Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Zweck dieses Artikels besteht darin, organisationen der australischen Regierung zu helfen, ihren Informationssicherheitsstatus zu verbessern. Die Anleitung in diesem Artikel wurde so geschrieben, dass sie den Anforderungen des Schutzsicherheitsrichtlinien-Frameworks (PSPF) und des Handbuchs zur Informationssicherheit (Information Security Security Manual, ISM) am besten entspricht.
Dieser Artikel enthält Anleitungen für australische Regierungsorganisationen zu Konfigurationen, um das Risiko einer unangemessenen Offenlegung vertraulicher Informationen über Microsoft 365-Dienste zu verringern. In diesem Artikel werden Konfigurationen erläutert, die zusätzlich zu den unter Verhindern einer unangemessenen Verteilung von sicherheitsrelevanten Informationen implementiert werden sollten.
Organisationen der australischen Regierung sollten sicherstellen, dass ihre DLP-Konfigurationen Folgendes umfassen:
- Die Verwendung von von Microsoft bereitgestellten DLP-Richtlinienvorlagen für die Erkennung vertraulicher Informationen, die für australische Datentypen relevant sind.
- Die Verwendung von Vertraulichen Informationstypen (SITs) zur Erkennung von Elementen, die über ihre Schutzmarkierungen potenziell sicherheitsgeschützt sind.
- Die Verwendung von benutzerdefinierten SITs und Klassifizierern, um vertrauliche Informationen im Zusammenhang mit Initiativen oder Diensten der australischen Regierung zu erkennen.
Eine umfassende DLP-Konfiguration, die Informationen basierend auf ihrem Kontext (Vertraulichkeitsbezeichnung) und Inhalt schützt, verringert das Risiko von Informationsverlusten erheblich. Inhaltsbasierte Erkennungsmethoden verringern auch die Abhängigkeit von Organisationen von Sicherheitsklassifizierungen als einziger Ankerpunkt für Datensicherheitskontrollen.
Beispiele dafür, wie inhaltsbasierte (statt bezeichnungsbasierte) Ansätze dabei helfen, sind Situationen, in denen:
- Ein Benutzer führt ein böswilliges Downgrade der Vertraulichkeitsbezeichnung durch, die auf ein Element angewendet wird (wie in Überlegungen zur Neuklassifizierung erläutert), und versucht dann, es zu exfiltrieren.
- Ein Benutzer kopiert vertrauliche Informationen aus einem klassifizierten Dokument und fügt sie entweder in eine E-Mail oder in einen Teams-Chat ein.
- Ein Angreifer, der über ein kompromittiertes Konto Zugriff hat, bezieht Masseninformationen von einem internen Dienst und versucht, diese per E-Mail zu exfiltrieren.
In jedem dieser Szenarien werden Ansätze verwendet, die den tatsächlichen Inhalt und nicht die Bezeichnung bewerten, die auf Elemente angewendet wird, um Datenschutzverletzungen zu verhindern und zu begrenzen.
Was das Wissen angeht, so bedeutet die Genehmigung eines externen organization für den Zugriff auf sicherheitsrelevante Informationen nicht automatisch, dass alle Benutzer im organization auf vertrauliche Informationen zugreifen können sollten. Regierungsorganisationen sollten Konfigurationen anwenden, die eine präzise Transparenz und Kontrolle über den Fluss vertraulicher Informationen bieten, unabhängig von Kontrollen, die sich auf Vertraulichkeitsbezeichnungen oder Klassifizierungen konzentrieren. Diese Kontrollen entsprechen der PSPF-Anforderung 75 (Protective Security Policy Framework).
| Anforderung | Detail |
|---|---|
| PSPF Release 2024 – 12. Informationsaustausch – Anforderung 75 | Der Zugang zu sicherheitsrelevanten Informationen oder Ressourcen wird nur Personen außerhalb der Organisation mit der entsprechenden Sicherheitsfreigabe (falls erforderlich) und einer erforderlichen Kenntnis gewährt und gemäß den Mindestanforderungen für Schutz und Handhabung übertragen. |
Hinweis
Richtlinien zum Schutz vertraulicher Informationen hängen zuerst davon ab, dass Informationen als vertraulich identifiziert werden. Diese Konzepte werden im Detail bei der Identifizierung vertraulicher Informationen behandelt.
Steuern von E-Mails mit vertraulichen Informationen
Microsoft Purview DLP-Konfigurationen sollten Richtlinien für Folgendes enthalten:
- Identifizieren und Schützen von E-Mails mit vertraulichen Informationen
- Identifizieren und Schützen von Elementen, die Schutzkennzeichnungen enthalten, entsprechend der entsprechenden Sicherheitsklassifizierung
- Identifizieren und schützen Sie Elemente, die Codewörter, vertrauliche Begriffe oder Inhalte enthalten, die als vertraulich für die organization
Verwenden von DLP-Richtlinienvorlagen zum Steuern von E-Mails vertraulicher Informationen
Alle Organisationen behalten ein gewisses Maß an vertraulichen Informationen bei. Dies können Informationen zu Benutzern, Kunden oder Mitgliedern der Öffentlichkeit sein. Microsoft stellt vordefinierte TYPEN vertraulicher Informationen (SENSITIVE Information Types, SITs) und DLP-Richtlinienvorlagen bereit, um die Identifizierung und den Schutz von Informationen zu unterstützen, die normalerweise geschützt werden müssen.
