Предотвращение недопустимого распространения конфиденциальной информации для австралийского правительства в соответствии с PSPF

Цель этой статьи — помочь правительственным организациям Австралии улучшить состояние информационной безопасности. Рекомендации, приведенные в этой статье, были написаны в соответствии с требованиями, изложенными в Рамках политики безопасности защиты (PSPF) и Руководстве по информационной безопасности (ISM).

В этой статье приводятся рекомендации для австралийских государственных организаций по конфигурациям, чтобы снизить риск неуместного раскрытия конфиденциальной информации через службы Microsoft 365. В этой статье рассматриваются конфигурации, которые должны быть реализованы в дополнение к тем, которые описаны в разделе Предотвращение недопустимого распространения секретной информации безопасности. Причина этого заключается в том, что метка конфиденциальности или классификация безопасности не всегда являются лучшим методом определения конфиденциальности элементов.

Утверждение внешней организации для доступа к секретной информации безопасности автоматически не предполагает, что все пользователи в организации должны знать об этом. Государственные организации должны применять конфигурации, обеспечивающие детальную видимость и контроль над потоком конфиденциальной информации, независимо от элементов управления, ориентированных на метки конфиденциальности или классификации. Эти элементы управления соответствуют политике политики защиты (PSPF) 9, требование 2.

Требование Detail (Сведения)
Требование 2 политики PSPF 9. Ограничение доступа к конфиденциальной и секретной информации и ресурсам Чтобы снизить риск несанкционированного раскрытия информации, сущности должны обеспечить доступ к конфиденциальной и защищенной информации или ресурсам только людям, которым требуется знать.

Помимо того, что необходимо знать, политики защиты от потери данных (DLP) ограничивают распространение конфиденциальной информации. Политики защиты от потери данных, управляющие потоком конфиденциальной информации, дополняют политики, ограничивающие распространение помеченных элементов, обеспечивая дополнительный уровень защиты от потери данных. Примеры того, как подходы на основе содержимого (а не на основе меток) помогают в этом, включают ситуации, когда:

  • Пользователь злонамеренно понижает метку конфиденциальности, применяемую к элементу (как описано в рекомендациях по реклассификации), а затем пытается ее эксфильтровать.
  • Пользователь копирует конфиденциальную информацию из секретного документа и вставляет ее в сообщение электронной почты или чат Teams.
  • Злоумышленник, имеющий доступ через скомпрометированную учетную запись, получает массовые сведения из внутренней службы и пытается вывести их по электронной почте.

В каждом из этих сценариев подходы, которые оценивают фактическое содержимое, а не метку, применяемую к элементам, используются для предотвращения и ограничения утечки данных.

Примечание

Политики для защиты конфиденциальной информации в первую очередь зависят от информации, определяемой как конфиденциальная. Эти понятия подробно рассматриваются при идентификации конфиденциальной информации.

Управление электронной почтой конфиденциальной информации

Австралийские правительственные организации должны обеспечить, чтобы их конфигурации защиты от потери данных касались:

  • Использование предоставленных корпорацией Майкрософт шаблонов политик защиты от потери данных для обнаружения конфиденциальной информации, соответствующей австралийским типам данных.
  • Использование типов конфиденциальной информации (SIT) для обнаружения элементов, которые потенциально классифицируются по безопасности с помощью их защитной маркировки.
  • Использование пользовательских SIT и классификаторов для обнаружения конфиденциальной информации, связанной с инициативами или службами австралийского правительства.

Использование шаблонов политик защиты от потери данных для управления электронной почтой конфиденциальной информации

Примером конфиденциальной информации, которую собирают государственные и федеральные правительственные организации и с которыми работают, является информация о состоянии здоровья. Сведения о хитах можно определить с помощью подходов, описанных в разделе Типы конфиденциальной информации именованных сущностей.

