Requisiti per il mapping delle funzionalità di Microsoft 365 per la conformità del governo australiano con PSPF
Questo articolo è un componente chiave della Guida Information Protection del governo australiano. Elenca i requisiti di Protection Security Policy Framework, Information Security Manual (ISM) eAustralian Government Recordkeeping Metadata Standard (AGRkMS). Fornisce anche consigli su come Microsoft Purview e altre funzionalità di Microsoft 365 possono soddisfare i requisiti indicati e fornisce collegamenti ad altre sezioni della guida in cui queste funzionalità vengono ulteriormente discusse. L'articolo fornisce anche indicazioni sui framework governativi dello stato, ad esempio il Victorian Government Protective Data Security Framework (VPDSF) del governo vittoriano.
Framework dei criteri di sicurezza di protezione
Protective Security Policy Framework (PSPF) è un set di criteri progettati per supportare le entità governative australiane per proteggere le persone, le informazioni e gli asset. Il PSPF delinea i requisiti per le entità per ottenere i risultati di sicurezza protettivi desiderati dal governo.
Per altre informazioni su PSPF, vedere Protective Security Policy Framework.
I criteri PSPF strettamente correlati alle configurazioni Microsoft Purview Information Protection sono:
La chiave per comprendere l'applicazione PSPF per i servizi di posta elettronica è PSPF Policy 8 Annex F: Australian Government Email Protective Marking Standard, a cui si fa riferimento in questo documento.
PSPF include un meccanismo di creazione di report che consente alle organizzazioni di segnalare il livello di maturità nei vari criteri PSPF. L'obiettivo è che questa guida consenta alle organizzazioni con livelli di maturità bassi di migliorare la maturità dei criteri PSPF 8 e Policy 9 a livelli di "gestione" o "embedded" con un impegno ridotto. Per altre informazioni sui livelli di maturità PSPF, vedere Rapporto di valutazione del framework di criteri di sicurezza protettivo 2022-23
Criteri PSPF 8: informazioni riservate e classificate
I requisiti sono basati sui requisiti di PSPF Policy 8 V2018.8 (aggiornati il 30 agosto 2023).
I criteri PSPF 8 illustrano in che modo le entità valutano correttamente la riservatezza o la classificazione di sicurezza delle informazioni e adottano disposizioni di contrassegno, gestione, archiviazione e eliminazione che garantiscono la protezione dalla compromissione delle informazioni.
Questo criterio è suddiviso in requisiti di base e di supporto. I commenti sulle funzionalità di Microsoft 365 in linea con i requisiti e i collegamenti alle indicazioni pertinenti in questo sito sono disponibili nella tabella seguente. I criteri possono essere letti per intero anche in PSPF policy 8: Sensitive and classified information (Criteri PSPF 8: Informazioni riservate e classificate).
Requisito di base A e requisito di supporto 1: Identificazione delle aziende di informazioni
| Funzionalità della soluzione | Sezione |
|---|---|
| Richiedere agli utenti di identificare la riservatezza degli elementi (file e messaggi di posta elettronica) tramite etichette di riservatezza. |
Esperienza client di etichettatura Etichettatura obbligatoria Integrazione del PDF per l'etichettatura di riservatezza |
| Applicare contrassegni di protezione alle posizioni (Siti e Team) e applicare le protezioni alle posizioni contrassegnate. | Configurazione di gruppi di etichette di riservatezza e siti |
| Definire la riservatezza delle riunioni e implementare i controlli operativi associati. | Etichettatura di riservatezza per gli elementi del calendario e le riunioni dei team |
| Richiedere agli utenti di identificare la sensibilità delle aree di lavoro di Power BI tramite etichette di riservatezza. | Integrazione di Power BI e dati |
| Applicare etichette a informazioni riservate che risiedono nei sistemi di database. | Asset di dati schematizzati |
| Applicare intestazioni di posta elettronica, che possono essere usate per identificare la sensibilità degli elementi in ingresso e applicare i controlli appropriati. | Etichettatura della posta elettronica durante il trasporto |
Requisito di base B e requisito di supporto 2: valutazione delle informazioni riservate e classificate per la sicurezza
| Funzionalità della soluzione | Sezione |
|---|---|
| Offrire agli utenti l'opportunità di valutare il valore, l'importanza e la sensibilità degli elementi quando si seleziona un'etichetta di riservatezza. | Etichettatura obbligatoria |
| Guida gli utenti nella valutazione della riservatezza degli elementi tramite le finestre di dialogo popup dell'etichetta contenenti descrizioni delle etichette, visibili durante la selezione dell'etichetta. | Descrizione dell'etichetta per gli utenti |
| Offre la possibilità di configurare un collegamento Di ulteriori informazioni specifico dell'organizzazione accessibile dal menu di selezione delle etichette e in grado di fornire agli utenti ulteriori consigli sulle etichette appropriate per i tipi di informazioni. | Pagina della Guida personalizzata |
