Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen für Organisationen der australischen Regierung zur Verwendung der Verschlüsselung von Vertraulichkeitsbezeichnungen. Das Unternehmen soll organisationen der australischen Regierung dabei helfen, ihre Ansätze zur Datensicherheit zu stärken. Die Empfehlungen in diesem Leitfaden stimmen eng mit den Anforderungen überein, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Manual, ISM) beschrieben sind.
Microsoft Purview bietet die Möglichkeit, Elemente mit einer Vertraulichkeitsbezeichnung zu verschlüsseln, die über Azure Rights Management angewendet wird. Azure Rights Management wird verwendet, um sowohl die Benutzerauthentifizierung als auch die Autorisierung für den Zugriff auf den Inhalt zu bestätigen. Damit ein Benutzer auf ein verschlüsseltes Element zugreifen kann, muss er sich beim Microsoft 365-Dienst authentifizieren und die Berechtigung für den Zugriff auf das Element erhalten. Azure Rights Management wird verwendet, um Nutzungseinschränkungen auf Elemente anzuwenden. Diese Einschränkungen können Benutzer an Aktionen wie Bearbeiten von Inhalten, Speichern von Elementen, Drucken, Kopieren von Inhalten oder Weiterleiten an andere Benutzer hindern.
Szenarien, die für die Bezeichnungsverschlüsselung relevant sind
Behörden sollten die Bezeichnungsverschlüsselung im Einklang mit dem Zugriff und den Übertragungsanforderungen verwenden, die in der Übersicht über die Verschlüsselung zusammengefasst sind. Diese Anforderungen geben an, dass die Verschlüsselung für die Übertragung von OFFICIAL: Vertraulichen oder GESCHÜTZTen Informationen über öffentliche oder nicht geschützte Netzwerke erforderlich ist. Obwohl microsoft 365-Funktionen wie TLS-Verschlüsselung für die Kommunikation zwischen Client und Servern dazu beitragen, diese Anforderungen zu erfüllen, gibt es bestimmte Szenarien, in denen die Verwendung der Azure Rights Management-Verschlüsselung den Schutz erhöhen kann.
Beispiele für Szenarien, in denen die Aktivierung der bezeichnungsbasierten Azure Rights Management-Verschlüsselung die Kontrollen stärken kann, sind Situationen, in denen sicherheitsgeschützte Elemente wie folgt sind:
- In USB-Speicher kopiert.
- Wird in Nicht-Microsoft-Clouddienste hochgeladen, einschließlich Cloudspeicherdiensten.
- Gespeichert auf potenziell unsicheren Geräten (z. B. Geräten ohne BitLocker-Verschlüsselung).
- Wird per E-Mail an externe Empfänger gesendet, die durch die weitere Verteilung der Informationen gegen das "Need-to-Know"-Problem verstoßen können.
Organisationen der australischen Regierung implementieren in der Regel zusätzliche Strategien und Lösungen, um diese Risikovektoren zu beheben. Beispiele hierfür sind verschlüsselte USB-Laufwerke, CASB-Lösungen (Cloud Access Security Broker) und Geräteverwaltungsplattformen. Die bezeichnungsbasierte Verschlüsselung soll diese Lösungen nicht ersetzen. Es wird jedoch verwendet, um diese Lösungen zu ergänzen, indem zusätzlicher Schutz vor versehentlichem Missbrauch und böswilligen Insidern bereitgestellt wird.
Überlegungen zur Bezeichnungsverschlüsselung
Die Azure Rights Management-Verschlüsselung ist keine zwingende Voraussetzung für die Bereitstellung von Microsoft Purview oder den Schutz von Informationen in Microsoft 365-Diensten. Die bezeichnungsbasierte Verschlüsselung gilt jedoch als eine der effektivsten Methoden, um sicherzustellen, dass Daten, die aus Microsoft 365-Umgebungen stammen oder sich in Microsoft 365-Umgebungen befinden, vor unbefugtem Zugriff geschützt sind, insbesondere wenn sie die organization verlassen haben.
Informationen zu den Standardüberlegungen und möglichen Auswirkungen der Aktivierung der Verschlüsselung von Vertraulichkeitsbezeichnungen finden Sie unter Überlegungen zu verschlüsselten Inhalten.
Es gibt andere Überlegungen, die speziell für australische Regierungsorganisationen gelten. Dazu gehören Änderungen an Dokumentmetadaten und Anforderungen in Bezug auf die Gemeinsame Nutzung von Informationen.