Сведения о работоспособности могут быть надлежащим образом помечены, а элементы управления на основе меток, такие как те, которые включаются в предотвращение неправильного распространения конфиденциальной информации, применяемой к ней . Тем не менее, необходимость знать по-прежнему применяется. Внешние организации, независимо от того, утверждены ли они для доступа к секретной информации, не должны иметь возможность получать или получать такую информацию без необходимости делать это. Дальнейшая детализация необходима для решения проблемы, необходимой для получения необходимых данных.

Следующий пример правила защиты от потери данных используется для предотвращения внешнего распространения записей работоспособности. В этом примере политики используется шаблон предварительной политики Australia Health Records Act (HRIP Act) Enhanced, который был изменен для применения к службе Exchange только таким образом, чтобы применялись ограничения на основе получателей.

Этот шаблон политики, а не просто поиск сведений о состоянии здоровья, направлен на выявление сочетаний сведений о работоспособности с другими типами информации. Другие типы сведений, которые, скорее всего, будут означать записи о работоспособности, включают имя, адрес и другие личные идентификаторы.

Пример связывания именованных сущностей SIT с другими значениями.

Шаблоны политик, предоставляемые корпорацией Майкрософт, позволяют определять действия политики с небольшим объемом и большим объемом. По умолчанию для небольшого тома настроено от 1 до 9 вхождений, а для большого тома — более 10 вхождений. Эти пороговые значения можно дополнительно настроить.

Внешние организации, которым необходимо знать информацию, могут быть добавлены в список утвержденных доменов с помощью списка исключений ПРАВИЛА NOT .

Имя правила Условия Действие
Низкий объем содержимого обнаружен Законом о медицинских записях Австралии Содержимое предоставляется из Microsoft 365.
С людьми за пределами моей организации
AND
Содержимое содержит любой из:
- Номер налогового файла Австралии (от 0 до 9)
- Номер медицинского счета Австралии (от 0 до 9)
- Физические адреса Австралии (от 0 до 9)
AND
Содержимое содержит:
- Все полные имена (от 0 до 9)
AND
Содержимое содержит:
- Все медицинские условия (от 0 до 9)
AND Group NOT
Домен получателя:
- Список доменов, утвержденных для получения сведений о работоспособности
Уведомляйте пользователей с помощью электронной почты и советов по политике.

Настройте подсказку политики:
"Получатель этого сообщения электронной почты из организации, которая не авторизована на получение сведений о состоянии здоровья. Это сообщение электронной почты блокируется, если неавторизованные получатели не будут удалены из поля в . Если это неправильно, обратитесь в службу поддержки, чтобы обсудить свое требование".

Настройте более низкую степень серьезности инцидентов и соответствующие параметры уведомлений.
Большое количество содержимого обнаружено Законом о медицинских записях Австралии Содержимое предоставляется из Microsoft 365.
С людьми за пределами моей организации
AND
Содержимое содержит любой из:
- Номер налогового файла Австралии (от 10 до любого)
- Номер медицинского счета Австралии (от 10 до любого)
- Физические адреса Австралии (от 10 до любых)
AND
Содержимое содержит:
- Все полные имена (от 10 до любых)
AND
Содержимое содержит:
- Все медицинские условия (от 10 до любой)
AND Group NOT
Домен получателя:
- Список доменов, утвержденных для получения сведений о работоспособности
Уведомляйте пользователей с помощью электронной почты и советов по политике.

Настройте подсказку политики:
"Получатель этого сообщения электронной почты из организации, которая не авторизована на получение сведений о состоянии здоровья. Это сообщение электронной почты блокируется, если неавторизованные получатели не будут удалены из поля в . Если это неправильно, обратитесь в службу поддержки, чтобы обсудить свое требование".

Настройте высокий уровень серьезности инцидента и соответствующие параметры уведомлений.