| Assiste gli utenti nella valutazione delle disponibilità di informazioni rilevando gli elementi sotto-classificati e raccomandando la rivalutazione, se necessario. | Raccomandazione di etichette in base al rilevamento di contenuti sensibili |
| Consente di valutare le informazioni identificando i dati sensibili tratti da o esistenti all'interno di applicazioni di database o piattaforme simili. | Tipi di informazioni sensibili esatti corrispondenti ai dati |
| Facilitare la valutazione delle informazioni usando l'apprendimento automatico per identificare gli elementi che in genere vengono considerati sensibili. | Classificatori sottoponibili a training |
| Assistere gli utenti nella valutazione dei dati informativi consigliando etichette allineate ai contrassegni applicati da organizzazioni esterne. | Raccomandazioni basate sui contrassegni delle agenzie esterne |
| Assistere gli utenti nella valutazione delle aziende informative raccomandando etichette allineate ai contrassegni cronologici. |
Raccomandazioni basate su contrassegni cronologici Etichettatura automatica di elementi con classificazioni di sicurezza cronologiche |
| Assistere gli utenti nella valutazione delle informazioni contenute consigliando etichette allineate ai contrassegni applicati da soluzioni di classificazione non Microsoft. | Raccomandazioni basate sui contrassegni applicati da strumenti non Microsoft |
| Assistenza nella valutazione delle informazioni fornendo notifiche visive agli utenti tramite suggerimento per i criteri DLP quando vengono rilevate informazioni riservate in un elemento. | Suggerimenti per i criteri DLP prima della violazione |
| Identificare le informazioni sensibili che risiedono nei sistemi di database, etichettare le informazioni sul posto e consentire l'eredità dell'etichetta nei sistemi downstream. |
Power BI e Azure Purview Microsoft Purview Data Map |
Requisito di base C: implementare controlli operativi per queste aziende di informazioni proporzionali al valore, all'importanza e alla sensibilità di tali aziende
| Funzionalità della soluzione | Sezione |
|---|---|
| Impedire la distribuzione inappropriata delle informazioni classificate di sicurezza usando criteri di prevenzione della perdita dei dati in base alle etichette di riservatezza. | Protezione delle informazioni classificate |
| Impedire la distribuzione inappropriata di informazioni sensibili usando criteri di prevenzione della perdita dei dati destinati al contenuto sensibile. | Protezione delle informazioni riservate |
| Fornire contrassegni visivi sui singoli elementi che riflettono la classificazione di sicurezza applicata alle informazioni all'interno dell'elemento. | Contrassegno del contenuto dell'etichetta di riservatezza |
| Fornire contrassegni visivi che riflettono il livello di riservatezza più elevato che deve esistere all'interno di una posizione (sito o team). | Posizione di SharePoint e riservatezza degli elementi |
| Configurare le impostazioni di privacy della posizione in base alla riservatezza applicata alla posizione. | Impostazioni di privacy delle etichette |
| Abilitare o disabilitare l'accesso guest a una posizione e agli elementi all'interno di una posizione in base all'etichetta applicata alle posizioni. | Configurazione dell'accesso guest |
| Controllare la configurazione di condivisione di Microsoft 365 per una posizione basata su SharePoint (sito o team) a seconda dell'etichetta applicata alla posizione. | Configurazione della condivisione delle etichette |
| Fornire notifiche e avvisi utente per gli elementi altamente sensibili che si trovano in posizioni di riservatezza inferiori. | Avvisi fuori luogo dei dati |
| Configurare altri requisiti per l'accesso a posizioni altamente sensibili (siti o Teams). Ad esempio, da dispositivi non gestiti, dispositivi non sicuri o posizioni sconosciute. |
Accesso condizionale Contesto di autenticazione Protezione delle informazioni classificate Controllo della condivisione tramite la protezione adattiva |
| Crittografare gli elementi altamente sensibili per impedire l'accesso da parte di utenti non autorizzati, indipendentemente dalla posizione di un elemento. | Crittografia delle etichette di riservatezza |
| Configurare le restrizioni di accesso e utilizzo per gruppi di utenti interni o guest. | Allocazione delle autorizzazioni di crittografia delle etichette |
| Limitare lo spostamento degli elementi classificati di sicurezza e/o delle relative informazioni contenute in posizioni in cui non è possibile controllare l'accesso o un'ulteriore distribuzione delle informazioni contenute. |
Impedire il download o la stampa di elementi classificati di sicurezza Impedire il caricamento di elementi classificati di sicurezza in posizioni non gestite |
Requisiti di supporto
Requisito 1: Identificazione delle aziende di informazioni
Non sono previsti requisiti di supporto aggiuntivi oltre ai requisiti principali.
Requisito 2: Valutazione delle informazioni riservate e classificate per la sicurezza
Non sono previsti requisiti di supporto aggiuntivi oltre ai requisiti principali.
