Поделиться через


Развертывание решения по защите информации с помощью Microsoft Purview

Лицензирование для Центра безопасности и соответствия требованиям Microsoft 365

Стратегия защиты информации определяется потребностями бизнеса. Многие организации должны соблюдать правила, законы и бизнес-практики. Кроме того, организациям необходимо защищать конфиденциальную информацию, например данные по определенным проектам.

Защита информации Microsoft Purview (ранее Microsoft Information Protection) предоставляет платформу, процесс и возможности, которые можно использовать для защиты конфиденциальных данных в облаках, приложениях и устройствах.

Чтобы просмотреть примеры Защита информации Microsoft Purview в действии, от взаимодействия с конечным пользователем до конфигурации администратора, watch следующем видео:

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Инфраструктура защиты информации Microsoft Purview

Используйте защиту информации Microsoft Purview, чтобы обнаруживать, классифицировать, защищать и контролировать конфиденциальные сведения, где бы они ни находились или перемещались.

Обзор решения по защите информации Microsoft Purview

Сведения об управлении данными см. в статье Развертывание решения по управлению данными с помощью Microsoft Purview.

Лицензирование

Возможности защиты информации Microsoft Purview включены в Microsoft Purview. Требования к лицензированию могут различаться даже в пределах возможностей, в зависимости от параметров конфигурации. Чтобы определить требования и параметры лицензирования, см. статью Руководство по безопасности и соответствию требованиям Microsoft 365.

Изучение данных

Обзор изучения данных для решения по защите информации Microsoft Purview

Часто самым большим вызовом для многих организаций является знание того, где находятся конфиденциальные данные. Классификация данных о защите информации Microsoft Purview помогает обнаруживать и точно классифицировать постоянно растущие объемы данных, которые создает ваша организация. Графические представления помогают получить представление об этих данных, чтобы можно было настроить и отслеживать политики для их защиты и управления.

Шаг Описание Дополнительная информация
1 Опишите категории конфиденциальной информации, которые необходимо защитить.

У вас уже есть представление о том, какие типы информации являются наиболее ценными для вашей организации, а какие — нет. Работайте с заинтересованными сторонами, чтобы описать эти категории, так как это ваша отправная точка.
Сведения о типах конфиденциальной информации

Информация об обучаемых классификаторах

2 Обнаружение и классификация конфиденциальных данных.

Конфиденциальные данные в элементов можно найти с помощью различных методов, которые включают политики защиты от потери данных по умолчанию, маркировку вручную пользователями и автоматическое распознавание шаблонов с использованием типов конфиденциальной информации или машинного обучения.
Сведения о классификации данных

Видео: классификация данных в Портал соответствия требованиям Microsoft Purview

3 Просмотр конфиденциальных элементов.

Используйте обозреватель содержимого и обозреватель действий для более глубокого анализа конфиденциальных элементов и действий, которые пользователи предпринимают с этими элементами.
Начало работы с обозревателем содержимого

Начало работы с обозревателем действий

Защита данных

Обзор защиты данных для решения по защите информации Microsoft Purview.

Используйте сведения о том, где находятся конфиденциальные данные для их более эффективной защиты. Однако нет необходимости ждать— вы можете сразу же начать защиту данных с помощью сочетания меток вручную, по умолчанию и автоматически. Затем используйте обозреватель содержимого и обозреватель действий из предыдущего раздела, чтобы проверить, какие элементы помечены и как используются метки.

Шаг Описание Дополнительная информация
1 Определите метки конфиденциальности и политики, которые будут защищать данные организации.

Помимо идентификации конфиденциальности содержимого, эти метки могут применять такие действия защиты, как маркировка содержимого (колонтитулы, подложки), шифрование и другие элементы управления доступом.