Значительное преимущество такого правила защиты от потери данных заключается в том, что если злоумышленник или скомпрометированный учетная запись пытается эксфильтровать массовое количество записей о работоспособности в неутвержденный домен электронной почты, действие блокируется и администраторы уведомляются. Организация может распространить эти элементы управления на внутренних пользователей, чтобы гарантировать, что внешние пользователи, участвующие в несвязанных бизнес-функциях, не могут получать сведения о работоспособности такого типа. Можно также создать другие правила, которые применяют те же элементы управления к пользователям в моей организации. Эти правила могут использовать внутреннюю группу для исключений, а не список внешних доменов.

Примечание

Чтобы применить условия защиты от потери данных, доступные для службы Exchange, например домен получателя, шаблоны политик применяются только к службе Exchange. Это означает, что каждый шаблон политики используется несколько раз, по одному разу для каждой службы. Например:

  1. Закон о медицинских записях Австралии расширен для Exchange
  2. Закон о медицинских записях Австралии расширен для SharePoint и OneDrive
  3. Закон о записи здоровья Австралии улучшен для обмена сообщениями в чате и каналах Teams

Корпорация Майкрософт предоставила готовые шаблоны политик защиты от потери данных, которые должны быть рассмотрены австралийскими государственными организациями для реализации:

  • Расширенный закон о конфиденциальности Австралии
  • Закон о медицинских записях Австралии улучшен
  • Финансовые данные для Австралии
  • Standard безопасности данных PCI — PCI DSS
  • Персональные данные для Австралии

Управление электронной почтой помеченных сведений с помощью защиты от потери данных

Метки конфиденциальности следует использовать в качестве ключевого индикатора конфиденциальности элементов. В большинстве случаев методы защиты информации, основанные на примененных метках, которые охватываются предотвращением неправильного распространения конфиденциальной информации, обеспечивают адекватную защиту. Однако следует также рассмотреть ситуации, когда:

  • Содержимое копируется из классифицированного элемента.
  • Элементы получаются от внешних государственных организаций и помечаются, но еще не помечены.
  • Элементы были созданы до развертывания меток конфиденциальности и к ним еще не применены метки.

В ситуациях, когда элементы еще не помечены, для применения меток к элементам можно использовать сочетание автоматической маркировки на основе клиента и автоматической маркировки на основе служб . Клиентские рекомендации применяются, когда пользователь открывает файл. Автоматические метки индексов и неактивных элементов меток на основе служб.

Чтобы еще больше увеличить уровни защиты, методы идентификации содержимого, как показано в примере синтаксиса SIT для обнаружения защитной маркировки, можно использовать для поиска защитной маркировки. После определения защиты можно применять к элементам, которые соответствуют классификации безопасности, связанной с маркировкой. Это позволяет защитить элементы в ситуациях, когда пользователи игнорируют рекомендации по меткам клиента или автоматические метки на основе служб еще не обработаны.

Совет

Австралийские правительственные организации должны реализовать политику защиты от потери данных, которая проверка для маркировки в электронной почте. Необходимо создать политики, предназначенные для маркировки PROTECTED и OFFICIAL: Sensitive. К подмножествам можно применить дополнительную конфигурацию, например маркировку с помощью предупреждения CABINET.

Например, следующее правило защиты от потери данных применяется только к службе Exchange. Это правило определяет защищенные маркировки по электронной почте, а затем предотвращает ее получение всеми организациями, кроме утвержденных.

Примечание

Это правило является копией примера, приведенного в примере DLP Rule: Block PROTECTED электронной почты для неутвержденных организаций. Однако он использует SIT в условиях политики, а не метки конфиденциальности. Он включает исключения, которые гарантируют, что он не активируется для помеченных элементов, которые также, скорее всего, будут содержать соответствующие SIT.