Integritätsinformationen sind ein Beispiel für vertrauliche Informationen, die Organisationen schützen müssen. In Australien haben wir den My Health Records Act , der ein Datenschutzframework enthält, das festlegt, wie Gesundheitsinformationen gesammelt und verwendet werden können, sowie Strafen für unsachgemäße Sammlung oder Offenlegung.
Um Gesundheitsinformationen genau zu identifizieren, können wir Ansätze verwenden, die unter Typen vertraulicher Informationen zu benannten Entitäten erläutert werden.
Integritätsinformationen könnten entsprechend gekennzeichnet werden, und bezeichnungsbasierte Kontrollen wie diejenigen, die zur Verhinderung einer unangemessenen Verteilung von sicherheitsrelevanten Informationen gehören, die auf sie angewendet werden. "Need-to-Know" gilt jedoch weiterhin. Externe Organisationen, unabhängig davon, ob sie für den Zugriff auf Verschlusssachen genehmigt sind, sollten nicht in der Lage sein, solche Informationen zu empfangen oder darauf zuzugreifen, ohne dass dies erforderlich ist. Eine weitere Granularität ist wichtig, um den Anforderungen gerecht zu werden.
Die folgende BEISPIEL-DLP-Regel wird verwendet, um die externe Verteilung von Integritätsdatensätzen zu verhindern. In dieser Beispielrichtlinie wird die erweiterte Richtlinienvorlage Australia Health Records Act (HRIP Act) verwendet, die so geändert wurde, dass sie nur für den Exchange-Dienst gilt, sodass empfängerbasierte Einschränkungen erzwungen werden.
Diese Richtlinienvorlage sucht nicht nur nach Integritätsinformationen, sondern versucht, Kombinationen von Integritätsinformationen mit anderen Informationstypen zu identifizieren. Andere Arten von Informationen, die wahrscheinlich einen Integritätsdatensatz kennzeichnen, umfassen Name, Adresse und andere persönliche Bezeichner.
Von Microsoft bereitgestellte Richtlinienvorlagen ermöglichen die Definition von Richtlinienaktionen mit geringem und hohem Volumen. Standardmäßig ist ein geringes Volumen als 1 bis 9 Vorkommen und ein hohes Volumen über 10 Vorkommen konfiguriert. Diese Schwellenwerte können weiter angepasst werden.
Externe Organisationen, die informationen benötigen, können über die Ausnahmeliste NOT der Regel einer Liste genehmigter Domänen hinzugefügt werden.
| Regelname | Bedingungen | Aktion |
|---|---|---|
| Geringe Menge an Inhalten erkannt Australien Health Records Act | Inhalte werden von Microsoft 365 freigegeben, Mit Menschen außerhalb meiner organization AND Inhalt enthält folgendes: - Australische Steuernummer (0 bis 9) - Australische Medizinische Kontonummer (0 bis 9) - Physische Adressen in Australien (0 bis 9) AND Inhalt enthält: - Alle vollständigen Namen (0 bis 9) AND Inhalt enthält: - Alle medizinischen Geschäftsbedingungen (0 bis 9) AND Group NOT Empfängerdomäne ist: - Liste der Domänen, die für den Empfang von Integritätsinformationen genehmigt wurden |
Benachrichtigen Sie Benutzer mit E-Mail- und Richtlinientipps. Konfigurieren Sie einen Richtlinientipp von: "Ein Empfänger dieser E-Mail stammt von einem organization, der nicht für den Empfang von Gesundheitsinformationen autorisiert ist. Diese E-Mail wird blockiert, es sei denn, nicht autorisierte Empfänger werden aus dem Feld an entfernt. Wenn dies falsch ist, wenden Sie sich an den Support, um Ihre Anforderung zu besprechen." Konfigurieren Sie einen niedrigeren Incidentschweregrad und geeignete Benachrichtigungsoptionen. |
| Große Menge an Inhalten erkannt Australien Health Records Act | Inhalte werden von Microsoft 365 freigegeben, Mit Menschen außerhalb meiner organization AND Inhalt enthält folgendes: - Australische Steuernummer (10 bis beliebig) - Australische Medizinische Kontonummer (10 bis beliebig) - Physische Adressen in Australien (10 bis beliebig) AND Inhalt enthält: - Alle vollständigen Namen (10 bis beliebig) AND Inhalt enthält: - Alle medizinischen Geschäftsbedingungen (10 bis beliebig) AND Group NOT Empfängerdomäne ist: - Liste der Domänen, die für den Empfang von Integritätsinformationen genehmigt wurden |
Benachrichtigen Sie Benutzer mit E-Mail- und Richtlinientipps. Konfigurieren Sie einen Richtlinientipp von: "Ein Empfänger dieser E-Mail stammt von einem organization, der nicht für den Empfang von Gesundheitsinformationen autorisiert ist. Diese E-Mail wird blockiert, es sei denn, nicht autorisierte Empfänger werden aus dem Feld an entfernt. Wenn dies falsch ist, wenden Sie sich an den Support, um Ihre Anforderung zu besprechen." Konfigurieren Sie einen hohen Incidentschweregrad und geeignete Benachrichtigungsoptionen. |
Ein wesentlicher Vorteil einer solchen DLP-Regel besteht darin, dass die Aktion blockiert wird, wenn ein böswilliger Benutzer oder ein kompromittiertes Konto versucht, eine Massenmenge von Integritätsdatensätzen in eine nicht genehmigte E-Mail-Domäne zu exfiltrieren. Die organization können diese Steuerelemente auf interne Benutzer erweitern, um sicherzustellen, dass externe Benutzer, die an nicht verwandten Geschäftsfunktionen beteiligt sind, diese Art von Integritätsinformationen nicht erhalten können. Es können auch andere Regeln erstellt werden, die dieselben Steuerelemente auf Personen in meinem organization anwenden. Diese Regeln könnten eine interne Gruppe für Ausnahmen anstelle einer Liste externer Domänen verwenden.
