Microsoft Purview Information Protection-Programmansatz für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel wird als Teil des Informationsschutzleitfadens der australischen Regierung bereitgestellt und soll Organisationen dabei helfen, in den verschiedenen Szenarien und Konfigurationsoptionen zu navigieren, die im Leitfaden beschrieben werden. Der in diesem Artikel beschriebene Ansatz umfasst mehrere inkrementelle Projektphasen, die Organisationen dabei unterstützen sollen, ihre PsPF-Reife (Protective Security Policy Framework) schnell zu verbessern, während sie die Programmphasen durchlaufen.
Der hier aufgeführte Ansatz umfasst auch Datensicherheitskontrollen, die für die Einhaltung des Informationssicherheitshandbuchs (Information Security Manual, ISM) entscheidend sind.
Phase 1: Microsoft Purview-Grundlagen
Gewünschte Ergebnisse – Microsoft Purview-Grundlagen
Der Zweck der ersten Phase besteht darin, eine Reihe von anfänglichen Microsoft Purview-Konfigurationen einzurichten, die es Ihrer Organisation ermöglichen, die PsPF-Richtlinie 8 Core-Anforderungen zu erfüllen, indem Benutzer vertrauliche oder sicherheitsrelevante Informationen bewerten und markieren können. Phase 1 implementiert auch einen Basissatz von Betriebskontrollen, die Informationen basierend auf der Vertraulichkeit schützen.
| Empfohlene Einschlüsse | Sections |
|---|---|
| Einrichtung einer Bezeichnungstaxonomie, die an PSPF-Richtlinie 8 ausgerichtet ist, einschließlich aller Vertraulichkeitsbezeichnungen, die Benutzer auf Elemente anwenden müssen. | Taxonomie von Vertraulichkeitsbezeichnungen |
| Konfiguration von Vertraulichkeitsbezeichnungen und Bereitstellung von Bezeichnungsfunktionen für Benutzer. |
Konfiguration von Vertraulichkeitsbezeichnungen Richtlinien für Vertraulichkeitsbezeichnungen |
| Einrichtung von Kennzeichnungsmethoden, einschließlich DLP-Richtlinien, die X-Schutzmarkierungs-X-Header und Betreffmarkierungen auf E-Mails anwenden. | E-Mail-Kennzeichnungsstrategien |
| Implementierung eines anfänglichen Satzes von DLP-Richtlinien zum Überwachen oder Steuern des Flusses von sicherheitsrelevanten Informationen (einschließlich nicht ausgegebener Klassifizierungen). |
Verhindern einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen Verhindern des Datenlecks durch Empfang unangemessener Klassifizierungen |
| Implementierung von DLP-Richtlinien mit Vorlagen, die an australischen Datentypen ausgerichtet sind, um vertrauliche Informationen unabhängig von der angewendeten Vertraulichkeitsbezeichnung zu identifizieren und zu schützen. | Verwenden von DLP-Richtlinienvorlagen zum Steuern von E-Mails vertraulicher Informationen |
| Implementierung vertraulicher Informationstypen (Sensitive Information Types, SITs), um die Identifizierung von Informationen auf der Grundlage von aufgebrachten Schutzkennzeichnungen zu unterstützen. | SIT-Beispielsyntax zum Erkennen von Schutzmarkierungen |
| Implementierung der Automatischen Bezeichnungskonfiguration, um Schutzmarkierungen zu identifizieren, die auf ältere Elemente angewendet werden, und dem Benutzer eine geeignete Bezeichnung zu empfehlen. |
Empfehlungen auf Der Grundlage von Kennzeichnungen externer Behörden Empfehlungen basierend auf Verlaufsmarkierungen |
| Implementierung von Richtlinien für automatische Bezeichnungen zum automatischen Anwenden von Vertraulichkeitsbezeichnungen auf Elemente, die von externen Entitäten empfangen werden, bei denen angewendete Schutzmarkierungen mit der Vertraulichkeitsbezeichnung übereinstimmen. Dadurch wird sichergestellt, dass DLP und andere bezeichnungsbasierte Schutzfunktionen für empfangene Elemente gelten und nicht nur für intern generierte Elemente. | Bezeichnung von E-Mails während des Transports |
Phase 2: Informationen kennen und schützen
Gewünschte Ergebnisse : Informationen kennen und schützen
Implementierung von Funktionen, um vertrauliche Informationen besser zu identifizieren und sicherzustellen, dass relevante Schutzmaßnahmen angewendet werden.