Условия Действие
Содержимое предоставляется из Microsoft 365.
с людьми за пределами моей организации
AND
Содержимое содержит тип конфиденциальной информации:
- Выбор всех ЗАЩИЩЕННЫХ SIT
AND Group NOT
Содержимое содержит метку конфиденциальности:
- Выбор всех защищенных меток
AND Group NOT
Домен получателя:
- Список доменов, утвержденных для получения защищенной электронной почты
Ограничьте доступ или зашифруйте содержимое в расположениях Microsoft 365:
- Запретить пользователям получать электронную почту или доступ к ней
- Блокировать всех

Настройте подсказку политики:
"Получатель этого сообщения электронной почты из организации, которая не авторизована на получение защищенной информации. Это сообщение электронной почты блокируется, если неавторизованные получатели не будут удалены из поля в . Если это неправильно, обратитесь в службу поддержки, чтобы обсудить свое требование".

Настройте соответствующие параметры серьезности инцидентов и параметров уведомлений.

Последствия для вредоносного понижения уровня меток

Подход корпорации Майкрософт к классификации безопасности позволяет пользователям изменять метку конфиденциальности, применяемую к элементам. Эта возможность соответствует требованию 3 политики PSPF 8, которое рассматривается в рекомендациях по реклассификации.

Требование Detail (Сведения)
Требование 3 политики PSPF 8. Деклассификация (версия 2018.6) Инициатор должен по-прежнему отвечать за контроль за очисткой, реклассификацией или рассекречиванием информации. Сущность не должна удалять или изменять классификацию информации без утверждения инициатора.

Email разговоры, в которых участвуют представители австралийского правительства, имеют защитные заготовки, применяемые к ним. Они присутствуют в x-заголовках сообщений электронной почты, а также в маркировке темы и текстовой визуальной маркировке на протяжении всего журнала бесед.

Если классификация, применяемая к беседе по электронной почте, понижена, например с "PROTECTED Personal Privacy" на "UNOFFICIAL", она активирует обоснование изменения меток, создает проверяемые события и далее учитывается в управлении внутренними рисками (IRM). После этого ранее примененная маркировка темы и визуальная маркировка на основе текста можно определить в предыдущих ответах электронной почты через SIT. Например, SIT со следующим регулярным выражением определяет "PROTECTED // Личная конфиденциальность" в заголовке электронной почты и [SEC=PROTECTED, Access=Personal-Privacy] в маркировке темы:

PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy

Пример правил защиты от потери данных, представленных в предыдущем разделе (управление электронной почтой помеченных сведений с помощью DLP), определяет элемент как PROTECTED и блокирует кражу независимо от примененной метки конфиденциальности. Тщательный порядок политики защиты от потери данных наряду с соответствующими действиями отчетности также позволяет создавать ситуации, когда сообщение электронной почты блокируется из-за sit, а не помечается группами безопасности как приоритетный инцидент.

Альтернативным способом решения проблемы с более ранней версией будет реализация политики, которая проверяет примененную метку на наличие меток, которые могут быть обнаружены в тексте сообщения электронной почты. Например, Содержит метку конфиденциальности UNOFFICIAL, OFFICIAL, OFFICIAL: SensitiveANDСодержит тип конфиденциальной информации PROTECTED. Такие случаи постепенного понижения уровня указывают на недопустимое понижение метки и требуют дальнейшего исследования. Политики защиты от потери данных, использующие такой условный режим, также предоставляют метод ism-1089:

Требование Detail (Сведения)
ISM-1089 (версия 2018.6) Средства защитной маркировки не позволяют пользователям, отвечающим или пересылающим сообщения электронной почты, выбирать защитные маркировки ниже, чем ранее.

Примечание

Блокирование распространения информации на основе защитной маркировки, а не метки конфиденциальности, обеспечивает преимущества с точки зрения безопасности данных, но может привести к ситуациям, когда элементы, для которых были намеренно снижены классификации, блокируются от распространения. Создание бизнес-правил для повторного рассекречивания и использование действий политики защиты от потери данных , которые позволяют переопределить при наличии бизнес-требований для этого.