Hinweis
Um DLP-Bedingungen anzuwenden, die für den Exchange-Dienst verfügbar sind, z. B. die Empfängerdomäne, werden Richtlinienvorlagen nur auf den Exchange-Dienst angewendet. Dies bedeutet, dass jede Richtlinienvorlage mehrmals und einmal für jeden Dienst verwendet wird. Zum Beispiel:
- Australien Health Record Act erweitert für Exchange
- Australien Health Record Act erweitert für SharePoint und OneDrive
- Australia Health Record Act enhanced for Teams chat and channel messaging (Australien Health Record Act Enhanced for Teams chat and channel messaging)
Von Microsoft bereitgestellte vordefinierte DLP-Richtlinienvorlagen, die von australischen Behörden für die Implementierung berücksichtigt werden sollten, umfassen:
- Australien Privacy Act erweitert
- Australien Health Record Act erweitert
- Finanzdaten – Australien
- PCI Data Security Standard – PCI-DSS
- Personenbezogene Informationen (PII-Daten) – Australien
Steuern von E-Mails mit markierten Informationen
Vertraulichkeitsbezeichnungen sollten als ein wichtiger Hinweis auf die Empfindlichkeit von Elementen verwendet werden. In den meisten Fällen bieten Methoden zum Schutz von Informationen, die auf angewendeten Bezeichnungen basieren, wie sie bei der Verhinderung einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen abgedeckt sind, einen angemessenen Schutz. Wir sollten jedoch auch Situationen berücksichtigen, in denen:
- Inhalt wird aus einem klassifizierten Element kopiert.
- Elemente werden von externen Behörden empfangen und sind markiert, müssen aber noch beschriftet werden.
- Elemente wurden vor der Bereitstellung von Vertraulichkeitsbezeichnungen erstellt, auf die noch keine Bezeichnungen angewendet wurden.
In Situationen, in denen Elemente noch nicht beschriftet werden müssen, kann eine Kombination aus clientbasierter automatischer Bezeichnung und dienstbasierter automatischer Bezeichnung verwendet werden, um Bezeichnungen auf Elemente anzuwenden. Clientbasierte Empfehlungen werden angewendet, wenn ein Benutzer eine Datei öffnet. Dienstbasierte automatische Bezeichnung von Indizes und Bezeichnungen von Elementen im Ruhezustand oder während der Übertragung für E-Mails.
Um den Schutz zu verbessern, können Methoden zur Identifizierung von Inhalten, wie in der SIT-Beispielsyntax zum Erkennen von Schutzmarkierungen veranschaulicht, verwendet werden, um Schutzkennzeichnungen zu finden. Nach der Identifizierung können Schutzmaßnahmen auf Elemente angewendet werden, die mit den Kennzeichnungen verknüpften Sicherheitsklassifizierungen übereinstimmen. Dadurch können Elemente in Situationen geschützt werden, in denen Benutzer Clientbezeichnungsempfehlungen ignorieren oder bei der dienstbasierten automatischen Bezeichnung noch keine Elemente verarbeitet wurden.
Tipp
Australische Regierungsorganisationen sollten DLP-Richtlinien implementieren, die in E-Mails auf Schutzmarkierungen überprüfen. Richtlinien sollten für protected und OFFICIAL: Sensible Markierungen erstellt werden. Zusätzliche Konfigurationen können auf die Teilmengen angewendet werden, z. B. Markierungen mit dem CABINET-Vorbehalt.
