Guida Microsoft Purview Information Protection per la conformità del governo australiano con PSPF

Questa guida Microsoft Purview Information Protection è stata preparata da Microsoft per l'uso da parte del governo australiano e di altre organizzazioni interessate. L'obiettivo è quello di aiutare i clienti del governo australiano a migliorare il comportamento di sicurezza dei dati, rispettando al contempo i requisiti di classificazione e protezione delle informazioni. I consigli in questa guida sono strettamente allineati ai requisiti definiti in Protected Security Policy Framework (PSPF) e Information Security Manual (ISM).

Questa guida è destinata ai Chief Data Officer (CDO) del governo australiano, ai Chief Technology Officer (CTO), ai Chief Security Officer (CSO), ai Chief Information Security Officer (CISO), ai responsabili del rischio o della conformità, alla privacy delle informazioni o ad altri ruoli di gestione delle informazioni.

L'approccio suggerito al programma consente alle organizzazioni di stabilire un programma e di lavorare rapidamente per migliorare la maturità della protezione delle informazioni.

La guida è scritta per un'organizzazione governativa boilerplate, con esempi scritti applicabili a questo effetto. Tuttavia, ogni organizzazione governativa deve adattare le linee guida ai propri requisiti specifici. Un esempio è una specifica sfumatura legislativa applicabile a un'organizzazione. Gli esempi aiutano anche in tali sfumature.

La sezione della guida intitolata Australian Government requirement to capability mapping include un elenco completo dei requisiti di PSPF Policy 8 e Policy 9, oltre a una spiegazione di come è possibile configurare le funzionalità di Microsoft Purview per soddisfare ogni requisito e un collegamento alle sezioni della guida corrispondenti. Vengono discussi anche i requisiti rilevanti relativi al manuale per la sicurezza delle informazioni (ISM) e ai requisiti agrkMS (Australian Government Recordkeeping Metadata Standard).

Panoramica dell'architettura

Questa guida usa tre funzionalità chiave per soddisfare i requisiti di protezione e classificazione delle informazioni per enti pubblici, vale a dire:

• Etichettatura di riservatezza
• Prevenzione della perdita dei dati (DLP)
• Etichettatura automatica di riservatezza

Il diagramma seguente fornisce una panoramica concettuale dell'interazione tra queste tre funzionalità di Microsoft 365 e esempi di utilizzo.

Etichettatura di riservatezza

Microsoft Purview Information Protection include una funzionalità denominata etichettatura di riservatezza. L'etichettatura di riservatezza consente agli utenti di applicare etichette a elementi come file e posta elettronica. Queste etichette possono essere allineate ai controlli di sicurezza dei dati per proteggere le informazioni racchiuse. L'etichettatura di riservatezza può essere estesa anche ad altri servizi, ad esempio siti di SharePoint, Teams e riunioni.

Le etichette di riservatezza, quando sono allineate ai requisiti di classificazione di un'organizzazione, ad esempio quelli definiti nei criteri pspf (Protective Security Policy Framework) 8, consentono di considerare le etichette come classificazioni. Ci forniscono contrassegni visivi tramite l'interfaccia utente e altre opzioni di contrassegno. Ad esempio:

I controlli di sicurezza dei dati che possono essere applicati tramite etichette di riservatezza includono:

• Possibilità di crittografare gli elementi, impedendo l'accesso da parte di utenti non autorizzati.
• Possibilità di fornire consigli sulle etichette agli utenti al rilevamento di informazioni riservate.
• Controllo dell'accesso utente esterno alle posizioni etichettate.
• Controllo delle impostazioni di sicurezza delle riunioni di Teams per le riunioni con determinate etichette applicate.

Queste funzionalità sono in linea con i requisiti del governo australiano per il contrassegno e la protezione delle informazioni riservate o classificate per la sicurezza.

Esperienza client di etichettatura

Come illustrato nel supporto client di Microsoft Office, gli utenti in genere interagiscono con gli elementi etichettati tramite un client di Office Microsoft 365 Apps, un client basato sul Web o un dispositivo mobile equivalente. Questi client consentono agli utenti di applicare etichette agli elementi.

Se un utente dimentica di applicare un'etichetta a un elemento, il client richiede all'utente di applicare un'etichetta prima di salvare l'elemento o, se un messaggio di posta elettronica, prima di inviarlo.

Mentre un utente sta lavorando a un elemento, se un'etichetta deve ancora essere applicata e vengono rilevate informazioni allineate a una classificazione, è possibile fornire all'utente una raccomandazione per l'etichetta . Se viene quindi rilevato un contenuto sensibile allineato a una classificazione superiore rispetto all'etichetta di riservatezza applicata, è possibile fornire all'utente una raccomandazione per aumentare la sensibilità dell'elemento.

Tali raccomandazioni consentono di garantire l'accuratezza dell'etichetta. L'accuratezza dell'etichetta è importante in quanto molti controlli che controllano il flusso di informazioni si basano sulla riservatezza degli elementi.

Applicabilità a Copilot

Microsoft 365 Copilot eredita le molteplici forme di protezione di Microsoft 365 da compromissioni e accessi non autorizzati. Il modello di autorizzazione all'interno di Microsoft 365 consente di garantire che le informazioni non possano essere perse intenzionalmente tra utenti e gruppi.