Requisito 3: Declassificazione
| Funzionalità della soluzione | Sezione |
|---|---|
| Registrare un trail controllabile di tutte le attività correlate alle etichette, inclusa la rimozione o la riduzione delle etichette di riservatezza applicate. Registrare le attività di modifica dell'etichetta, tra cui l'utente che ha apportato la modifica e la relativa giustificazione. |
Giustificazione della modifica dell'etichetta Log di controllo |
| Applica la crittografia agli elementi che limitano la possibilità interna o guest di modificare gli elementi, mantenendo l'elemento e contrassegnando/classificando l'elemento applicato. | Allocazione delle autorizzazioni di crittografia delle etichette |
| Blocco degli elementi sul posto per impedire modifiche agli elementi, inclusa la possibilità di modificare l'etichetta di riservatezza applicata. | Approccio "blocco" dell'etichetta |
| Segnalare gli utenti che svolgono attività ritenute rischiose per la sicurezza delle informazioni, incluse le sequenze di downgrade ed esfiltrazione delle etichette. |
Approccio basato sul rischio dell'utente Monitoraggio della condivisione tramite Insider Risk Management Controllo della condivisione tramite la protezione adattiva |
| Implementare criteri di prevenzione della perdita dei dati per rilevare i contrassegni protettivi all'interno dell'avviso degli elementi se l'etichetta attualmente applicata è inferiore al contrassegno identificato. | Implicazioni per il downgrade di etichette dannose |
Requisito 4: Contrassegnare le informazioni
| Funzionalità della soluzione | Sezione |
|---|---|
| I client di Office forniscono un'identificazione chiara della riservatezza di un elemento tramite contrassegni di etichetta basati su client. | Esperienza client di etichettatura |
| Applicare contrassegni di protezione basati su testo per contrassegnare le informazioni riservate e classificate per la sicurezza. |
Contrassegno del contenuto dell'etichetta di riservatezza Strategie di contrassegno delle informazioni |
| Applicare contrassegni codificati a colori per aiutare gli utenti a identificare la sensibilità. | Colore dell'etichetta |
| Applicare contrassegni protettivi tramite metadati di posta elettronica (intestazioni x). | Applicazione di intestazioni x-protective-marking tramite criteri DLP |
| Applicare contrassegni protettivi tramite oggetto di posta elettronica. | Applicazione di contrassegni di posta elettronica basati su soggetto |
| Applicare contrassegni a posizioni, ad esempio siti o Teams. Questi contrassegni identificano il livello più alto di riservatezza dell'elemento che deve esistere nella posizione/contenitore. | Avvisi out-of-place dei dati |
| Identificare chiaramente la sensibilità degli elementi agli utenti quando si lavora in directory basate su SharePoint (siti, Teams o OneDrive). | Posizione e riservatezza degli elementi di SharePoint |
Requisito 5: Uso dei metadati per contrassegnare le informazioni
| Funzionalità della soluzione | Sezione |
|---|---|
| Classificare la sicurezza degli indici e avvertenze sulla sicurezza e divulgare le proprietà del marcatore di limitazione tramite la ricerca di SharePoint, in linea con i requisiti AGRkMS. | Gestione dei metadati di classificazione e avvertenza |
| Applicare x-Protective-Marking x-headers per soddisfare i requisiti dei metadati di posta elettronica in base al criterio PSPF 8 Allegato F. | Applicazione di intestazioni x-protective-marking tramite criteri DLP |
| Applicare metadati alle colonne di database contenenti informazioni riservate nei sistemi di database connessi. | Integrazione di Power BI e dati |
Requisito 6: Avvertenze e materiale responsabile
| Funzionalità della soluzione | Sezione |
|---|---|
| Contrassegnare le informazioni specificate e i marcatori di limitazione della diffusione associati (DLLM) o la classificazione tramite la struttura dell'etichetta di riservatezza. | Tassonomia dell'etichetta di riservatezza richiesta |
| Contrassegnare le avvertenze sugli elementi associati tramite testo. |
Contrassegno del contenuto dell'etichetta di riservatezza Contrassegni basati su soggetto |
| Registrare tutto il trasferimento di materiale in ingresso e in uscita. | Log di controllo |
| Applicare restrizioni di accesso e/o distribuzione avvertenza. |
Limitazione della distribuzione di informazioni riservate Crittografia delle etichette di riservatezza |
Requisito 7: Protezione minima e requisiti di gestione
| Funzionalità della soluzione | Sezione |
|---|---|
| Le informazioni archiviate nei data center di Microsoft 365 vengono crittografate inattivi tramite crittografia BitLocker. | Panoramica della crittografia |
| Richiedere la crittografia TLS per la trasmissione tramite posta elettronica di elementi sensibili, assicurandosi che vengano crittografati quando vengono trasferiti tramite reti pubbliche. | Richiesta della crittografia TLS per la trasmissione di messaggi di posta elettronica sensibili |
| Configurare il controllo di accesso granulare in posizioni contrassegnate (siti o Teams) e bloccare utenti, dispositivi o posizioni che non soddisfano i requisiti di accesso o l'autorizzazione. |
Restrizioni dei dispositivi non gestiti Contesto di autenticazione |
| Mantenere i principi della necessità di conoscere limitando la condivisione, l'accesso guest e controllando la configurazione della privacy delle posizioni contrassegnate. | Configurazione di gruppi di etichette di riservatezza e siti |