Die folgende DLP-Regel gilt beispielsweise nur für den Exchange-Dienst. Die Regel identifiziert PROTECTED-Markierungen in E-Mails und verhindert dann, dass alle außer genehmigten Organisationen diese empfangen.
Hinweis
Bei dieser Regel handelt es sich um eine Kopie des Beispiels dlp rule: Block PROTECTED email to nonapped organizations (DLP-Beispielregel: Geschützte E-Mail an nicht genehmigte Organisationen blockieren). Es verwendet jedoch SITs in Richtlinienbedingungen anstelle von Vertraulichkeitsbezeichnungen. Es enthält Ausnahmen, die sicherstellen, dass es nicht für bezeichnete Elemente ausgelöst wird, die wahrscheinlich auch die übereinstimmenden SITs enthalten.
| Bedingungen | Aktion |
|---|---|
| Inhalte werden von Microsoft 365 freigegeben, mit Personen außerhalb meiner organization AND Inhalt enthält den Typ vertraulicher Informationen: - Alle GESCHÜTZTEN SITs auswählen AND Group NOT Inhalt enthält Vertraulichkeitsbezeichnung: - Auswählen aller PROTECTED-Bezeichnungen AND Group NOT Empfängerdomäne ist: - Liste der Domänen, die für den Empfang von PROTECTED-E-Mails genehmigt wurden |
Einschränken des Zugriffs oder Verschlüsseln der Inhalte an Microsoft 365-Speicherorten: - Blockieren des Empfangens von E-Mails oder des Zugriffs auf Benutzer - Alle blockieren Konfigurieren Sie einen Richtlinientipp von: "Ein Empfänger dieser E-Mail stammt von einem organization, der nicht für den Empfang von GESCHÜTZTen Informationen autorisiert ist. Diese E-Mail wird blockiert, es sei denn, nicht autorisierte Empfänger werden aus dem Feld an entfernt. Wenn dies falsch ist, wenden Sie sich an den Support, um Ihre Anforderung zu besprechen." Konfigurieren Sie geeignete Incidentschweregrad- und Benachrichtigungsoptionen. |
Schützen von Elementen mit niedrigeren Klassifizierungen
Das Vertrauen von Microsoft , aber das Überprüfen des Ansatzes für die Sicherheitsklassifizierung ermöglicht es Benutzern, die vertraulichkeitsbezeichnung zu ändern, die auf Elemente angewendet wird. Dies wird in Überlegungen zur Neuklassifizierung erläutert.
Email Unterhaltungen, an denen vertreter der australischen Regierung teilnehmen, haben Schutzmassnahmen auf sie angewendet. Diese sind in den E-Mail-X-Headern, aber auch in Betreffmarkierungen und textbasierten visuellen Markierungen im gesamten Unterhaltungsverlauf vorhanden.
Wenn eine klassifizierung, die auf eine E-Mail-Unterhaltung angewendet wird, z. B. von "PROTECTED Personal Privacy" in "UNOFFICIAL", herabgestuft wird, löst sie die Bezeichnungsänderungsbegründung aus, generiert überprüfbare Ereignisse und wird weiter in insider-Risikomanagement berücksichtigt. Nach diesem Vorkommen sind die zuvor angewendeten Betreffmarkierungen und textbasierten visuellen Markierungen in den vorherigen Antworten per SIT in den E-Mails identifizierbar. Ein SIT mit dem folgenden RegEx identifiziert beispielsweise "PROTECTED // Personal Privacy" in einem E-Mail-Header und [SEC=PROTECTED, Access=Personal-Privacy] in einer Betreffmarkierung:
PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy
Die im vorherigen Abschnitt bereitgestellten DLP-Beispielregeln (Steuern der E-Mail mit markierten Informationen) identifizieren Elemente über ihre Schutzmarkierungen als GESCHÜTZT und blockieren die Exfiltration unabhängig von der angewendeten Vertraulichkeitsbezeichnung. Eine sorgfältige Dlp-Richtlinienreihenfolge zusammen mit geeigneten Berichterstellungsaktionen ermöglicht auch Situationen, in denen eine E-Mail aufgrund von SIT blockiert wird, anstatt mit Sicherheitsteams als Prioritätsvorfall gekennzeichnet zu werden.
