобы обеспечить защиту информации, пока она находится в средах Microsoft 365 для федерального правительства.
Организациям NT для государственных организаций следует учесть рекомендации, приведенные в этом документе, но добавить общедоступную метку и заменить official: Sensitive для меток CONFIDENTIAL. Приведенные выше моменты, касающиеся защиты информации из других юрисдикций, также актуальны, поэтому NT следует реализовать типы конфиденциальной информации, неопубликованные метки или рекомендации по маркировке на основе клиента, как описано в разделе NSW.
Квинсленд
Правительственные организации Квинсленда обязаны соблюдать Платформу классификации информационной безопасности правительства Квинсленда (QGISCF)
Как и NSW и NT, требования правительства Квинсленда отличаются от PSPF - но QGISCF использует аналогичную топологию официальных, конфиденциальных и защищенных меток, и информация, представленная в этом документе, является актуальной.
QGISCF предназначен для обеспечения совместимости с австралийскими правительственными правительственными основами политики в области безопасности и руководством по информационной безопасности правительства Австралии. По этой причине организации федерального правительства должны использовать автоматическую маркировку для преобразования информации, получаемой от государственных организаций Квинсленда, в эквивалентные метки PSPF (например, SENSITIVE to OFFICIAL: Sensitive: Sensitive), чтобы гарантировать, что такая информация находится в область защиты от потери данных и других средств защиты, пока она находится в средах Microsoft 365 для федерального правительства. Обратное применимо к правительственным организациям Квинсленда, получающим информацию о федеральном правительстве.
Южная Австралия
Южно-австралийская (SA) защита безопасности (SAPSF) включает политику под названием "INFOCEC1: защита официальной информации". Эта политика соответствует федеральному стандарту на высоком уровне, отмечая некоторые различия с точки зрения маркеров управления информацией и предостережения (например, SA CABINET и Medical in Confidence). Благодаря такому согласованию организации федерального правительства должны иметь возможность выявлять и защищать конфиденциальные элементы SA для государственных организаций без существенных изменений в их конфигурациях. Рекомендации, приведенные в этом документе, относятся к правительству SA без существенной необходимости в переводе в местную маркировку.
Организации федерального правительства, получающие информацию от правительственных учреждений SA, должны рассмотреть вопрос о том, как информация sa Government защищается в их среде. Создание SIT или неопубликованных меток конфиденциальности для отслеживания конкретных меток SA и политик защиты от потери данных для применения соответствующей защиты (в соответствии с метками для организаций с различными таксономиями меток).
Организации SA для государственных организаций, использующие это руководство, должны учитывать, что платформа SAPSF не определяет требования к метаданным электронной почты, например X-Headers. Это пробел, так как без спецификации организации SA для государственных организаций могут испытывать трудности с поддержанием классификаций и связанных с ними мер защиты по мере того, как информация передается между организациями. Использование федерального стандарта PSPF для этого подходит для перевода меток электронной почты (как описано в маркировке электронной почты во время транспортировки).
Подход, используемый в заголовках PSPF X-Protective-Label, можно адаптировать для охвата конкретных меток SA, таких как SA CABINET и Medical in Confidence. Некоторые организации SA для государственных организаций реализовали метаданные стиля PSPF, независимо от того, что они не включены в SAPSF. Примером этого может быть установка заголовка X-Protective-Marking "VER=2018.6, NS=sa.gov.au, SEC=OFFICIAL". Такой подход снижает риски, связанные с обменом информацией между государственными организациями SA и предоставлением маркировки, которую другие штаты и федеральные организации могут использовать для определения необходимых мер защиты заключенной информации.
Тасмания
Стандарт классификации информационной безопасности для правительства Тасмании (TAS) является проектом и находится на рассмотрении.
Сведения о маркировке, используемой в настоящее время правительством TAS, см. в разделе Классификация информационной безопасности TAS
Организации федерального правительства, желающие обеспечить защиту информации, полученной от TAS Government, должны использовать средства контроля, которые существуют для защиты устаревшей информации в рамках предыдущей версии PSPF. Дополнительные сведения см. в статье Рекомендации, основанные на исторических маркировках.
Виктория
Структура правительства штата Виктория (VIC) — это викторианская платформа защиты данных (VPDSF) похожа на SA, но по-прежнему тесно связана с федеральным PSPF.
Правительственные организации штата Виктория должны рассматривать рекомендации, приведенные в этом руководстве, как относящиеся к их собственной среде.
Для платформы VIC разница с маркировкой, применяемой с помощью x-заголовков электронной почты для значений доменов и версий. Викторианская правительственная маркировка кабинета также отличается от маркировки федерального правительства, поэтому викторианская правительственные организации должны отметить, что специальная обработка x-заголовка "SH:CABINET-IN-CONFIDENCE" требуется вместо "SH:NATIONAL-CABINET". Дополнительные сведения о специальной обработке см. в статье Применение заголовков x-защитной маркировки с помощью политики защиты от потери данных.
Западная Австралия
Правительство Западной Австралии (WA) имеет политику классификации информации, использует неофициальные, официальные и официальные метки, которые тесно согласуются с классификациями PSPF федерального правительства. Однако требования к доступу и другие требования отличаются.
В политике говорится: "Для защиты секретной информации о безопасности Содружества агентства обязаны соблюдать положения соответствующих межусудных соглашений". Это означает, что требования федерального правительства должны быть рассмотрены правительственными учреждениями WA.
Клиенты WA для государственных организаций должны учитывать рекомендации, приведенные в этом документе, в отношении их актуальности для своих собственных конфигураций.
Для организаций федерального правительства, получающих информацию от организаций wa government, поскольку подход WA согласуется с федеральным, автоматическое маркировка и другие конфигурации, описанные в этом руководстве, помогают обеспечить защиту такой информации, пока она находится в федеральных средах Microsoft 365.