Управление электронной почтой пользовательских SIT через DLP

Методы идентификации информации, такие как пользовательские типы конфиденциальной информации и другие возможности, обсуждаемые при идентификации конфиденциальной информации, предоставляют средства для обнаружения конфиденциальной информации, относящегося к отдельной организации. SiT и обучаемые классификаторы создаются для удовлетворения конкретных требований австралийского правительства к защите информации. Затем эти SIT используются в политиках защиты от потери данных, которые управляют распределением элементов, содержащих идентифицированную информацию.

Примером требования, распространенного в австралийских правительственных организациях, является необходимость защиты подотчетных материалов, таких как информация, относящаяся к конфиденциальным кодовым словам или инициативам. Для этого можно создать SIT или набор SIT, содержащий список ключевых слов или терминов. Затем этот sit можно использовать в политике защиты от потери данных, чтобы предупреждать пользователей, потенциально требуя, чтобы они вводили бизнес-обоснование перед отправкой, или прямо блокировали обмен данными.

Следующий пример правила защиты от потери данных применяется к службе Exchange. Он обнаруживает сообщения электронной почты, содержащие конфиденциальные кодовые слова, и при обнаружении отображает подсказку политики для пользователей. Пользователи должны предоставить бизнес-обоснование и подтвердить предупреждения перед отправкой сообщения электронной почты.

Условия Действие
Содержимое предоставляется из Microsoft 365.
С людьми за пределами моей организации
AND
Содержимое содержит тип конфиденциальной информации:
- Конфиденциальные кодовые слова SIT
Настройте подсказку политики:
"Это сообщение содержит конфиденциальный термин, который может не подходить для указанного получателя. Перед отправкой убедитесь, что все получатели имеют право доступа к вложенным сведениям".

Разрешить пользователям переопределять ограничения политики:
- Требовать бизнес-обоснования для переопределения
- Требовать от конечного пользователя явного подтверждения переопределения

Настройте соответствующие параметры серьезности инцидентов и параметров уведомлений.

Ограничение внешнего чата, содержащего конфиденциальный контент

Политики защиты от потери данных можно настроить для применения к сообщениям чата и канала Teams. Эта конфигурация наиболее актуальна для организаций, которые реализовали гибкие возможности совместной работы, такие как возможность чата с внешними пользователями. Такие организации стремятся повысить производительность за счет совместной работы, но обеспокоены потерей конфиденциальной информации с помощью таких способов совместной работы, как чат Teams и обмен сообщениями через каналы.

Примечание

Политики защиты от потери данных для Exchange и Microsoft Teams могут ориентироваться на определенные домены получателей или исключать их. Это позволяет применять исключения на основе домена, помогая обеспечить необходимость в знаниях и согласовании с требованием 2 политики PSPF 9.

Подходы к защите от потери данных для Teams должны:

  • Используйте предоставленные корпорацией Майкрософт шаблоны политик защиты от потери данных для обнаружения конфиденциальной информации, имеющей отношение к австралийским типам данных.

    Корпорация Майкрософт предоставила шаблоны политик защиты от потери данных, как показано при использовании шаблонов политик защиты от потери данных для управления электронной почтой конфиденциальной информации, которые должны использоваться для идентификации и защиты конфиденциальной информации от передачи через Teams.

  • Включите использование SIT для обнаружения защитной маркировки, которая, возможно, была вставлена из классифицированных элементов в приложение Teams.

    Наличие защитной маркировки в чате Teams указывает на недопустимое раскрытие информации. Политика, продемонстрированная в контроле электронной почты помеченных сведений с помощью защиты от потери данных , определяет конфиденциальную информацию с помощью защитной маркировки. Если аналогичная конфигурация политики была применена к Teams, она могла бы идентифицировать маркировку, которая была вставлена в чат Teams. Например, содержимое из классифицированного обсуждения по электронной почте, определяемое с помощью заголовков, нижних колонтитулов или меток темы, которые могут присутствовать в этих текстовых данных.