| Applicare criteri di prevenzione della perdita dei dati per garantire la necessità di conoscere e limitare la distribuzione degli elementi a utenti interni non autorizzati o non chiari e organizzazioni esterne. | Limitazione della distribuzione di informazioni riservate |
| Crittografare gli elementi riservati o classificati per la sicurezza, fornendo il controllo di accesso e assicurandosi che solo gli utenti autorizzati abbiano accesso alle informazioni contenute, indipendentemente dalla posizione dell'elemento. | Crittografia delle etichette di riservatezza |
| Applicare le protezioni, inclusi i controlli correlati a crittografia, condivisione e prevenzione della perdita dei dati alle esportazioni o ai PDF generati dai sistemi di origine etichettati. | Integrazione di Power BI e dati |
| Identificare gli elementi contrassegnati con classificazioni di sicurezza cronologiche e eseguire l'aallineamento automatico con i contrassegni moderni oppure mantenere l'etichetta cronologica insieme ai controlli necessari. | Raccomandazioni basate su contrassegni cronologici |
Requisito 8: Eliminazione
| Funzionalità della soluzione |
|---|
| Implementare criteri di conservazione, etichettatura di conservazione, ciclo di vita dei dati e configurazioni di gestione dei record, inclusa la revisione dell'eliminazione, per supportare i requisiti di archiviazione e record. |
| Allineare il contrassegno di sicurezza, l'etichetta/criterio di conservazione e l'eliminazione associata se necessario (notando che la sicurezza e l'archivio raramente si allineano). |
| Implementare criteri di conservazione che rimuovono definitivamente le informazioni una volta soddisfatti i requisiti di conservazione degli elementi oppure forniscono ai team di gestione dei record la funzionalità di revisione dell'eliminazione che consentono lo screening degli elementi prima dell'eliminazione permanente. |
Questi articoli riguardano Gestione del ciclo di vita dei dati di Microsoft Purview quindi Information Protection e non rientrano nell'ambito di questa guida. Per indicazioni su Gestione del ciclo di vita dei dati di Microsoft Purview, vedere Gestione del ciclo di vita.
Requisito 9: discussioni riservate e classificate per la sicurezza
| Funzionalità della soluzione | Sezione |
|---|---|
| Applicare contrassegni protettivi agli inviti alle riunioni di Teams e agli elementi del calendario di Outlook. Applicare controlli agli elementi del calendario, ad esempio la crittografia degli allegati delle riunioni. |
Etichettatura degli elementi del calendario |
| Applicare contrassegni protettivi alle riunioni di Teams e configurare controlli avanzati per proteggere le conversazioni classificate, tra cui tecniche di crittografia avanzate e filigrane per riunioni. Crittografia end-to-end delle conversazioni di Teams, che garantisce agli utenti che le discussioni riservate o classificate per la sicurezza non possono essere intercettate. |
configurazione dell'etichetta Teams Premium |
Criteri PSPF 9: Accesso alle informazioni
L'accesso alle informazioni si basa sui requisiti di PSPF Policy 9 V2018.6 (aggiornato il 16 agosto 2022).
Il criterio PSPF 9 riguarda l'accesso tempestivo, affidabile e appropriato alle informazioni ufficiali.
Come per i criteri 8, il criterio 9 è suddiviso in requisiti di base e di supporto.
I commenti sulle funzionalità di Microsoft 365 in linea con i requisiti e i collegamenti alle sezioni pertinenti di questo documento sono disponibili nella tabella seguente.
Per informazioni sull'origine dei criteri PSPF, vedere: Criterio PSPF 9: Accesso alle informazioni.
Requisito principale A: abilitare l'accesso appropriato quando si condividono informazioni all'interno dell'entità e con altri stakeholder pertinenti
| Funzionalità della soluzione | Sezione |
|---|---|
| Limitare la condivisione, la privacy e/o l'accesso guest in base all'etichetta di riservatezza applicata a una posizione di Team o SharePoint. | Configurazione di gruppi di etichette di riservatezza e siti |
| Limitare la condivisione o prestare attenzione agli utenti quando tentano di condividere contenuto etichettato con gruppi interni o esterni non autorizzati. |
Prevenzione della distribuzione inappropriata di informazioni classificate per la sicurezza Limitazione della distribuzione di informazioni riservate |
| Impedire il recapito di messaggi di posta elettronica o allegati di posta elettronica etichettati a destinatari non autorizzati. |
Impedire la distribuzione tramite posta elettronica di informazioni classificate a organizzazioni non autorizzate Impedire la distribuzione tramite posta elettronica di informazioni classificate a utenti non autorizzati |
| Limitare il caricamento del contenuto etichettato a servizi cloud nonapproved o posizioni in cui può essere ulteriormente distribuito o accessibile da utenti non autorizzati. | Impedire il caricamento di elementi classificati di sicurezza in posizioni non gestite |
| Impedisci l'accesso agli elementi etichettati (file o messaggi di posta elettronica) da parte di utenti non autorizzati in situazioni in cui sono stati condivisi in modo inappropriato. | Crittografia delle etichette di riservatezza |
| Impedire il caricamento di elementi etichettati in servizi cloud nonapproved. Impedisci che vengano stampati, copiati su USB, trasferiti tramite Bluetooth o app non consentita. |
Impedire la condivisione di informazioni classificate per la sicurezza Impedire il download o la stampa di elementi classificati per la sicurezza |