Примеры меток конфиденциальности:
Личный
Public
Общие
- Любой пользователь (без ограничений)
- Все сотрудники (без ограничений)
Конфиденциально
- Любой пользователь (без ограничений)
- Все сотрудники
- Доверенные Люди
Строго конфиденциально
- Все сотрудники
- Конкретные Люди

Пример политики меток конфиденциальности:
1. Публикация всех меток для всех пользователей в клиенте
2. Метка по умолчанию Общий \ Все сотрудники (неограниченные) для элементов
3. Пользователи должны предоставить обоснование для удаления метки или понижения ее классификации
Начало работы с метками конфиденциальности

Создание и настройка меток конфиденциальности и соответствующих политик

Ограничение доступа к содержимому при использовании меток конфиденциальности для шифрования
2 Маркировка и защита данных для приложений и служб Microsoft 365.

Метки конфиденциальности поддерживаются для microsoft 365 Word, Excel, PowerPoint, Outlook, собраний Teams, а также контейнеров, включающих сайты SharePoint и OneDrive, а также группы Microsoft 365. Используйте сочетание методов маркировки, таких как ручная маркировка, автоматическая маркировка, маркировка по умолчанию и обязательная маркировка.

Пример конфигурации автоматической маркировки на стороне клиента:
1. Рекомендуется рекомендовать конфиденциальный \ любой пользователь (без ограничений), если 1–9 кредитов карта числа
2. Рекомендовать конфиденциальность \ Всех сотрудников, если более 10 кредитов карта числа
-- типичный интерфейс пользователя, и пользователь нажимает кнопку для отображения конфиденциального содержимого (только Word)

Пример конфигурации автоматической маркировки на стороне службы:
Применяется ко всем расположениям (Exchange, SharePoint, OneDrive)
1. Примените конфиденциальность \ любой пользователь (неограниченный), если 1–9 кредитов карта числа
2. Применить конфиденциальность \ Все сотрудники, если 10+ кредитов карта числа
3. Применение конфиденциальной \ Любой пользователь (без ограничений), если 1–9 персональных данных США и полные имена
4. Применение конфиденциальной \ Всех сотрудников, если 10+ личных данных США и полные имена
Управление метками конфиденциальности в приложениях Office

Включение меток конфиденциальности для файлов в SharePoint и OneDrive

Включение совместного редактирования для файлов, зашифрованных с помощью меток конфиденциальности

Настройка метки конфиденциальности по умолчанию для библиотеки документов SharePoint

Автоматическое применение метки конфиденциальности к данным Microsoft 365

Использование меток конфиденциальности в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint

Использование меток конфиденциальности для защиты элементов календаря, собраний Teams и чата

Использование меток конфиденциальности с Microsoft Loop

Использование меток конфиденциальности для настройки ссылки общего доступа по умолчанию для сайтов и документов в SharePoint и OneDrive

Применение метки конфиденциальности к модели в Microsoft Syntex

Метки конфиденциальности в Power BI
3 Обнаружение, маркировка и защита конфиденциальных элементов, находящихся в облачных хранилищах данных (Box, GSuite, SharePoint и OneDrive), с помощью Microsoft Defender for Cloud Apps с метками конфиденциальности.

Пример конфигурации для политики файлов. Ищет кредиты карта номера в файлах, хранящихся в учетной записи Box, а затем применяет метку конфиденциальности для идентификации строго конфиденциальных сведений и их шифрования.
Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
4 Обнаружение, маркировка и защита конфиденциальных элементов, которые находятся в локальных хранилищах данных, путем развертывания сканера защиты информации с помощью меток конфиденциальности. Настройка и установка сканера защиты информации
5 Расширьте метки конфиденциальности до Azure с помощью карты данных Microsoft Purview, чтобы обнаруживать и помечать элементы для хранилища больших двоичных объектов Azure, файлов Azure, Azure Data Lake Storage 1-го поколения и Azure Data Lake Storage 12-го поколения. Маркировка в карте данных Microsoft Purview

Если вы разработчик, который хочет расширить метки конфиденциальности для бизнес-приложений или сторонних приложений SaaS, см. статью Настройка и конфигурация пакета SDK Microsoft Information Protection (MIP).

Дополнительные возможности защиты

Microsoft Purview включает дополнительные возможности для защиты данных. Эти возможности нужны не каждому пользователю, и некоторые из них могут быть заменены более поздними версиями.

Полный список возможностей защиты см. на странице Защита данных с помощью Microsoft Purview .