Eine alternative Methode zum Behandeln eines Downgrades wäre die Implementierung einer Richtlinie, die die angewendete Bezeichnung anhand von Markierungen überprüft, die im Text der E-Mail erkannt werden können. Beispiel: Enthält vertraulichkeitsbezeichnung UNOFFICIAL, OFFICIAL, OFFICIAL: Sensitive AND Contains sensitive information type PROTECTED.For example, Contains sensitivity label UNOFFICIAL, OFFICIAL: SensitiveANDContains sensitive information type PROTECTED. Solche inkrementellen Downgrades sind ein starker Hinweis auf eine unangemessene Herabstufung der Bezeichnung und erfordern weitere Untersuchungen. DLP-Richtlinien, die solche Bedingten verwenden, bieten auch eine Methode zur Einhaltung von ISM-1089:
| Anforderung | Detail |
|---|---|
| ISM-1089 (März 2025) | Schutzmarkierungstools ermöglichen es Benutzern nicht, auf E-Mails zu antworten oder diese weiterzuleiten, um Schutzmarkierungen auszuwählen, die niedriger als zuvor verwendet wurden. |
Hinweis
Das Blockieren der Verteilung von Informationen basierend auf der Schutzmarkierung anstelle von Vertraulichkeitsbezeichnungen bietet Vorteile in Bezug auf die Datensicherheit, kann jedoch dazu führen, dass Elemente, deren Klassifizierungen absichtlich gesenkt wurden, von der Verteilung blockiert werden. Einrichtung von Geschäftsregeln in Bezug auf die Deklassifizierung und Verwendung von DLP-Richtlinienaktionen , die das Außerkraftsetzen zulassen, wenn geschäftliche Anforderungen dafür bestehen.
Richtlinien, die konfiguriert sind, um Elemente mit niedrigeren Klassifizierungen zu identifizieren und zu schützen, sind gute Kandidaten für die Abstimmung mit Insider-Risikomanagement-Richtlinien. Richtlinien können so integriert werden, dass, wenn ein Benutzer die DLP-Richtlinie auslöst, diese in die Benutzerrisikobewertungen des Insider-Risikomanagements einbezogen wird, wodurch die Wahrscheinlichkeit erhöht wird, dass Benutzer diese Aktivitäten ausführen, um als riskant gekennzeichnet zu werden und ihre Aktionen durch adaptiven Schutz eingeschränkt werden.
Weitere Informationen zu diesem Szenario finden Sie unter [Szenario 2 des Insider-Risikomanagements: Herabstufen bösartiger Bezeichnungen](pspf-insider-risk.md#Insider Risk Management-scenario-2-malicious-label-downgrade).
Steuern der E-Mail von benutzerdefinierten SITs
Information Identification-Methoden wie benutzerdefinierte Typen vertraulicher Informationen und andere Funktionen, die in der Identifizierung vertraulicher Informationen erläutert werden, bieten eine Möglichkeit, vertrauliche Informationen zu erkennen, die für eine einzelne organization relevant sind. SITs und trainierbare Klassifizierer werden erstellt, um bestimmte Anforderungen an den Informationsschutz der australischen Regierung zu erfüllen. Diese SITs werden dann in DLP-Richtlinien verwendet, die die Verteilung von Elementen steuern, die die identifizierten Informationen enthalten.
Ein Beispiel für eine Anforderung, die in australischen Regierungsorganisationen üblich ist, ist die Notwendigkeit, rechenschaftspflichtige Materialien wie Informationen zu vertraulichen Codewörtern oder Initiativen zu schützen. Um dies zu erreichen, kann eine SIT oder eine Gruppe von SITs erstellt werden, die eine Liste von Schlüsselwörtern oder Begriffen enthalten. Diese SIT könnte dann in einer DLP-Richtlinie verwendet werden, um Benutzer zu warnen, was möglicherweise erfordert, dass sie vor dem Senden eine geschäftliche Begründung eingeben oder die Kommunikation direkt blockieren.
Das folgende DLP-Regelbeispiel gilt für den Exchange-Dienst. Es erkennt E-Mails mit vertraulichen Codewörtern und zeigt benutzern bei Erkennung einen Richtlinientipp an. Benutzer müssen eine geschäftliche Begründung angeben und Warnungen bestätigen, bevor sie die E-Mail senden.
| Bedingungen | Aktion |
|---|---|
| Inhalte werden von Microsoft 365 freigegeben, Mit Menschen außerhalb meiner organization AND Inhalt enthält den Typ vertraulicher Informationen: - Sensible Codewörter SIT |
Konfigurieren Sie einen Richtlinientipp von: "Diese E-Mail enthält einen vertraulichen Begriff, der für einen angegebenen Empfänger möglicherweise nicht geeignet ist. Stellen Sie sicher, dass alle Empfänger vor dem Senden für den Zugriff auf die eingeschlossenen Informationen autorisiert sind." Benutzern das Überschreiben von Richtlinieneinschränkungen erlauben: - Außerkraftsetzung einer geschäftlichen Begründung erforderlich - Der Endbenutzer muss die Außerkraftsetzung explizit bestätigen. Konfigurieren Sie geeignete Incidentschweregrad- und Benachrichtigungsoptionen. |
Einschränken externer Chats mit vertraulichen Inhalten
DLP-Richtlinien können so konfiguriert werden, dass sie auf Teams-Chat- und Kanalnachrichten angewendet werden. Diese Konfiguration ist am relevantesten für Organisationen, die flexible Optionen für die Zusammenarbeit implementiert haben, z. B. die Möglichkeit, mit externen Benutzern zu chatten. Solche Organisationen wünschen sich mehr Produktivität durch Zusammenarbeit, sind aber besorgt über den Verlust vertraulicher Informationen über Zusammenarbeitsmöglichkeiten wie Teams-Chat und Kanal-Messaging.