Requisito di base B: assicurarsi che gli utenti che accedono a informazioni riservate o classificate per la sicurezza dispongano di un'autorizzazione di sicurezza appropriata e che debbano sapere che le informazioni
| Funzionalità della soluzione | Sezioni |
|---|---|
| Limitare l'accesso alle posizioni che contengono informazioni riservate o classificate solo agli utenti autorizzati. | Contesto di autenticazione |
| Integrare l'etichettatura di riservatezza e la prevenzione della perdita dei dati. I criteri possono essere costruiti per impedire la condivisione (tramite posta elettronica o azione di condivisione) di elementi con determinati contrassegni con utenti non autorizzati. |
Impedire la distribuzione tramite posta elettronica di informazioni classificate a organizzazioni non autorizzate Impedire la distribuzione tramite posta elettronica di informazioni classificate a utenti non autorizzati Impedire la condivisione di informazioni classificate per la sicurezza |
| Fornire suggerimenti sui criteri DLP, che avvisano gli utenti di condividere informazioni prima della violazione dei criteri, riducendo la probabilità di divulgazione di informazioni a causa di situazioni come identità errata. | Suggerimenti per i criteri DLP prima della violazione |
| Monitorare, inviare avvisi e/o bloccare i tentativi di condividere o inviare tramite posta elettronica elementi etichettati agli utenti che non dispongono di un'autorizzazione di sicurezza appropriata. | Gestione degli eventi DLP |
| Configurare le opzioni di privacy per siti o Teams in base al contrassegno di una posizione. Ciò consente di impedire l'accesso aperto alle posizioni per gli utenti che non hanno necessità di conoscere e consente ai proprietari di team o località di controllare l'accesso a queste posizioni. Consente inoltre di soddisfare il requisito di supporto 2 non fornendo automaticamente l'accesso in base allo stato, alla classificazione o alla praticità. | Impostazioni di privacy delle etichette |
| Configurare le restrizioni di condivisione per un sito o un team, che garantisce che gli elementi in posizioni contrassegnate possano essere condivisi solo con gli utenti interni. | Configurazione della condivisione delle etichette |
| Usare la crittografia delle etichette per controllare l'accesso al contenuto etichettato, assicurandosi che solo gli utenti autorizzati abbiano la possibilità di accedervi. | Abilitazione della crittografia delle etichette |
| Avviso relativo alle informazioni classificate o contrassegnate per la sicurezza da spostare in posizioni di riservatezza inferiori in cui sono più facilmente accessibili da utenti non autorizzati. | Avvisi out-of-place dei dati |
Requisito principale C: controllo dell'accesso (incluso l'accesso remoto) al supporto di sistemi, reti, infrastrutture, dispositivi e applicazioni ICT di supporto
| Funzionalità della soluzione | Sezioni |
|---|---|
| Consente l'uso dell'accesso condizionale (CA) per limitare l'accesso all'applicazione Microsoft 365 a utenti, dispositivi e posizioni approvati, solo quando vengono soddisfatti i requisiti di autenticazione appropriati. | Accesso condizionale |
| Fornire il controllo di accesso granulare a posizioni con etichette riservate o classificate per la sicurezza. | Contesto di autenticazione |
| Valutare l'autenticazione e l'autorizzazione dell'utente al momento dell'accesso agli elementi crittografati (file o posta elettronica). | Crittografia delle etichette di riservatezza |
Requisiti di supporto
Requisito di supporto 1: contratti formalizzati per la condivisione di informazioni e risorse
| Funzionalità della soluzione | Sezioni |
|---|---|
| Configurare le condizioni per l'utilizzo come parte di un criterio di accesso condizionale, in modo che gli utenti guest siano tenuti ad accettare le condizioni prima che sia consentito l'accesso agli elementi. Ciò integra gli accordi scritti tra le organizzazioni. | Microsoft Entra configurazione business-to-business (B2B) non rientra nell'ambito di questa guida1. I concetti sono stati introdotti nell'accesso condizionale. |
| Implementare restrizioni per impedire la condivisione non solo di informazioni contrassegnate o classificate per la sicurezza, ma anche di altri tipi di informazioni riservate con organizzazioni esterne. Le eccezioni possono essere applicate a questi criteri in modo che la condivisione sia consentita a un elenco approvato di organizzazioni per cui vengono stabiliti contratti formali. | Limitazione della distribuzione di informazioni riservate |
| Configurare la crittografia per limitare l'accesso alle informazioni (file o posta elettronica) ai guest, ad eccezione degli utenti o delle organizzazioni per cui sono configurate le autorizzazioni. | Crittografia delle etichette di riservatezza |
| Configurare l'accesso guest per consentire le attività di collaborazione (tra cui condivisione, modifica condivisa, chat e appartenenza a Teams) solo con organizzazioni approvate con cui esistono contratti formali. | Microsoft Entra configurazione B2B non rientra nell'ambito di questa guida1. I concetti o la limitazione dell'accesso guest agli elementi etichettati vengono introdotti nella configurazione dell'accesso guest |
| Controllare l'accesso guest e l'appartenenza, richiedendo ai proprietari delle risorse di rimuovere i guest quando non sono più necessari e consigliando la rimozione quando non si accede alle risorse. | Microsoft Entra configurazione B2B non rientra nell'ambito di questa guida1, 2. |
Nota
1 Per altre informazioni sulla configurazione Microsoft Entra B2B, vedere Impostazioni cloud Microsoft per la collaborazione B2B.