Защита от потери данных

Обзор защиты от потери данных для решения по защите информации Microsoft Purview

Разверните политики защиты от потери данных Microsoft Purview (DLP), чтобы контролировать и предотвращать ненадлежащее совместное использование, передачу или использование конфиденциальных данных в приложениях и службах. Эти политики помогают пользователям принимать правильные решения и предпринимать правильные действия при использовании конфиденциальных данных.

Шаг Описание Дополнительная информация
1 Дополнительные сведения о защите от потери данных.

Организации имеют под их контролем конфиденциальную информацию, такую как финансовые данные, конфиденциальные данные, кредитные карта номера, медицинские записи и номера социального страхования. Чтобы защитить эти конфиденциальные данные и снизить риск, им необходим способ предотвратить несанкционированный доступ пользователей к ним с пользователями, которым они не должны быть предоставлены. Эта практика называется защитой от потери данных (DLP).
Сведения о защите от потери данных
2 Планирование реализации защиты от потери данных.

Каждая организация будет планировать и внедрять защиту от потери данных по-разному, так как бизнес-потребности каждой организации, цели, ресурсы и ситуация являются уникальными для них. Однако существуют элементы, которые являются общими для всех успешных реализаций защиты от потери данных.
Планирование защиты от потери данных
3 Разработка и создание политики защиты от потери данных.

Создать политику защиты от потери данных (DLP) можно быстро и легко, но получение политики, дающей предполагаемые результаты, может занять много времени, если вам необходимо много настроек. Поимите время на разработку политики перед ее реализацией, чтобы получить нужные результаты быстрее и с меньшим количеством непредвиденных проблем, чем при настройке с помощью проб и ошибок.

Пример конфигурации для политики защиты от потери данных: запрещает отправку сообщений электронной почты, если они содержат кредиты карта номера или адрес электронной почты имеет определенную метку конфиденциальности, которая удостоверяет строго конфиденциальные сведения.
Разработка политики DLP

Ссылка на политику DLP

Создание и развертывание политик защиты от потери данных

4 Настройка политик DLP.

После развертывания политики DLP вы увидите, насколько она соответствует предназначенной цели. Используйте эти сведения для настройки параметров политики для улучшения производительности.
Создание и развертывание политик защиты от потери данных

Стратегии развертывания

Примеры числа кредитов карта часто полезны для начального тестирования и обучения конечных пользователей. Даже если вашей организации обычно не требуется защищать кредиты карта номера, пользователи легко понимают концепцию таких конфиденциальных элементов, которые нуждаются в защите. Многие веб-сайты предоставляют кредиты карта номера, которые подходят только для тестирования. Вы также можете искать сайты, предоставляющие кредитные карта генераторы чисел, чтобы вставить номера в документы и сообщения электронной почты.

Когда вы будете готовы перенести автоматические метки и политики защиты от потери данных в рабочую среду, измените их на классификаторы и конфигурации, подходящие для типа данных, используемых вашей организацией. Например, вам может потребоваться использовать обучаемые классификаторы для интеллектуальной собственности и определенных типов документов или типы конфиденциальной информации точного соответствия данных (EDM) для данных конфиденциальности, связанных с клиентами или сотрудниками.

Или вы можете начать с обнаружения и защиты информации, связанной с ИТ, которая часто является целью атак безопасности. Затем добавьте это, проверив и запретив совместное использование паролей с помощью политик защиты от потери данных для электронной почты и чата Teams:

  • Использование обучаемых классификаторов ИТ- и ИТ-инфраструктуры и сетевых документов по безопасности
  • Используйте встроенный тип конфиденциальной информации Общий пароль и создайте настраиваемый тип конфиденциальной информации для "password is" для различных языков, используемых пользователями.

Развертывание решения для защиты информации — это не линейное развертывание, а итеративное и часто циклическое. Чем больше вы знаете свои данные, тем точнее вы можете пометить их и предотвратить утечку данных. Результаты применения меток и политик передаются на панель мониторинга и средства классификации данных, что, в свою очередь, делает более конфиденциальные данные видимыми для защиты. Или, если вы уже защищаете эти конфиденциальные данные, подумайте, требуются ли дополнительные защитные действия.