Le mitigazioni dei rischi per le informazioni fornite da Microsoft Purview sono complementari a Copilot per Microsoft 365. L'esempio più semplice consiste nell'ereditarietà delle etichette. Se Copilot viene usato per generare un elemento basato su un elemento di origine, ad esempio per generare un riepilogo di un documento di origine Word, tutte le etichette di riservatezza applicate all'elemento di origine vengono ereditate dall'elemento generato. Ciò consente di garantire che le protezioni applicate alle informazioni vengano mantenute man mano che le informazioni cambiano modulo.

Quando si valutano potenziali problemi di sicurezza che potrebbero verificarsi in seguito all'abilitazione di Copilot per Microsoft 365, i rischi possono essere raggruppati in tre categorie:

1. Perdita di dati dallo strumento di intelligenza artificiale: il contenuto generato da Copilot potrebbe contenere informazioni riservate.
2. Oversharing dei dati: gli utenti possono distribuire gli elementi generati da Copilot che contengono informazioni riservate.
3. Perdita di dati nello strumento di intelligenza artificiale: gli utenti possono perdere inavvertitamente dati sensibili in Copilot.

Le funzionalità seguenti, illustrate in questa guida, consentono di ridurre la perdita di dati da Copilot e la condivisione eccessiva dei dati:

• L'identificazione delle informazioni indica se il contenuto generato o condiviso contiene informazioni riservate o riservate sulla sicurezza. I controlli proteggono automaticamente le informazioni.
• L'etichettatura automatica basata su client identifica quando un elemento generato contiene informazioni riservate e fornisce all'utente una raccomandazione sull'etichetta. L'etichetta è soggetta a qualsiasi controllo basato su etichetta.
• La configurazione dei gruppi di etichette e dei siti applica i controlli di sicurezza, incluse le restrizioni sulla condivisione e l'accesso degli utenti esterni, alle posizioni. Se un elemento generato da Copilot viene spostato in una posizione, che non viene considerata sicura per l'etichetta applicata all'elemento, i trigger di avviso consentono la pulizia.
• Le regole DLP che proteggono le informazioni classificate, se associate alla configurazione di etichettatura obbligatoria, si applicano a tutti i documenti e i messaggi di posta elettronica di Office. A causa dell'ereditarietà delle etichette, il contenuto generato da Copilot eredita le etichette applicate alle informazioni di origine, il che significa che saranno anche nell'ambito dei criteri DLP pertinenti basati su etichette.
• Le regole di prevenzione della perdita dei dati che proteggono le informazioni riservate garantiscono che, indipendentemente dall'etichetta applicata a un elemento, siano ancora applicabili i controlli di sicurezza corretti. In questo modo si garantisce che, nel caso in cui Copilot abbia utilizzato informazioni sensibili in un elemento generato, le informazioni vengono protette dalla sovrasodivisione.
• La crittografia delle etichette di riservatezza impedisce l'oversharing garantendo che solo gli utenti autorizzati possano accedere agli elementi classificati di sicurezza. Inoltre, le autorizzazioni di crittografia bloccano Copilot dagli elementi altamente sensibili, riducendo il rischio che le informazioni vengano incluse nel contenuto generato.

Per altre informazioni specifiche di Copilot per Microsoft 365 su questi controlli, vedere Considerazioni sulla protezione delle informazioni per Copilot.

Per quanto riguarda i rischi relativi alla perdita di dati in strumenti di intelligenza artificiale, la crittografia delle etichette di riservatezza è rilevante a questo scopo. Altri controlli non sono specifici di Microsoft Purview e non vengono risolti come parte di questa guida. Tuttavia, i collegamenti seguenti forniscono informazioni rilevanti:

• La ricerca con restrizioni di SharePoint (RSS) consente alle organizzazioni di limitare Copilot per Microsoft 365 all'accesso solo a un elenco approvato di un massimo di 100 siti. L'implementazione di questa funzionalità può contribuire a ridurre il rischio di informazioni di indicizzazione copilot a cui le organizzazioni non sono preparate per l'accesso. Questa funzionalità consente di abilitare Copilot mentre viene implementato l'elenco precedente di controlli Microsoft Purview e viene risolto qualsiasi sovrasodivisione esistente a causa di autorizzazioni inappropriate. Dopo aver attenuato il rischio di informazioni, RSS viene disabilitato per consentire agli utenti di sfruttare appieno le funzionalità di Copilot.
• I report di governance dell'accesso ai dati, inclusi in SharePoint Premium, possono essere usati per individuare i siti che contengono contenuti potenzialmente sovracondivisi o sensibili in modo che possano essere risolti.
• La gestione del ciclo di vita del sito, inclusa in SharePoint Premium, può essere usata per rilevare e agire automaticamente sui siti inattivi. La rimozione di siti inattivi consente di garantire che le informazioni a cui Copilot ha accesso siano aggiornate e pertinenti.

Contattaci

Se vuoi contattare i creatori di questa guida per discutere dei consigli forniti, non esitare a farlo tramite AUGovMPIPGuide@microsoft.com.