2 Per altre informazioni sulle verifiche di accesso, vedere Verifiche di accesso
Requisito di supporto 2: limitazione dell'accesso a informazioni e risorse riservate e classificate
Non sono previsti requisiti aggiuntivi oltre al requisito di base B.
Requisito di supporto 3: informazioni e risorse classificate per la sicurezza degli accessi in corso
| Funzionalità della soluzione | Sezioni |
|---|---|
| Configurare i criteri di prevenzione della perdita dei dati per impedire la distribuzione delle informazioni classificate di sicurezza agli utenti che non vengono cancellati al livello appropriato. | Impedire la distribuzione tramite posta elettronica di informazioni classificate a organizzazioni non autorizzate |
| Limitare l'accesso alle posizioni contenenti informazioni classificate (o limitate) di sicurezza agli utenti autorizzati al livello appropriato. | Contesto di autenticazione |
| Impedisci che le informazioni classificate o contrassegnate per la sicurezza vengano spostate in posizioni di riservatezza inferiori in cui sono facilmente accessibili da utenti non autorizzati. | Avvisi out-of-place dei dati |
| Configurare la crittografia per garantire che gli utenti che lasciano l'organizzazione non abbiano più accesso a materiale sensibile. | Crittografia delle etichette di riservatezza |
Requisito di supporto 4: Accesso temporaneo a informazioni e risorse classificate
| Funzionalità della soluzione | Sezioni |
|---|---|
| Configurare la crittografia delle etichette per concedere l'accesso temporaneo agli elementi sensibili e revocare l'accesso dopo un periodo di tempo, rendendo gli elementi illeggibili dal destinatario. | Scadenza dell'accesso al contenuto |
Requisito di supporto 5: Gestione dell'accesso ai sistemi informativi
| Funzionalità della soluzione | Sezioni |
|---|---|
| Configurare i criteri di accesso condizionale (CA) per richiedere l'identificazione dell'utente, l'autenticazione, inclusi altri fattori di "autenticazione moderna", ad esempio MFA, dispositivo gestito o posizione nota, prima di concedere l'accesso ai servizi. | Accesso condizionale |
| Applicare altri requisiti di accesso condizionale agli utenti quando accedono a posizioni contrassegnate con determinate etichette. | Contesto di autenticazione |
| Configurare la crittografia delle etichette, che conferma l'identità, l'autenticazione e l'autorizzazione ogni volta che un utente accede a un elemento crittografato. | Crittografia delle etichette di riservatezza |
Manuale per la sicurezza delle informazioni (ISM)
Lo scopo del Manuale per la sicurezza delle informazioni (ISM) è quello di delineare un framework di sicurezza informatica che le organizzazioni possono applicare, usando il proprio framework di gestione dei rischi, per proteggere le informazioni e i sistemi dalle minacce. Il manuale contiene i controlli che le organizzazioni governative e altre organizzazioni che lavorano nell'ambito del PSPF per i governi federali, statali e locali australiani devono implementare e al livello appropriato associato alla classificazione dei dati che stanno gestendo.
Lo scopo di questa guida Microsoft Purview Information Protection non è quello di sostituire qualsiasi lavoro dettagliato che le organizzazioni devono eseguire per valutare il proprio allineamento con l'ISM. È progettato per guidare le organizzazioni nella configurazione di Microsoft 365 in linea con i controlli ISM.
Per indicazioni più ampie sulla configurazione appropriata di Microsoft 365, è consigliabile usare il progetto asd per il cloud sicuro.
I requisiti ISM illustrati in questa sezione fanno riferimento alla versione di ISM - Marzo 2023.