Вы можете начать вручную маркировать данные, как только вы определили метки конфиденциальности. Те же классификаторы, которые используются для защиты от потери данных, можно использовать для автоматического поиска и маркировки дополнительных данных. Вы даже можете использовать метки конфиденциальности в качестве классификатора, например блокировать общий доступ к элементам, помеченным как строго конфиденциальные.

У большинства клиентов уже есть некоторые решения для защиты своих данных. Стратегия развертывания может заключаться в том, чтобы опираться на уже имеющиеся у вас возможности или сосредоточиться на пробелах, которые обеспечивают наибольшую ценность для бизнеса или рассматривают области с высоким риском.

Чтобы спланировать уникальную стратегию развертывания, ознакомьтесь со ссылками Начало работы с метками конфиденциальности и Планирование защиты от потери данных.

Рассмотрите возможность поэтапного развертывания

Вы можете развернуть защиту информации с помощью поэтапного развертывания, которое реализует постепенно ограничивающие элементы управления. Этот подход постепенно вводит новые меры защиты для пользователей по мере того, как вы ознакомитесь с технологией и получите уверенность в ней. Например:

  • От меток по умолчанию и без шифрования до рекомендаций меток, которые применяют шифрование при обнаружении конфиденциальных данных, а затем автоматического применения меток при обнаружении конфиденциальных данных.
  • Политики защиты от потери данных, которые переходя от аудита действий чрезмерного совместного использования, до более ограничительных блокировок с предупреждением для обучения пользователей, а затем блокируют весь общий доступ.

Сведения о таком поэтапном развертывании могут выглядеть примерно так, как в следующем плане, где метки конфиденциальности и политики защиты от потери данных становятся более интегрированными друг с другом, чтобы обеспечить большую защиту данных, чем если бы они использовались независимо:

Концептуальный рисунок для поэтапного развертывания, в котором метки конфиденциальности и политики защиты от потери данных становятся более интегрированными, а элементы управления — более ограниченными.

Конфигурации меток конфиденциальности:

  • Общие\Все сотрудники: метка по умолчанию для электронной почты. Без шифрования. Если применяется к электронной почте, запретить пользователям чрезмерный общий доступ.
  • Конфиденциально\Все сотрудники: метка по умолчанию для документов. Без шифрования. Если применяется к электронной почте, запретить пользователям чрезмерный общий доступ.
  • Строго конфиденциальный\Все сотрудники: без шифрования. Если применяется к электронной почте, запретить пользователям чрезмерный общий доступ.

Политика защиты от потери данных A:

  • Если найдено 1–2 экземпляра кредитных карт, блокируйте внешний общий доступ, за исключением случаев, когда элемент помечен как Личный или Конфиденциальный\Любой (неограниченный). Используйте ведение журнала и создание отчетов для анализа.

Политика защиты от потери данных B:

  • При обнаружении 3–9 экземпляров кредитных карт блокируйте внешний общий доступ, исходящий облачный трафик и копирование на съемные диски, за исключением случаев, когда элемент помечен как Конфиденциальный\Любой (неограниченный). Используйте ведение журнала и создание отчетов для анализа.

Политика защиты от потери данных C:

  • При обнаружении более 10 экземпляров кредитных карт блокируйте внешний общий доступ, исходящий облачный трафик и копирование на съемные диски без исключений. Используйте ведение журнала и создание отчетов для анализа.

Сведения о конфигурации для этого примера поэтапного развертывания:

Обучающие ресурсы

Интерактивные руководства: Защита информации Microsoft Purview

Обучающие модули для консультантов и администраторов:

Чтобы научить пользователей применять и использовать настроенные для них метки конфиденциальности, см. Документацию для конечных пользователей о метках конфиденциальности.

При развертывании политик защиты от потери данных для Teams вы можете найти следующие рекомендации для конечных пользователей полезными в качестве введение в эту технологию. Он включает в себя некоторые потенциальные сообщения, которые могут увидеть пользователи: сообщения Teams о защите от потери данных (DLP) и политиках соответствия требованиям к обмену данными.