Verschlüsselte Änderungen an der gemeinsamen Dokumenterstellung
Microsoft 365 unterstützt die gemeinsame Dokumenterstellung für verschlüsselte Dokumente.
Durch die Aktivierung der verschlüsselten gemeinsamen Dokumenterstellung werden Änderungen an der Anwendung von Vertraulichkeitsbezeichnungsmetadaten auf Office-Dokumente und die Verwendung von MSIP_labels Dokumenteigenschaften eingeführt. Nach dem Aktivieren der verschlüsselten gemeinsamen Dokumenterstellung werden Metadaten für verschlüsselte Elemente vom herkömmlichen Speicherort der Dokumenteigenschaft in die interne XML-Datei eines Dokuments verschoben. Weitere Informationen finden Sie unter Metadatenänderungen für Vertraulichkeitsbezeichnungen.
Organisationen der australischen Regierung, die Regeln auf E-Mail-Gateways anwenden, die über Dokumenteigenschaften auf Anlagenklassifizierung prüfen, müssen sich über Metadatenänderungen bewusst sein, damit ihre Konfigurationen angepasst werden. Microsoft Exchange-Administratoren sollten:
- Lesen und Verstehen von 2.6.3 LabelInfo im Vergleich zu benutzerdefinierten Dokumenteigenschaften.
- Bewerten Sie die Data Loss Prevention (DLP), die Nachrichtenflussregel oder die Transportregelsyntax ihrer Organisationen auf Nicht-Microsoft-E-Mail-Gateways auf potenzielle Probleme.
Ein Beispiel dafür, warum dies wichtig ist, ist ein Nachrichtenfluss oder eine Transportregel, die über die Bezeichnungs-GUID in einer Dokumenteigenschaft auf PROTECTED-Anlagen überprüft, die nicht ordnungsgemäß funktionieren, sobald Dokumentmetadaten von der Dokumenteigenschaft an den LabelInfo-Speicherort verschoben werden.
Als Alternativen zu den dokumenteigenschaftsbasierten Ansätzen:
-
ClassificationContentMarkingHeaderTextundClassificationContentMarkingFooterTextdokumenteigenschaften werden verwendet. Diese Eigenschaften werden nach der Aktivierung der verschlüsselten gemeinsamen Dokumenterstellung angezeigt und mit dem visuellen Markierungstext aufgefüllt, der auf Office-Dokumente angewendet wird. - Nachrichtenflussmethoden werden auf einen neueren DLP-basierten Ansatz umgestellt, bei dem Vertraulichkeitsbezeichnungen nativ als Teil einer DLP-Richtlinie abgefragt werden können.
Zugriff externer Benutzer auf verschlüsselte Elemente
Innerhalb der australischen Regierung variieren die Anforderungen an Zusammenarbeit und Informationsverteilung je nach Art der organization. Einige Organisationen arbeiten weitgehend isoliert, was die Verschlüsselungskonfiguration vereinfacht. Andere müssen vertrauliche Informationen ständig für andere Organisationen freigeben und entsprechend planen.
Australische Regierungsorganisationen, die bezeichnungsbasierte Verschlüsselung verwenden, sollten diese Funktion verwenden, um die Übereinstimmung mit den PSPF 2024-Anforderungen 77 und 133 sicherzustellen:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 12. Informationsaustausch – Anforderung 77 | Eine Vereinbarung oder Vereinbarung, z. B. ein Vertrag oder eine Urkunde, die Anforderungen und Schutzmaßnahmen für die Handhabung festlegt, ist vorhanden, bevor sicherheitsrelevante Informationen oder Ressourcen offengelegt oder mit einer Person oder organization außerhalb der Regierung geteilt werden. |
| PSPF 2024 – 17. Zugriff auf Ressourcen – Anforderung 133 | Mitarbeiter, die Zugang zu eingeschränkten Informationen benötigen, erfüllen alle Vom Absender und der Kontrollbehörde auferlegten Genehmigungs- und Eignungsanforderungen. |
Um sicherzustellen, dass nur Benutzer aus autorisierten externen Organisationen auf verschlüsselte Elemente zugreifen können, können die folgenden Ansätze verwendet werden:
- Listen genehmigter externer Domänen können azure Rights Management-Berechtigungen hinzugefügt werden, ähnlich wie bei den DLP-Ansätzen, die unter Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen beschrieben werden.