I requisiti ISM seguenti sono rilevanti per una configurazione Microsoft Purview Information Protection organizzazioni governative:
ISM-0270: i contrassegni protettivi vengono applicati ai messaggi di posta elettronica e riflettono la massima sensibilità o classificazione dell'oggetto, del corpo e degli allegati
| Funzionalità della soluzione | Sezioni |
|---|---|
| L'ereditarietà delle etichette garantisce che un messaggio di posta elettronica venga contrassegnato in base alla sensibilità più elevata applicata all'elemento o all'allegato. | Ereditarietà delle etichette |
| Identificare le informazioni sensibili e consigliare l'applicazione di un contrassegno di maggiore riservatezza se un elemento è classificato. |
Etichettatura automatica basata su client Identificazione delle informazioni sensibili |
ISM-0271: gli strumenti di contrassegno protettivo non inseriscono automaticamente contrassegni protettivi nei messaggi di posta elettronica
| Funzionalità della soluzione | Sezioni |
|---|---|
| Richiedere agli utenti di selezionare un'etichetta di riservatezza appropriata per ogni elemento (file o messaggio di posta elettronica) e richiedere un'etichetta se non ne hanno applicata una. | Etichettatura obbligatoria |
| Configurare le raccomandazioni per le etichette per suggerire che un'etichetta venga applicata dopo il rilevamento del contenuto sensibile, lasciando la determinazione all'utente. | Raccomandazioni per l'etichettatura automatica basata su client |
ISM-0272: gli strumenti di contrassegno protettivo non consentono agli utenti di selezionare contrassegni protettivi che un sistema non è autorizzato a elaborare, archiviare o comunicare
| Funzionalità della soluzione | Sezioni |
|---|---|
| Gli utenti possono selezionare e applicare etichette di riservatezza solo agli elementi pubblicati tramite un criterio di etichettatura. |
Criteri delle etichette di riservatezza Etichette per informazioni oltre il livello protetto Blocco della trasmissione di classificazioni non consentite |
ISM-1089: gli strumenti di contrassegno protettivo non consentono agli utenti di rispondere o inoltrare messaggi di posta elettronica per selezionare contrassegni protettivi inferiori a quelli usati in precedenza
| Funzionalità della soluzione | Sezioni |
|---|---|
| Notando le differenze tra questo controllo e l'approccio di Microsoft 365, Purview può essere configurato per richiedere una giustificazione aziendale per rimuovere o ridurre un'etichetta di riservatezza. Queste informazioni vengono conservate nel log di controllo, visualizzate tramite i portali di classificazione dei dati e possono essere esportate tramite soluzioni SIEM (Security Information and Event Management), ad esempio Sentinel. Queste informazioni vengono inoltre incluse nelle metriche di Insider Risk Management (IRM), che possono essere usate per identificare gli utenti a rischio e impedire loro di intraprendere attività nefaste. |
Controllo della posta elettronica delle informazioni contrassegnate tramite DLP Implicazioni per il downgrade di etichette dannose Giustificazione della modifica dell'etichetta Log di controllo Impedire la condivisione di informazioni classificate per la sicurezza |
| Configurare la crittografia basata su etichette e la gestione dei diritti per impedire modifiche agli elementi etichettati per gli utenti che non dispongono di autorizzazioni sufficienti, impedendo le modifiche alle etichette. | Crittografia delle etichette di riservatezza |
ISM-0565: i server Email sono configurati per bloccare, registrare e segnalare messaggi di posta elettronica con contrassegni protettivi inappropriati
| Funzionalità della soluzione | Sezioni |
|---|---|
| Implementare criteri DLP per impedire la ricezione e l'ulteriore distribuzione di elementi con classificazioni non consentite nella piattaforma. | Blocco della trasmissione di classificazioni non consentite |
| Configurare i criteri DLP o le regole del flusso di posta elettronica di Exchange per bloccare, registrare e segnalare messaggi di posta elettronica con contrassegni mancanti. |
Etichettatura obbligatoria Blocco della trasmissione di messaggi di posta elettronica senza etichetta |
ISM-1023: i destinatari previsti dei messaggi di posta elettronica in ingresso bloccati e i mittenti dei messaggi di posta elettronica in uscita bloccati vengono notificati
| Funzionalità della soluzione | Sezioni |
|---|---|
| Configurare i criteri DLP o le regole del flusso di Exchange Mail con opzioni di notifica diverse in base al destinatario. | Blocco della trasmissione di messaggi di posta elettronica senza etichetta |
ISM-0572: la crittografia TLS opportunistica è abilitata nei server di posta elettronica che effettuano connessioni di posta elettronica in ingresso o in uscita tramite l'infrastruttura di rete pubblica
| Funzionalità della soluzione | Sezioni |
|---|---|
| Opportunistic Transport Layer Security (TLS) è configurato per impostazione predefinita in Exchange Online. Configurare i connettori di posta elettronica per impostare la crittografia TLS come obbligatoria per la trasmissione di messaggi di posta elettronica sensibili, senza la necessità di applicare questi requisiti agli elementi con sensibilità inferiore. |
Richiesta della crittografia TLS per la trasmissione di messaggi di posta elettronica sensibili |
ISM-1405: viene implementata una funzionalità di registrazione eventi centralizzata e i sistemi sono configurati per salvare i log eventi nella struttura il prima possibile dopo ogni evento
| Funzionalità della soluzione | Sezioni |
|---|---|
| Il log di controllo unificato fornisce la registrazione centralizzata degli eventi per tutti i servizi di Microsoft 365. | Log di controllo |
ISM-0859: i log eventi, esclusi quelli per i servizi Domain Name System e i proxy Web, vengono conservati per almeno sette anni
| Funzionalità della soluzione | Sezioni |
|---|---|
| I log di controllo possono essere conservati per un massimo di 10 anni tramite i criteri di conservazione dei log di controllo. Questo periodo può essere ulteriormente esteso tramite l'integrazione di Microsoft 365 con una soluzione SIEM, ad esempio Sentinel. | Log di controllo |
ISM-0585: per ogni evento registrato, vengono registrati la data e l'ora dell'evento, l'utente o il processo pertinente, il nome file pertinente, la descrizione dell'evento e le apparecchiature ICT coinvolte
| Funzionalità della soluzione | Sezioni |
|---|---|
| Il log di controllo di Microsoft 365 acquisisce i dettagli dell'evento amministrativo e dell'utente. Per ogni evento vengono registrati tutti i dettagli rilevanti, ad esempio elemento, utente, attività completata e ora dell'evento. I log di controllo acquisiscono eventi per le attività correlate alle etichette, ad esempio l'applicazione di etichette e le modifiche. |
Log di controllo |
ISM-0133: quando si verifica una perdita di dati, i proprietari dei dati vengono consigliati e l'accesso ai dati è limitato
| Funzionalità della soluzione | Sezioni |
|---|---|
| Configurare i criteri di prevenzione della perdita dei dati per rilevare le perdite di dati e notificare le parti appropriate al rilevamento. | Blocco della trasmissione di classificazioni non consentite |
Australian Government Recordkeeping Metadata Standard
La versione dei requisiti AGRkMS a cui si fa riferimento in questa guida è AGRkMS V2.2 (giugno 2015).
