Технологические предварительные требования для использования Защита информации Microsoft Purview для обеспечения соответствия австралийского правительства требованиям PSPF
Статья
В этой статье приводятся рекомендации для австралийских государственных организаций по службам и компонентам, которые должны быть развернуты в организации, чтобы наилучшим образом использовать метки конфиденциальности и другие возможности Microsoft Purview. Его цель — помочь организациям разобраться в предварительных требованиях для развертывания Защита информации Microsoft Purview в соответствии с требованиями, изложенными в разделе Защита политики безопасности (PSPF) и Руководстве по информационной безопасности (ISM).
Чтобы наилучшим образом использовать конфигурации, описанные в этом руководстве, организациям следует реализовать следующий основной набор служб Microsoft 365:
Exchange Online.
Клиенты Microsoft Office Online или Приложения Microsoft 365 Office
SharePoint Online
Microsoft Teams
Конфигурации, обсуждаемые в этом руководстве, относятся к маркировке и классификациям вплоть до PROTECTED. Организации также должны использовать требования среды PROTECTED за область этого руководства.
Поддержка клиентов является ключом к успешной реализации Защита информации Microsoft Purview возможностей. Клиенты, используемые пользователями для взаимодействия с файлами Office, электронной почтой и другими службами, должны быть осведомлены о метке, чтобы упростить применение меток. В этом разделе рассматриваются клиентские версии Microsoft Office, поддерживающие эту интеграцию, и рассматриваются все предварительные требования, необходимые перед развертыванием Purview.
Приложения Microsoft 365 для предприятий
Приложения Microsoft 365 для бизнеса — это версия Microsoft Office, которая позволяет интегрироваться с набором служб Microsoft 365. Так как Microsoft 365 — это облачная служба, которая постоянно развивается, Приложения Microsoft 365 версия клиента Office получает высокую частоту обновлений в соответствии с облачной платформой. Такая интеграция между клиентом Office и облачными службами Microsoft 365 позволяет сделать пользователям более широкий набор функций, чем это возможно через автономные клиенты Office. Традиционные клиенты предлагают статический набор функций и получают обновления для системы безопасности, но обычно не получают доступ к недавно выпущенным возможностям или возможностям, ориентированным на облако.
Ранее организации, использующие традиционные клиенты Office, использовали клиент единой метки Azure Information Protection (AIP) для включения выбора меток на клиентах, отличных от Приложения Microsoft 365. AIP заменена возможностями клиента в сборке Приложения Microsoft 365.
Защита информации Microsoft Purview клиентские функции, которые по-прежнему актуальны в AIP, по-прежнему поддерживаются. К ним относятся расширения оболочки Windows, средство проверки информационной защиты, средство маркировки файлов и средство просмотра защиты информации. Дополнительные сведения об этих возможностях см. в статье Расширение меток конфиденциальности в Windows.
Поддержка клиентов Mac, iOS и Android
Новые функции Purview обычно становятся доступными для windows Приложения Microsoft 365 версии Office, а затем для других версий Office. Сведения о состоянии возможностей версий клиентов см. в разделе Минимальные версии меток конфиденциальности в разных клиентах. Организации, развертывающие Microsoft 365, должны оценивать эти сведения, чтобы убедиться, что все необходимые возможности доступны в версиях, используемых организацией.
Веб-клиенты Microsoft 365
В разделе Минимальные версии меток конфиденциальности в Приложения Microsoft 365 таблицах многие функции Purview перечислены как "Да — согласие" для веб-версии клиентов Office. Эта формулировка предназначена для того, чтобы сформулировать, что функции доступны, но для определенных сценариев потребуется включение. Например, возможность применения метки к файлу или электронной почте включена по умолчанию для веб-клиентов Office и Outlook, но ее необходимо включить, прежде чем метки можно будет применить к сайтам SharePoint. Таким образом, веб-сайт указан как "согласие" на эту функцию. Функции, перечисленные как "на рассмотрении", обычно являются новыми и все еще находятся в разработке для веб-платформы.
Также стоит отметить, что некоторые веб-браузеры, такие как Microsoft Edge Chromium, Chrome и Firefox, имеют Защита от потери данных Microsoft Purview возможности, встроенные в продукт или доступные через надстройку. Эти возможности защиты от потери данных предотвращают потерю классифицированных или иным образом конфиденциальных элементов безопасности, поэтому их следует рассмотреть для развертывания.
Совет
В рамках настройки защиты от потери данных организации должны использовать клиент с поддержкой защиты от потери данных. См. раздел Условный доступ , чтобы узнать, как реализовать эту возможность в рамках essential 8.
Определение требований клиента
Основная часть требований политики 8 платформы политики безопасности (PSPF), включая три основных требования, связаны с выявлением конфиденциальной информации или средствами управления, которые зависят от первой идентификации конфиденциальной информации. Клиентские приложения, которые понимают требование пользователя применять маркировку к элементам, могут помочь нам выполнить требования, заставляя пользователей применять маркировку во время создания элемента. После маркировки можно применить операционные элементы управления для защиты заключенного содержимого элемента. В этой статье мы будем называть такую конфигурацию как "Обязательные метки". В Microsoft 365 это в первую очередь достигается с помощью параметра политики меток, который обсуждается в обязательной маркировке.