  • Используйте пользовательские SIT и классификаторы для обнаружения конфиденциальной информации, связанной с инициативами или службами австралийского правительства.

    Пользовательские SIT используются для идентификации конфиденциальных ключевых слов или терминов, используемых в чате Teams или обмене сообщениями в каналах. Предоставленный пример управления электронной почтой пользовательских SIT через DLP можно применить к службе Teams.

Мониторинг внешнего чата с помощью соответствия требованиям к обмену данными

Соответствие требованиям к обмену данными предлагает альтернативный подход к защите от потери данных, при котором события не обязательно блокируются, но нарушения политики помечаются для проверки. Затем администраторы могут просматривать совпадения политик, чтобы лучше понять полный контекст ситуации и проанализировать целесообразность в соответствии с политиками организации.

Политики соответствия требованиям к обмену данными можно настроить для просмотра исходящих чатов, содержащих сочетания SIT. Эти политики могут реплицировать сочетания SIT, относящиеся к австралийским типам данных, которые используются при использовании шаблонов политик защиты от потери данных для управления электронной почтой конфиденциальной информации.

Примечание

Соответствие требованиям к обмену данными включает функцию оптического распознавания символов (OCR ), которая позволяет экранировать отсканированные документы на наличие конфиденциальной информации.

Управление общим доступом к конфиденциальной информации с помощью защиты от потери данных

Метки конфиденциальности являются основным методом идентификации конфиденциальной информации. Элементы управления защитой от потери данных на основе меток, как описано в статье о предотвращении совместного использования конфиденциальной информации, должны рассматриваться как основной метод защиты от потери данных для действий по совместному использованию. В многоуровневом подходе Microsoft Purview политики защиты от потери данных можно дополнительно настроить для идентификации конфиденциального содержимого в элементах. После идентификации содержимого можно применять ограничения общего доступа независимо от метки конфиденциальности элемента. При этом рассматриваются ситуации, в которых:

  • Элементы были помечены неправильно.
  • Элементы были получены от внешних государственных организаций и помечены, но еще не помечены.
  • Элементы, созданные до развертывания меток конфиденциальности и к которым еще не применены метки.

Примечание

Схема ASD для Secure Cloud содержит рекомендации по настройке общего доступа SharePoint. В этом совете рекомендуется ограничить все ссылки для общего доступа только для пользователей в вашей организации.

Австралийские государственные организации должны рассмотреть политики защиты от потери данных, применяющиеся к службам SharePoint и OneDrive, которые:

  • Включите использование SIT для обнаружения элементов, содержащих защитную маркировку.

    Защитная маркировка предоставляет метод резервного копирования для идентификации чувствительности элементов. Политики защиты от потери данных настраиваются с помощью sit, приведенных в примере синтаксиса SIT, для обнаружения защитных маркировк, обеспечивающих соответствие классификациям безопасности (OFFICIAL: Sensitive и PROTECTED). К элементам, содержащим эти маркировки, применяются ограничения на общий доступ.

  • Используйте предоставленные корпорацией Майкрософт шаблоны политик защиты от потери данных для обнаружения конфиденциальной информации, имеющей отношение к австралийским типам данных.

    Корпорация Майкрософт предоставила шаблоны политик защиты от потери данных, как показано в использовании шаблонов политик защиты от потери данных для управления электронной почтой конфиденциальной информации, идентификации и защиты конфиденциальной информации, совместно используемой в SharePoint или OneDrive. Шаблоны политики, относящиеся к австралийскому правительству, включают:

    • Расширенный закон о конфиденциальности Австралии
    • Закон о медицинских записях Австралии улучшен
    • Финансовые данные для Австралии
    • Standard безопасности данных PCI — PCI DSS
    • Персональные данные для Австралии
  • Используйте пользовательские SIT и классификаторы для обнаружения конфиденциальной информации, связанной с инициативами или службами австралийского правительства.