| Empfohlene Einschlüsse | Sections |
|---|---|
| Implementierung von Bezeichnungsgruppen und Websitekonfiguration, um das Anwenden von Steuerelementen auf SharePoint-Websites und Teams zu ermöglichen. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen & Standorten |
| Implementierung der Konfiguration von Bezeichnungsbesprechungen und Kalenderelementen, um PSPF-Konzepte und Datensicherheitskontrollen durch Kalender zu erweitern. | Vertraulichkeitsbezeichnungen für Kalenderelemente und Teams-Besprechungen |
| Identifizierung der wichtigsten Informationsressourcen von Organisationen und Einrichtung von Methoden für ihre Identifizierung. Diese Methoden erfordern wahrscheinlich die Verwendung erweiterter Klassifizierer, einschließlich benutzerdefinierter Vertraulicher Informationstypen, trainierbarer Klassifizierer, exakter Datenabgleich und/oder Dokumentfingerabdrücke. |
Benutzerdefinierte Typen vertraulicher Informationen Genaue Daten stimmen mit vertraulichen Informationstypen überein Dokumentfingerabdrücke Trainierbare Klassifizierer |
| Implementierung oder Verbesserung von DLP-Richtlinien, um den Verlust identifizierter vertraulicher Informationen durch erweiterte Klassifizierungstechniken zu verhindern. |
Steuern der E-Mail von benutzerdefinierten SITs über DLP Einschränken externer Chats mit vertraulichen Inhalten Steuern der Freigabe vertraulicher Informationen über DLP |
| Implementierung von Richtlinien für die automatische Bezeichnung, um Bezeichnungen basierend auf der Erkennung vertraulicher Informationen zu empfehlen. |
Empfehlen von Bezeichnungen basierend auf der Erkennung vertraulicher Inhalte Ökommendierungen auf Der Grundlage von Kennzeichnungen externer Behörden |
| Mögliche Implementierung zusätzlicher Vertraulichkeitsbezeichnungen zusammen mit erforderlichen Konfigurationen für automatische Bezeichnungen, damit Klassifizierungen, die von anderen Rechtsgebieten angewendet werden, ohne Neuklassifizierung verwaltet werden können. | Bezeichnungen für Organisationen mit unterschiedlichen Bezeichnungstaxonomien |
Phase 3: Erweiterte Steuerelemente und Legacyspeicherorte
Gewünschte Ergebnisse: Erweiterte Steuerelemente und Legacyspeicherorte
Erweiterte Kontrollen, um die Konformität sicherzustellen und den Verlust vertraulicher oder sicherheitsrelevanter Informationen weiter zu verhindern. Diese Phase kann auch die Erweiterung von Steuerelementen auf Legacyelemente und Speicherorte umfassen.
| Empfohlene Einschlüsse | Sections |
|---|---|
| Die Bezeichnung von Websites, Teams und Gruppen, die vor der Bereitstellung von Vertraulichkeitsbezeichnungen vorhanden waren. |
SharePoint-Speicherort und Elementempfindlichkeit Teams-Standort und Empfindlichkeit von Elementen |
| Die Bezeichnung bereits vorhandener Elemente, um sie in den Bereich von bezeichnungsbasierten Steuerelementen zu bringen. |
Bezeichnen vorhandener ruhender Elemente Automatisierte Kennzeichnung für Nicht-Microcoft 365-Standorte |
| Prozesse und Strategien, um auf potenziell böswillige Aktivitäten im Zusammenhang mit gekennzeichneten oder auf andere Weise sensible Elemente (z. B. Insider-Risikomanagement, Kommunikationscompliance, out-of-place-Datenwarnungen) zu reagieren. |
Out-of-Place-Warnungen für Daten Überwachen vertraulicher Informationen mit Insider-Risikomanagement Steuern vertraulicher Informationen mit adaptivem Schutz Überwachen des externen Chats über Kommunikationscompliance |
| Implementierung von bezeichnungsbasierter Azure Rights Management-Verschlüsselung und -Strategien, um sicherzustellen, dass hochsensible Informationen ohne Auswirkungen auf andere Dienste geschützt werden. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Erweiterung von DLP-Richtlinien und -Ansätzen für Endpunkte und Clouddienste (über EndPoint DLP und Defender for Cloud Apps). |
Verhindern des Hochladens von sicherheitsklassierten Elementen an nicht verwaltete Speicherorte Verhindern des Herunterladens oder Druckens von sicherheitsrelevanten Elementen |