- Gruppen, die Gastkonten enthalten, können verwendet werden, um berechtigungen nur für autorisierte Benutzer aus genehmigten externen Domänen zu erteilen. Dieser Ansatz ähnelt der E-Mail-Verteilung von klassifizierten Informationen an autorisierte Gäste.
Tipp
Wenn Sie den Ansatz Ihrer organization für DLP mit dem Ansatz für die Bezeichnungsverschlüsselung für klassifizierte Informationen abstimmen, vereinfacht die Verwaltung. Das Ergebnis ist ein robuster und konsistenter Ansatz für den Umgang mit klassifizierten Informationen, bei dem nur autorisierten Benutzern sowohl klassifizierte Informationen gesendet werden können als auch Zugriff darauf haben.
Aktivieren der Bezeichnungsverschlüsselung
Informationen zu den Voraussetzungen und Schritten, die zum Aktivieren der Verschlüsselung von Vertraulichkeitsbezeichnungen erforderlich sind, finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zum Anwenden der Verschlüsselung.
Die folgenden Verschlüsselungskonfigurationen für Bezeichnungen haben besondere Relevanz für die Anforderungen der australischen Regierung und werden ausführlich erläutert.
Berechtigungen sofort zuweisen
Berechtigungen jetzt zuweisen bietet eine konsistente Steuerung des Zugriffs auf bezeichnete Elemente in einer gesamten Umgebung. Wenn bei dieser Konfiguration eine Bezeichnung mit Verschlüsselungseinstellungen auf ein Element angewendet wird, wird die Verschlüsselung des Inhalts sofort ausgelöst.
Wenn die Option Berechtigungen jetzt zuweisen ausgewählt ist, müssen Administratoren Berechtigungen konfigurieren, die auf bezeichnete Elemente angewendet werden. Folgende Optionen sind verfügbar:
Alle Benutzer und Gruppen in Ihrem organization: Mit dieser Option wird die Berechtigung für alle Benutzer in der Umgebung mit Ausnahme von Gastkonten hinzugefügt. Dies ist ein guter Einführungspunkt für Organisationen, die den Zugriff auf bezeichnete Elemente nur auf interne Benutzer beschränken möchten.
Dies ist eine gute Option für Organisationen, die "OFFICIAL: Vertraulich"-Informationen verschlüsseln und sicherstellen möchten, dass sie von der gesamten organization geöffnet werden können. Denken Sie daran, dass die Verschlüsselung nur eine Schutzebene darstellt, die durch DLP ergänzt werden kann, um sicherzustellen, dass Sie wissen müssen.
Jeder authentifizierte Benutzer: Diese Option ermöglicht den Zugriff auf jeden Benutzer, der über ein Konto wie ein Microsoft 365-Konto, einen Verbundanbieter für soziale Netzwerke oder eine externe E-Mail-Adresse, die als Microsoft-Konto (MSA) registriert ist, bei Microsoft 365 authentifiziert ist. Diese Option stellt sicher, dass Elemente im verschlüsselten Format gesendet und gespeichert werden, ist aber in Bezug auf den Zugriff auf Elemente am offensten. Diese Option eignet sich nicht für die Sicherstellung von "Need-to-Know" und pspf-Ausrichtung in der australischen Regierung.
Wichtig
Jeder authentifizierte Benutzer ist aufgrund der offenen Natur der angewendeten Berechtigungen keine gute Option für australische Regierungsorganisationen für die Anwendung auf sicherheitsklassifizierte Elemente.
Benutzer oder Gruppen hinzufügen: Mit dieser Option können einzelne Benutzer (z. B. einzelne Organisationsbenutzer oder Gäste) angegeben werden. Sie ermöglicht die Zuordnung von Berechtigungen zu Gruppen.
Es gibt mehrere Verwendungsmöglichkeiten dieser Option für Regierungsorganisationen. Zum Beispiel:
- Diese Option wird verwendet, um die Notwendigkeit der Kenntnis sicherzustellen, indem der Zugriff auf bezeichnete Inhalte auf eine Teilmenge interner Benutzer beschränkt wird, die eine Anforderung erfüllen. Autorisierte Benutzer mit Baselinefreigabe werden beispielsweise in einer geschützten Benutzergruppe gruppiert, die Berechtigungen für GESCHÜTZTE Inhalte erteilt. Benutzer außerhalb der Gruppe werden am Zugriff auf GESCHÜTZTE Elemente gehindert.