Hinweis
DLP-Richtlinien für Exchange und Microsoft Teams können bestimmte Empfängerdomänen als Ziel verwenden oder ausschließen. Auf diese Weise können domänenbasierte Ausnahmen angewendet werden, was dazu beiträgt, dass Dies erforderlich ist und die PSPF-Anforderung 77 erfüllt ist.
| Anforderung | Detail |
|---|---|
| PSPF Release 2024 – 12. Informationsaustausch – Anforderung 77 | Eine Vereinbarung oder Vereinbarung, z. B. ein Vertrag oder eine Urkunde, die Anforderungen und Schutzmaßnahmen für die Handhabung festlegt, ist vorhanden, bevor sicherheitsrelevante Informationen oder Ressourcen offengelegt oder mit einer Person oder organization außerhalb der Regierung geteilt werden. |
DLP-Ansätze für Teams sollten:
Verwenden Sie die von Microsoft bereitgestellten DLP-Richtlinienvorlagen, um vertrauliche Informationen zu erkennen, die für australische Datentypen relevant sind.
Von Microsoft bereitgestellte DLP-Richtlinienvorlagen, wie in der Verwendung von DLP-Richtlinienvorlagen zum Steuern von E-Mails vertraulicher Informationen veranschaulicht, sollten verwendet werden, um vertrauliche Informationen zu identifizieren und vor der Kommunikation über Teams zu schützen.
Schließen Sie die Verwendung von SITs ein, um Schutzmarkierungen zu erkennen, die möglicherweise aus klassifizierten Elementen in die Teams-Anwendung eingefügt wurden.
Das Vorhandensein einer Schutzkennzeichnung im Teams-Chat ist ein Hinweis auf eine unangemessene Offenlegung. Die Richtlinie, die bei der Steuerung der E-Mail mit markierten Informationen veranschaulicht wird, identifiziert vertrauliche Informationen über Schutzkennzeichnungen. Wenn eine ähnliche Richtlinienkonfiguration auf Teams angewendet würde, könnte sie Markierungen identifizieren, die in den Teams-Chat eingefügt wurden. Beispielsweise Inhalte aus einer Diskussion mit klassifizierten E-Mails, die über die Kopf-, Fußzeilen- oder Betreffmarkierungen identifiziert werden, die in diesen textbasierten Daten vorhanden sein könnten.
Verwenden Sie benutzerdefinierte SITs und Klassifizierer, um vertrauliche Informationen im Zusammenhang mit Initiativen oder Diensten der australischen Regierung zu erkennen.
Benutzerdefinierte SITs werden verwendet, um vertrauliche Schlüsselwörter oder Begriffe zu identifizieren, die im Teams-Chat oder Im-Kanal-Messaging verwendet werden. Das bereitgestellte Beispiel zur Steuerung von E-Mails von benutzerdefinierten SITs kann auf den Teams-Dienst angewendet werden.
Beispiel für eine DLP-Richtlinie zur Einschränkung von Integritätsinformationen über den Teams-Chat
Die folgende BEISPIEL-DLP-Richtlinie gilt für den Teams-Dienst und verwendet die Australische Richtlinienvorlage für Gesundheitsdaten. Diese Richtlinie wird ausgelöst, wenn ein Benutzer Integritätsinformationen über den Teams-Chat teilt. Es warnt den Benutzer, die Informationen zu teilen, wenn sich der Empfänger außerhalb einer genehmigten Liste von Organisationen befindet. Regeln können geändert werden, um Chatnachrichten zu blockieren, wenn dies als angemessen erachtet wird.
