Защита информации в корпорации Contoso
Contoso серьезно относится к своей информационной безопасности. Утечка или уничтожение интеллектуальной собственности, описывающей их конструкции продукции и методы производства, будут ставить их в невыгодное положение.
Перед перемещением конфиденциальных цифровых ресурсов в облако компания Contoso убедилась, что требования к локальной классификации информации и защите поддерживаются облачными службами Microsoft 365 для предприятий.
Классификация безопасности данных Contoso
Компания Contoso провела анализ своих данных и определила следующие уровни классификации.
| Уровень 1: базовая защита | Уровень 2: защита конфиденциальной информации | Уровень 3: защита строго контролируемой информации |
|---|---|---|
| Данные шифруются и доступны только пользователям, прошедшим проверку подлинности. Предоставляется для всех данных, хранящихся локально и в облачном хранилище и рабочих нагрузках. Данные шифруются при хранении в службе и при перемещении между службой и клиентским устройством. Примеры данных уровня 1: обычная деловая информация (электронная почта) и файлы для администраторов, специалистов по продажам и специалистов службы поддержки. |
Уровень 1 со строгой проверкой подлинности и защитой от потери данных. Строчная проверка подлинности включает Microsoft Entra многофакторную проверку подлинности (MFA) с проверкой SMS. Защита от потери данных Microsoft Purview гарантирует, что конфиденциальная или критическая информация не будет перемещаться за пределы облака Майкрософт. Примеры данных уровня 2: финансовые и юридические сведения, а также данные об исследованиях и разработке новых продуктов. |
Уровень 2 с самыми высокими уровнями шифрования, проверки подлинности и аудита. Самые высокие уровни шифрования хранящихся данных и данных в облаке, которые соответствуют региональным нормативам, в сочетании с многофакторной проверкой подлинности с использованием смарт-карт, детального аудита и оповещений. Примерами данных уровня 3 являются персональные данные клиента и партнера, технические спецификации продукта и собственные методы производства. |
Политики сведений Contoso
В следующей таблице перечислены политики сведений Contoso.
| Значение | Access | Хранение данных | Защита информации |
|---|---|---|---|
| Информация, представляющая малую ценность для бизнеса (уровень 1: базовая информация) | Разрешить доступ всем пользователям. | 6 месяцев | Применение шифрования. |
| Информация, представляющая среднюю ценность для бизнеса (уровень 2: конфиденциальная информация) | Разрешите доступ к сотрудникам, субподрядчикам и партнерам Contoso. Использование многофакторной проверки подлинности, протокола TLS и управления мобильными приложениями (MAM). |
2 года | Использование хэш-значений для обеспечения целостности данных. |
| Информация, представляющая большую ценность для бизнеса (уровень 3: строго контролируемая информация) | Предоставление доступа руководителям и ведущим сотрудникам инженерного и производственного отделов. Система управления правами (RMS), для которой используются только управляемые сетевые устройства. |
7 лет | Использование цифровых подписей для предотвращения отказов. |
Путь Contoso к защите информации с помощью Microsoft 365 для предприятий
Компания Contoso выполнила следующие действия, чтобы подготовить Microsoft 365 для предприятий к требованиям к защите информации:
Определение информации для защиты
Компания Contoso провела обширный обзор существующих цифровых ресурсов, размещенных на локальных сайтах SharePoint и файловых ресурсах, и классифицировала каждый ресурс.
Определение политик защиты информации, политик доступа к ней и ее хранения согласно уровням данных.
На основании определенных уровней данных специалисты компании Contoso разработали подробные требования к политикам, используемым для защиты имеющихся цифровых активов после перемещения их в облако.
Создание меток конфиденциальности и их параметров для различных уровней информации
Компания Contoso создала метки конфиденциальности для своих уровней данных с использованием метки для строго контролируемой информации, включающей шифрование, разрешения и водяные знаки.
Перемещение данных с локальных сайтов SharePoint и общих папок на новые сайты SharePoint
Специалисты компании перенесли файлы на новые сайты SharePoint, которые унаследовали метки хранения, используемые по умолчанию и назначенные сайтам.
Обучение сотрудников использованию меток конфиденциальности для новых документов, взаимодействию с ИТ-отделом Contoso при создании новых сайтов SharePoint и постоянному хранению цифровых ресурсов на сайтах SharePoint
Изменение неправильных привычек хранения информации для работников часто считается самой сложной частью перехода к защите информации в облаке. ИТ-отделу и управлению Компании Contoso необходимо заставить сотрудников всегда маркировать и хранить свои цифровые ресурсы в облаке, воздерживаться от использования локальных общих папок и не использовать сторонние облачные службы хранилища или USB-накопители.
Политики условного доступа для защиты информации
В рамках развертывания Exchange Online и SharePoint компания Contoso настроили следующий набор политик условного доступа и применили их к соответствующим группам:
- Управляемый и неуправляемый доступ к приложениям в политиках для устройств
- Политики доступа Exchange Online
- Политики доступа SharePoint
Ниже приведен результирующий набор политик Contoso для защиты информации.
Примечание.
Кроме того, в компании Contoso настроили дополнительные политики условного доступа для удостоверений и входа. См. статью Удостоверение для корпорации Contoso.
Эти политики выполняют указанные ниже функции.
- Разрешенные приложения и действия, которые они могут выполнять с данными организации, определяются политиками защиты приложений.
- ПК и мобильные устройства должны соответствовать требованиям.
- Exchange Online использует шифрование сообщений Office 365 (OME) для Exchange Online.
- SharePoint использует ограничения, применяемые приложениями.
- В SharePoint используются политики условного доступа, разрешающие доступ только из браузера и блокирующие доступ для неуправляемых устройств.
Сопоставление Microsoft 365 для корпоративных функций с уровнями данных Contoso
В следующей таблице уровни данных Contoso сопоставлены с функциями защиты информации в Microsoft 365 для предприятий.
| Level | Облачные службы Microsoft 365 | Windows 11 и Приложения Microsoft 365 для предприятий | Безопасность и соответствие требованиям |
|---|---|---|---|
| Уровень 1: базовая защита | Политики условного доступа для SharePoint и Exchange Online Разрешения на сайтах SharePoint |
Метки конфиденциальности BitLocker Windows Information Protection |
Политики условного доступа для устройств и политики управления мобильными приложениями |
| Уровень 2: защита конфиденциальной информации | Уровень 1+: Метки конфиденциальности Метки хранения Microsoft 365 на сайтах SharePoint Защита от потери данных для SharePoint и Exchange Online Изолированные сайты SharePoint |
Уровень 1+: метки конфиденциальности для цифровых ресурсов |
Уровень 1 |
| Уровень 3: защита строго контролируемой информации | Уровень 2+: Шифрование и защита информации о коммерческой тайне с помощью собственного ключа (BYOK) Azure Key Vault для бизнес-приложений, взаимодействующих со службами Microsoft 365 |
Уровень 2 | Уровень 1 |
Ниже приведена итоговая конфигурация защиты информации Contoso.
Следующее действие
Узнайте, как компания Contoso использует функции безопасности в Microsoft 365 для предприятий для управления удостоверениями и доступом, защиты от угроз, защиты информации и управления безопасностью.