- Für Organisationen mit hoher Externer Zusammenarbeitssteuerung (wie in hoher externer Zusammenarbeitssteuerung erläutert) kann eine dynamische Gruppe erstellt werden, die alle Gastkonten enthält. Dieser Gruppe könnten Berechtigungen für verschlüsselte Elemente erteilt werden, sodass Elemente extern verteilt werden können, wobei das Risiko des Zugriffs durch Entitäten außerhalb der Gruppe verringert wird. Eine solche Konfiguration muss auch mit DLP-Steuerelementen übereinstimmen, die erläutert werden, um die E-Mail-Verteilung von klassifizierten Informationen an autorisierte Gäste zuzulassen.
- Für Organisationen mit einer relativ geringen externen Zusammenarbeitssteuerung (wie in der geringen Externen Zusammenarbeitssteuerung erläutert) kann eine Sicherheitsgruppe verwaltet werden, die Gäste enthält, die für den Zugriff auf verschlüsselte Inhalte autorisiert sind.
- Für Organisationen, die Gastzugriff auf Inhalte gewähren möchten, ohne den Inhalt einer Bezeichnung für eine gesamte Domäne zugänglich zu machen, kann eine dynamische Gruppe erstellt werden, um Gästen Zugriff von einem organization zu gewähren, z. B. "Abteilungsgäste". Dieser Ansatz wird bei der E-Mail-Verteilung von klassifizierten Informationen an autorisierte Gäste erläutert.
Hinzufügen bestimmter E-Mail-Adressen oder Domänen Diese Option ermöglicht es, dass den einzelnen E-Mail-Adressen externer Benutzer, die ein Gast sein können oder auch nicht, Berechtigungen erteilt werden. Es kann auch verwendet werden, um einer gesamten Domäne Berechtigungen zu erteilen. Beispiel: "Contoso.com". Organisationen, die komplexe Anforderungen an die Zusammenarbeit und Verteilung von Informationen haben oder official: Vertrauliche oder GESCHÜTZTE Informationen an andere Regierungsorganisationen verteilen müssen, können erwägen, eine Liste der Domänen aller Organisationen hinzuzufügen, an die diese Informationen verteilt werden. Eine solche Liste sollte mit Domänen übereinstimmen, mit denen Ihr organization formalisierte Vereinbarungen zum Freigeben von Informationen und Ressourcen hat, wie in PSPF Policy 2024 Requirement 77 definiert.
Der Konfiguration einer Bezeichnung können mehrere Berechtigungssätze hinzugefügt werden, um das gewünschte Ergebnis zu erzielen. Beispielsweise können Alle Benutzer und Gruppen in Kombination mit einer Gruppe dynamischer Gruppen verwendet werden, die Gäste aus anderen Organisationen enthalten, sowie einer Liste autorisierter Abteilungsdomänen, mit denen Ihr organization regelmäßig zusammenarbeitet.
Zuweisen von Berechtigungen zu Benutzern, Gruppen oder Domänen
Für jeden Benutzer, jede Benutzergruppe oder Domäne, der Zugriff gewährt wird, müssen auch bestimmte Berechtigungen ausgewählt werden. Diese Berechtigungen werden in typischen Gruppen gruppiert, z. B . Mitbesitzer, Mitautor oder Prüfer. Benutzerdefinierte Berechtigungssätze können ebenfalls definiert werden.
Verschlüsselungsberechtigungen sind präzise, sodass Organisationen ihre eigene Geschäftsanalyse und Risikobewertungen durchführen müssen, um den am besten gültigen Ansatz zu ermitteln. Es folgt ein Beispielansatz:
| Benutzerkategorie | Enthält | Berechtigungen |
|---|---|---|
| Alle Benutzer und Gruppen | Alle internen Benutzer | Co-Owner (Gewährt alle Berechtigungen) |
| Gäste aus anderen Abteilungen mit Anforderungen an die Zusammenarbeit | Dynamische Microsoft 365-Gruppen: - Gäste aus Abteilung 1 - Gäste aus Abteilung 2 - Gäste aus Abteilung 3 |
Co-Author (Schränkt das Bearbeiten, Exportieren von Inhalten und Ändern von Berechtigungen ein) |
| Gelöschte Gäste aus Partnerorganisationen | Sicherheitsgruppen: – Gäste von Partner 1 – Gäste von Partner 2 – Gäste von Partner 3 |
Prüfer (Schränkt die Berechtigungen zum Drucken, Kopieren und Extrahieren, Exportieren von Inhalten und Ändern ein) |
Benutzern die Entscheidung überlassen
Bei der Verschlüsselung können Benutzer auswählen, welche Berechtigungen angewendet werden sollen, wenn sie eine Bezeichnung auswählen.