| Regelname | Bedingungen | Aktion |
|---|---|---|
| Geringe Menge an Inhalten erkannt Australien Health Records Act | Inhalte werden von Microsoft 365 freigegeben, Mit Menschen außerhalb meiner organization AND Inhalt enthält folgendes: - Australische Steuernummer (0 bis 9) - Australische Medizinische Kontonummer (0 bis 9) - Physische Adressen in Australien (0 bis 9) AND Inhalt enthält: - Alle vollständigen Namen (0 bis 9) AND Inhalt enthält: - Alle medizinischen Geschäftsbedingungen (0 bis 9) AND Group NOT Empfängerdomäne ist: - Liste der Domänen, die für den Empfang von Integritätsinformationen genehmigt wurden |
Benachrichtigen Sie Benutzer mit E-Mail- und Richtlinientipps. Konfigurieren Sie einen Richtlinientipp von: "Ein Empfänger dieser Nachricht stammt von einem organization, der nicht für den Empfang von Integritätsinformationen autorisiert ist." Konfigurieren Sie einen niedrigeren Incidentschweregrad und geeignete Benachrichtigungsoptionen. |
| Große Menge an Inhalten erkannt Australien Health Records Act | Inhalte werden von Microsoft 365 freigegeben, Mit Menschen außerhalb meiner organization AND Inhalt enthält folgendes: - Australische Steuernummer (10 bis beliebig) - Australische Medizinische Kontonummer (10 bis beliebig) - Physische Adressen in Australien (10 bis beliebig) AND Inhalt enthält: - Alle vollständigen Namen (10 bis beliebig) AND Inhalt enthält: - Alle medizinischen Geschäftsbedingungen (10 bis beliebig) AND Group NOT Empfängerdomäne ist: - Liste der Domänen, die für den Empfang von Integritätsinformationen genehmigt wurden |
Benachrichtigen Sie Benutzer mit E-Mail- und Richtlinientipps. Konfigurieren Sie einen Richtlinientipp von: "Ein Empfänger dieser Nachricht stammt von einem organization, der nicht für den Empfang von Integritätsinformationen autorisiert ist." Konfigurieren Sie einen hohen Incidentschweregrad und geeignete Benachrichtigungsoptionen. |
Überwachen des externen Chats über Kommunikationscompliance
Communication Compliance bietet einen alternativen Ansatz für DLP, bei dem Ereignisse nicht unbedingt blockiert werden, richtlinienverstöße jedoch zur Überprüfung gekennzeichnet werden. Administratoren können dann richtlinienbezogene Übereinstimmungen anzeigen, um den vollständigen Kontext der Situation besser zu verstehen und die Angemessenheit gemäß den Organisationsrichtlinien zu analysieren.
Kommunikationskonformitätsrichtlinien können so konfiguriert werden, dass ausgehender Chat überprüft wird, der Kombinationen von SITs enthält. Diese Richtlinien können die SIT-Kombinationen replizieren, die für australische Datentypen relevant sind, die bei der Verwendung von DLP-Richtlinienvorlagen zum Steuern von E-Mails vertraulicher Informationen verwendet werden.
Hinweis
Kommunikationscompliance umfasst die Funktion optische Zeichenerkennung (Optical Character Recognition, OCR), mit der gescannte Dokumente auf vertrauliche Informationen überprüft werden können.
Steuern der Freigabe vertraulicher Informationen
Vertraulichkeitsbezeichnungen sind die primäre Methode zum Identifizieren vertraulicher Informationen. Bezeichnungsbasierte DLP-Steuerelemente, wie unter Verhindern der Freigabe von sicherheitsrelevanten Informationen erläutert, sollten als unsere primäre Methode zur Verhinderung von Datenverlust für Freigabeaktivitäten betrachtet werden. Im Mehrschichtansatz von Microsoft Purview können DLP-Richtlinien weiter konfiguriert werden, um vertrauliche Inhalte in Elementen zu identifizieren. Sobald inhalte identifiziert wurden, können wir Freigabeeinschränkungen unabhängig von der Vertraulichkeitsbezeichnung eines Elements anwenden. Auf diese Weise werden Situationen behandelt, in denen:
- Elemente wurden falsch bezeichnet.
- Elemente wurden von externen Behörden empfangen und sind gekennzeichnet, müssen aber noch beschriftet werden.
- Elemente, die vor der Bereitstellung von Vertraulichkeitsbezeichnungen erstellt wurden und auf die noch keine Bezeichnungen angewendet wurden.
Hinweis
Die Blaupause für sichere Cloud von ASD enthält Anleitungen für die SharePoint-Freigabekonfiguration. In diesem Leitfaden wird empfohlen, alle Freigabelinks nur auf Personen in Ihrem organization zu beschränken.
Organisationen der australischen Regierung sollten DLP-Richtlinien in Betracht ziehen, die auf SharePoint- und OneDrive-Dienste angewendet werden, die:
Schließen Sie die Verwendung von SITs ein, um Elemente zu erkennen, die Schutzmarkierungen enthalten.
Schutzkennzeichnungen bieten eine Sicherungsmethode zur Identifizierung der Empfindlichkeit von Gegenständen. DLP-Richtlinien werden mithilfe von SITs konfiguriert, die in der SIT-Beispielsyntax bereitgestellt werden, um Schutzmarkierungen zu erkennen , die den Sicherheitsklassifizierungen (OFFICIAL: Sensitive und PROTECTED) entsprechen. Für Elemente, die diese Markierungen enthalten, gelten Freigabeeinschränkungen.
Verwenden Sie die von Microsoft bereitgestellten DLP-Richtlinienvorlagen, um vertrauliche Informationen zu erkennen, die für australische Datentypen relevant sind.
Microsoft hat DLP-Richtlinienvorlagen bereitgestellt, wie in der Verwendung von DLP-Richtlinienvorlagen zum Steuern von E-Mails mit vertraulichen Informationen veranschaulicht, identifiziert und schützt vertrauliche Informationen, die von SharePoint- oder OneDrive-Speicherorten freigegeben werden. Zu den Richtlinienvorlagen, die für die australische Regierung relevant sind, gehören:
- Australien Privacy Act erweitert
- Australien Health Record Act erweitert
- Finanzdaten – Australien
- PCI Data Security Standard – PCI-DSS
- Personenbezogene Informationen (PII-Daten) – Australien
Verwenden Sie benutzerdefinierte SITs und Klassifizierer, um vertrauliche Informationen im Zusammenhang mit Initiativen oder Diensten der australischen Regierung zu erkennen.