    Пользовательские SIT используются для идентификации конфиденциальных ключевых слов или терминов, включенных в элементы, к которым предоставляется общий доступ через SharePoint или OneDrive. Приведенный пример управления электронной почтой пользовательских SIT с помощью защиты от потери данных может применяться к службам SharePoint и OneDrive.

Мониторинг совместного использования конфиденциальной информации с Defender for Cloud Apps

Microsoft Defender for Cloud Apps обеспечивает защиту приложений SaaS (программное обеспечение как услуга), включая онлайн-приложения и службы онлайн-хранилища.

Конфигурация общего доступа к SharePoint позволяет настроить список доменов, которые утверждены для получения ссылок для общего доступа, и настроен в соответствии с требованием 1 политики PSPF 9:

Требование Detail (Сведения)
Политика PSPF 9. Требование 1 . Формализованные соглашения об обмене информацией и ресурсами При раскрытии секретной информации или ресурсов безопасности лицу или организации за пределами правительства организации должны иметь соглашение или соглашение, например контракт или дело, регулирующее использование и защиту информации.

С помощью Defender for Cloud Apps мы можем расширить возможности мониторинга защиты от потери данных. Например, создается политика для проверка для общего доступа к элементам, которые включают сочетание SIT на анонимные адреса электронной почты. Администраторы могут удалять разрешения на общий доступ для внешних пользователей и выполнять различные действия по составлению отчетов.

Defender for Cloud Apps также предоставляет некоторые статистические отчеты, оповещая команды администрирования пользователям с аномально высоким уровнем нарушений политики.

Дополнительные сведения об использовании Defender for Cloud Apps для мониторинга или контроля действий общего доступа см. в разделе Политики файлов в Microsoft Defender for Cloud Apps.

Мониторинг конфиденциальной информации с помощью управления внутренними рисками

Управление внутренними рисками — это решение для обеспечения соответствия требованиям, которое помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать вредоносные и непреднамеренные действия в организации, а также принимать меры в отношении них.

Дополнительные сведения об управлении внутренними рисками см. в статье Об управлении внутренними рисками.

Мониторинг совместного использования конфиденциальной информации и действия по вхождениям потенциального несанкционированного раскрытия согласуются с требованием 2 политики PSPF 9:

Требование Detail (Сведения)
Требование 2 политики PSPF 9. Ограничение доступа к конфиденциальной информации и ресурсам Чтобы снизить риск несанкционированного раскрытия информации, сущности должны обеспечить доступ к конфиденциальной информации или ресурсам, которые предоставляются только людям с необходимой информацией.

Управление внутренними рисками записывает статистику действий пользователей по рискам и предоставляет метрики группам безопасности, что позволяет им дополнительно исследовать события риска.

Политики управления внутренними рисками можно настроить так, чтобы сосредоточиться на действиях, связанных с конфиденциальной информацией. Действия могут включать обнаружение последовательности риска, например кражу данных путем ухода пользователей и утечку данных пользователями, которые рискуют.

Политики управления внутренними рисками также настраиваются для согласования с политиками защиты от потери данных, например с политиками, предложенными в этой статье. Подозрительные действия, связанные с конфиденциальной информацией, могут сообщаться группам безопасности или автоматически устраняться с помощью адаптивной защиты.

Управление конфиденциальной информацией с помощью адаптивной защиты

IRM интегрируется с политиками защиты от потери данных Microsoft Purview с помощью функции адаптивной защиты. IRM определяет пользователей, которые считаются рискованными из-за того, что они постоянно активируют настроенные политики. Адаптивная защита автоматически накладывает ограничения на определенных рискованных пользователей, что позволяет снизить некоторые риски до тех пор, пока команды безопасности не смогут провести расследование.

При использовании таким образом адаптивная защита согласуется с требованием 3 политики PSPF 8:

Требование Detail (Сведения)
Политика PSPF 8. Основное требование 3 Реализация операционных элементов управления для этих информационных запасов пропорционально их значению, важности и конфиденциальности