Das Verhalten von Elementen, die mit dieser Methode bezeichnet werden, variiert je nach Anwendung. Für Outlook stehen folgende Optionen zur Verfügung:
- Nicht weiterleiten: Wenn diese Option ausgewählt ist, werden E-Mails verschlüsselt. Die Verschlüsselung wendet Zugriffsbeschränkungen an, sodass Empfänger auf die E-Mail antworten können, aber keine Optionen zum Weiterleiten, Drucken oder Kopieren von Informationen verfügbar sind. Azure Rights Management-Berechtigungen werden auf alle ungeschützten Office-Dokumente angewendet, die an die E-Mail angefügt sind. Mit dieser Option wird sichergestellt, dass sie wissen muss, indem verhindert wird, dass E-Mail-Empfänger Elemente an diejenigen weiterleiten, die in der ursprünglichen E-Mail nicht angegeben wurden.
- Nur verschlüsseln: Diese Option verschlüsselt Elemente und gewährt Empfängern alle Nutzungsrechte mit Ausnahme von Speichern unter, Exportieren und Vollzugriff. Es ist nützlich, um die Anforderungen an die verschlüsselte Übertragung zu erfüllen, wendet jedoch keine Zugriffseinschränkungen an (das Ergebnis ist, dass keine Steuerelemente angewendet werden, die benötigt werden).
Diese Optionen bieten eine große Granularität. Da Berechtigungen jedoch auf Elementebene angewendet werden, können diese Optionen zu einer inkonsistenten Konfiguration führen, da die von verschiedenen Benutzern ausgewählten Optionen variieren.
Durch die Bereitstellung von "Nicht weiterleiten" oder "Nur verschlüsseln"-Optionen für Benutzer als Unterbezeichnungen kann ein organization Benutzern eine Methode zum Schutz der Kommunikation bereitstellen, wenn dies für notwendig erachtet wird. Zum Beispiel:
- INOFFIZIELL
- AMTLICH
- OFFICIAL Sensitive (Kategorie)
- OFFICIAL Vertraulich
- Nur sensible Empfänger von OFFICIAL
Bezeichnungen, auf die diese Konfigurationen angewendet wurden, sollten nur für Benutzer veröffentlicht werden, die solche Funktionen benötigen.
Microsoft Purview ist in der Lage, pspf mit der Anforderung abzugleichen, Information Management Marker (IMMs) und Vorbehalte sowie das Hinzufügen von Untergeordneten Bezeichnungen, um bestimmte Organisationsanforderungen zu erfüllen. Beispielsweise kann für eine Gruppe von Benutzern, die informationen zu "OFFICIAL: Sensitive Personal Privacy" mit externen Benutzern kommunizieren müssen, die Bezeichnung "OFFICIAL: Sensitive Personal Privacy ENCRYPT-ONLY" veröffentlicht werden.
Ablauf des Inhaltszugriffs
Inhaltsablaufoptionen ermöglichen, dass die Berechtigung zum Zugriff auf verschlüsselte Elemente mit der angewendeten Bezeichnung entweder an einem Datum oder nach einem bestimmten Zeitraum verweigert wird. Diese Funktion wird verwendet, um sicherzustellen, dass elemente von einem Bestimmten Zeitpunkt an nicht mehr zugänglich sind, unabhängig davon, wo sie sich befinden oder welche Berechtigungen auf sie angewendet wurden.
Diese Option ist nützlich, um Anforderungen für den zeitgebundenen Zugriff auf Informationen zu erfüllen, bei denen Regierungsorganisationen vorübergehenden Zugriff auf Informationen oder Ressourcen bereitstellen müssen. Diese Situationen werden unter PSPF 2024 Abschnitt 17 behandelt. Zugriff auf Ressourcen:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 17. Zugriff auf Ressourcen – Anforderung 122 | Eine Risikobewertung bestimmt, ob einer Person vorübergehend Zugriff auf sicherheitsrelevante Informationen oder Ressourcen gewährt wird. |
Dieser Ansatz stellt die Notwendigkeit der Überwachung des temporären Zugriffs sicher und stellt sicher, dass der temporäre Benutzer nur zugriff auf das, was erlaubt wurde, und nur für die erforderliche Zeit.
Die azure Rights Management-Verschlüsselung, die über Bezeichnungen und mit Zugriffsablaufkonfiguration angewendet wird, ermöglicht die Freigabe vertraulicher Elemente für Einzelpersonen oder Organisationen, ohne dass vollständige Konten erstellt werden müssen.