В качестве примера важности обязательной маркировки рассмотрим сообщение электронной почты, которое было отправлено, но без применения защитной маркировки. Это может произойти из-за отсутствия поддержки клиентов. В таких ситуациях мы должны предположить, что у пользователя не было возможности оценить конфиденциальность вложенной информации (согласно политике PSPF 8. Основное требование 2). Поскольку этот элемент является высоким риском с точки зрения утечки данных, следует применять такие элементы управления ISM, как ISM-0565:
Требование
Detail (Сведения)
ISM-0565 (июнь 2024 г.)
Email серверы настроены для блокировки, ведения журнала и отправки сообщений электронной почты с недопустимой защитной маркировкой.
Применение защитной маркировки или метки конфиденциальности обеспечивает уверенность в том, что конфиденциальность элемента была оценена владельцем или создателем содержимого, и позволяет соответствующим образом контролировать содержащуюся информацию.
Параметры принудительного применения меток могут применяться только клиентами, которые знают о политиках меток Microsoft Purview организации. Поэтому следует рассмотреть вопрос о том, чтобы пользователи имели доступ только к службам через клиенты, поддерживающие политики меток Microsoft Purview. Для этого необходимо реализовать политику условного доступа.
Обязательная маркировка на месте гарантирует, что пользователь не сможет отправить сообщение без метки. Однако существуют сценарии, в которых организация создает электронную почту без меток, в том числе созданную приложениями или многофункциональными устройствами и сканерами. Чтобы применить конфигурацию, требующую маркировки всех сообщений электронной почты, организации могут реализовать элементы управления, которые блокируют передачу сообщений электронной почты, созданных пользователем, без соответствующей маркировки. Сведения о реализации этих элементов управления см. в разделе Блокирование передачи электронной почты без меток.
Интеграция с PDF
Клиенты Приложения Microsoft 365 под управлением Windows включают возможность хранения меток, применяемых к документам Office при их экспорте или сохранении в pdf-файлах. Эти PDF-файлы поддерживают параметры защиты исходных файлов Office, включая шифрование.
Государственные организации должны развертывать и использовать pdf-клиенты или подключаемые модули клиентов с поддержкой меток. Такие клиенты помогают поддерживать четкую идентификацию конфиденциальной информации и применять элементы управления при экспорте элементов в PDF.
Дополнительные сведения об этих возможностях можно найти по следующим ссылкам:
Для базового использования возможностей Purview Information Protection требуется как минимум лицензия E3. Однако большинству государственных организаций необходимо использовать Microsoft 365 E5 (или эквивалентные надстройки соответствия E5) для зрелого использования возможностей Purview.
В следующей таблице содержится подмножество распространенных вариантов использования для государственных организаций и их минимальная необходимая лицензия для выполнения этого варианта использования.
Вариант использования
Лицензия
Вручную примените метку конфиденциальности к элементам.
E3
Запретить распространение помеченных элементов среди несанкционированных пользователей.
E3
Примените маркировку субъектов к помеченным элементам, чтобы указать на конфиденциальность элементов.
E3
Автоматическое применение меток конфиденциальности на основе меток, применяемых другими организациями.
E5
Мониторинг использования меток в среде и создание отчетов об использовании меток.
E5
Применение меток к собраниям и элементам календаря.
E5
Рекомендуется применять метку конфиденциальности на основе обнаружения конфиденциального содержимого.
E5
Мониторинг и контроль использования помеченных элементов на устройствах.
E5
Определите вредоносных пользователей на основе действий с помеченными или другими конфиденциальными элементами.
E5
Обнаружение конфиденциального содержимого и управление его распространением через чат Teams.
E5
Просмотрите, где в среде находится помеченное и конфиденциальное содержимое.
E5
Как следует из приведенной выше таблицы, государственные организации с лицензированием E3 могут реализовать Purview на базовом уровне и достичь нерегламентированных или развивающихся уровней модели зрелости PSPF. Однако для защиты элементов с помощью элементов управления, относящихся к их конфиденциальности, требуются возможности, включенные в E5 или эквивалентное лицензирование. Организации могут достичь уровня зрелости PSPF для управления или внедрения с помощью E5.
Важным фактором достижения более высокого уровня зрелости соответствия является использование автоматической маркировки конфиденциальности. Автоматическая маркировка позволяет государственным организациям учитывать классификации, которые были применены извне. Если сообщение электронной почты классифицируется и помечается одной сущностью, при отправке во вторую сущность элемент по-прежнему помечается, но по умолчанию не помечен. Поскольку метка отсутствует, она не область ряда элементов управления безопасностью данных на основе меток, таких как политики защиты от потери данных (DLP). Автоматическая маркировка позволяет интерпретировать защитную маркировку (как определено в политике PSPF 8 Приложение F: Австралийское правительство Email стандарт маркировки) по электронной почте по мере ее получения. После интерпретации соответствующая метка применяется во время передачи, гарантируя, что все соответствующие элементы управления применяются к вложенным сведениям, когда они будут получены пользователем.
Продемонстрировать основы безопасности данных, управления жизненным циклом, информационной безопасности и соответствия требованиям для защиты развертывания Microsoft 365.