Benutzerdefinierte SITs werden verwendet, um vertrauliche Schlüsselwörter oder Begriffe zu identifizieren, die in Elementen enthalten sind, die über SharePoint oder OneDrive freigegeben werden. Das Beispiel zur Steuerung von E-Mails von benutzerdefinierten SITs über DLP kann auf SharePoint- und OneDrive-Dienste angewendet werden.
Kontinuierliche Verbesserung der DLP-Richtlinie über DLP-Analyse
DLP Analytics ist eine Lösung, die Folgendes ermöglicht:
- Analysieren sie die Informationsfreigabeaktivitäten Ihrer organization,
- Identifizieren Sie die höchsten Risiken für die gemeinsame Nutzung Ihrer organization und
- Generieren Sie neue DLP-Richtlinien oder Aktualisierungen vorhandener Richtlinien, um Risiken zu minimieren.
Wenn diese Option aktiviert ist, überprüft DLP Analytics Ihre DLP-Konfiguration und bietet Vorschläge, wie Richtlinien verbessert werden können. Für organisationen der australischen Regierung können DLP-Konfigurationen für sicherheitsgesicherte und gekennzeichnete Elemente als ziemlich festgelegt betrachtet werden. Richtlinien, die auf vertrauliche Informationen überprüfen, werden jedoch im Laufe der Zeit von Verbesserungen profitieren.
Ein Beispiel für eine Empfehlung, die DLP Analytics bereitstellen kann, ist das Hinzufügen eines trainierbaren Klassifizierers zu einer Richtlinie zum Schutz personenbezogener Informationen. Analysen könnten feststellen, dass eine Richtlinie zu viele falsch positive Ergebnisse generiert, und daher könnte vorgeschlagen werden, dass ein Klassifizierer als Ausnahme zu Richtlinienbedingungen hinzugefügt wird. Auf diese Weise ist DLP Analytics in der Lage, kontinuierlich Verbesserungen an Ihrer DLP-Konfiguration zu überprüfen und/oder vorzuschlagen.
Weitere Informationen zur DLP-Analyse finden Sie unter Erste Schritte mit der Datenanalyse zur Verhinderung von Datenverlust.
Überwachen der Freigabe vertraulicher Informationen mit Defender for Cloud Apps
Microsoft Defender for Cloud Apps bietet Schutz für SaaS-Anwendungen (Software-as-a-Service), einschließlich Onlineanwendungen und Onlinespeicherdiensten.
Die SharePoint-Freigabekonfiguration ermöglicht es, eine Liste von Domänen zu konfigurieren, die für den Empfang von Freigabelinks genehmigt sind, und ist so konfiguriert, dass sie mit PSPF-Anforderung 77 übereinstimmt:
| Anforderung | Detail |
|---|---|
| PSPF Release 2024 – 12. Informationsaustausch – Anforderung 77 | Eine Vereinbarung oder Vereinbarung, z. B. ein Vertrag oder eine Urkunde, die Anforderungen und Schutzmaßnahmen für die Handhabung festlegt, ist vorhanden, bevor sicherheitsrelevante Informationen oder Ressourcen offengelegt oder mit einer Person oder organization außerhalb der Regierung geteilt werden. |
Mit Defender for Cloud Apps können wir unsere DLP-Überwachungsfunktionen erweitern. Beispielsweise wird eine Richtlinie erstellt, um die Freigabe von Elementen zu überprüfen, die eine Kombination von SITs für anonyme E-Mail-Adressen enthalten. Administratoren können Freigabeberechtigungen für die externen Benutzer entfernen und verschiedene Berichterstellungsaktionen ausführen.
Defender for Cloud Apps bietet auch einige aggregierte Berichte, die Administratoren an Benutzer mit ungewöhnlich hohen Richtlinienverstößen benachrichtigen.
Weitere Informationen zur Verwendung von Defender for Cloud Apps zum Überwachen oder Steuern von Freigabeaktivitäten finden Sie unter Dateirichtlinien in Microsoft Defender for Cloud Apps.
Überwachen vertraulicher Informationen mit Insider-Risikomanagement
Insider-Risikomanagement bietet eine Methode zur Verwendung von DLP-Richtliniensignalen, um das Benutzerrisiko zu bestimmen. Insider-Risikomanagement bietet Berichte zu potenziell böswilligen Benutzern und bietet automatisierte Entschärfung über adaptiven Schutz.
DLP-Richtlinien zum Schutz vertraulicher Informationen sollten an der entsprechenden Konfiguration des Insider-Risikomanagements ausgerichtet werden. Diese Konzepte werden unter Verwalten von Insiderrisiken untersucht.