Ein Beispiel hierfür ist ein Government organization über eine Reihe von Entwurfsdokumenten verfügt, die einem fiktiven Government-Organization namens Contoso zur Verfügung gestellt werden müssen. Eine Bezeichnung mit dem Namen "OFFICIAL Sensitive – Contoso Temp Access" wird erstellt und mit Berechtigungen veröffentlicht, die Zugriff auf eine genehmigte Liste von Contoso-E-Mail-Adressen gewähren. Auf eine Kopie der Entwurfsdokumente wird dann diese Bezeichnung angewendet, die einen 30-tägigen Zugriffszeitgeber startet. Die Dokumente werden dann für Contoso freigegeben, die auf die Elemente auf ihren eigenen Systemen zugreifen können, bis der Timer abläuft und der Zugriff widerrufen wird, unabhängig davon, wo sich die Elemente befinden.
Da der Inhaltsablauf auf eine Bezeichnung und nicht auf Berechtigungen angewendet wird, sind dedizierte Bezeichnungen erforderlich, um dies zu erreichen. Dies und andere Szenarien für den Ablauf des Zugriffs sind Nischen und gelten in den meisten Regierungsorganisationen nicht. Dieses Beispiel baut auf und erweitert die grundlegende PSPF-Microsoft Purview Information Protection Konfiguration, die wie in diesem Leitfaden empfohlen angewendet wird.
Offlinezugriff
Offlinezugriffsoptionen ermöglichen die Konfiguration eines Zeitraums, in dem Benutzer auf Elemente zugreifen können, ohne ihre Azure Rights Management-Berechtigungen erneut authentifizieren oder erneut authentifizieren zu müssen. Der Offlinezugriff ist nützlich, um sicherzustellen, dass beispielsweise bei einem Netzwerk- oder Dienstausfall auf Offlinedateien zugegriffen werden kann. Wenn diese Option konfiguriert ist, werden Elemente weiterhin verschlüsselt, und ihre Berechtigungen werden auf Clientgeräten zwischengespeichert.
Regierungsorganisationen, die Verschlüsselung bereitstellen, entscheiden sich in der Regel für einen Offlinezugriffszeitraum von drei bis sieben Tagen, um sicherzustellen, dass Benutzer offline und als Notfallmaßnahme arbeiten können.
Eine Risikobewertung des zwischengespeicherten Zugriffs auf Elemente im Vergleich zu den Auswirkungen des keinen Zugriffs auf die Benutzerfreundlichkeit, wenn Benutzer ohne Netzwerkzugriff durch eine regierungsbehördenspezifische organization arbeiten, sollte bei diesem Ansatz abgeschlossen werden.
Beispiel für die Verschlüsselung von Bezeichnungen
Hinweis
In diesen Beispielen soll die Verschlüsselungskonfiguration für Bezeichnungen mit Betriebskontrollen veranschaulicht werden, die proportional zum Wert der Informationen sind, der der PSPF 2024-Anforderung 71 entspricht. Regierungsorganisationen müssen ihre eigene Geschäftsanalyse, Risikobewertung und Tests durchführen, bevor sie eine solche Konfiguration aktivieren.
| Vertraulichkeitsbezeichnung | Verschlüsselung | Berechtigungen |
|---|---|---|
| INOFFIZIELL | - | - |
| AMTLICH | - | - |
| OFFICIAL Sensitive (Kategorie) | - | - |
| OFFICIAL Vertraulich | Berechtigung jetzt zuweisen |
Alle Benutzer und Gruppen in Ihrem organization: Co-Owner Fügen Sie bestimmte E-Mail-Adressen oder Domänen hinzu: Liste der externen Domänen, die für den Zugriff - genehmigt wurdenGemeinsame Dokumenterstellung |
| PROTECTED (Kategorie) | - | - |
| GESCHÜTZT | Berechtigung jetzt zuweisen |
Hinzufügen von Benutzern oder Gruppen: Gruppe "Geschützte Benutzer" - Mitbesitzer Geschützte Gästegruppe - Gemeinsame Dokumenterstellung |
Hinweis
Die ASD-Blaupause für Secure Cloud empfiehlt ähnliche Bezeichnungsverschlüsselungskonfigurationen, die unter der Access Control-Konfiguration für PROTECTED-Bezeichnungen zu sehen sind. Beispiel: PROTECTED-Vertraulichkeitsbezeichnung.