L'Australian Government Recordkeeping Metadata Standard (AGRkMS) e la guida AGRkMS che lo accompagna specificano il tipo di metadati che le agenzie governative australiane devono includere nei propri sistemi aziendali e specificano i requisiti minimi obbligatori.
Tra questi requisiti ci sono le proprietà dei metadati per "Classificazione di sicurezza" e "Avvertenza di sicurezza", allineate ai criteri PSPF 8.
Lo standard include un'istruzione di scopo per l'inclusione di queste proprietà di metadati. Come per i requisiti indicati nelle sezioni precedenti, la finalità dell'inclusione di queste proprietà in questo standard da parte di AGRkMS è allineata alle funzionalità fornite da Microsoft Purview Information Protection e dagli strumenti di Microsoft 365 associati:
| Requisito | Sezioni |
|---|---|
| 1. Facilitare o limitare l'accesso ai registri, o a particolari funzioni, attività o transazioni aziendali, da parte del personale dell'agenzia o del pubblico (classificazione e avvertenza). 2. Per impedire l'accesso ai record o a determinate funzioni, attività o transazioni aziendali da parte di utenti con autorizzazioni di sicurezza insufficienti (classificazione). 3. Per abilitare la restrizione dell'accesso ai record da parte di coloro che hanno autorizzazioni di sicurezza insufficienti (avvertenza). |
Prevenzione della distribuzione inappropriata di informazioni classificate per la sicurezza Etichettare le impostazioni di accesso guest Configurazione della condivisione delle etichette Contesto di autenticazione Avvisi fuori luogo dei dati |
| 4. Per consentire l'identificazione e la gestione appropriata di record, funzioni aziendali, attività o transazioni e mandati con sensibilità di sicurezza (classificazione e avvertenza). |
Esperienza client di etichettatura Contrassegnare il contenuto dell'etichetta Posizione e riservatezza degli elementi di SharePoint |
| 5. Avvisare gli utenti delle restrizioni di sicurezza relative all'accesso a record e mandati (classificazione e avvertenza). |
Impedire la distribuzione tramite posta elettronica di informazioni classificate a organizzazioni non autorizzate Impedire la condivisione di informazioni classificate per la sicurezza |
| 6. Impedire l'individuazione della natura delle informazioni o delle attività coperte da particolari raggruppamenti di sicurezza (classificazione e avvertenza). | Limiti di conformità |
Questi requisiti di metadati possono essere soddisfatti nella piattaforma Microsoft 365 senza alcuna manipolazione avanzata dei metadati. Tuttavia, le organizzazioni governative che desiderano usare Microsoft 365 per la gestione dei record sul posto e che vogliono soddisfare i requisiti AGRkMS nella loro interezza devono prendere in considerazione i consigli forniti nella sezione relativa alla gestione dei metadati di classificazione e avvertenza di questa guida.
Requisiti del governo statale
La sezione seguente contiene riferimenti ai requisiti del governo statale e alcune note di alto livello sul modo in cui i loro quadri differiscono dal governo federale.
Territorio della capitale australiana
L'Australian Capital Territory (ACT) government usa l'ACT Government Protective Security Policy Framework (PSPF), che è simile allo standard federal government in intent, alle etichette richieste e ai marcatori di gestione delle informazioni (IMMs). Pertanto, il consiglio in questa guida è direttamente applicabile ad ACT Government.
Nuovo Galles del Sud
Il nuovo governo del Galles del Sud (WALES) usa le linee guida per la classificazione, l'etichettatura e la gestione delle informazioni del governo DEL NUOVO GALLES DEL SUD.
Questi requisiti sono in linea con lo standard PSPF federale a un livello elevato, in quanto entrambi i set di requisiti usano le etichette UNOFFICIAL to PROTECTED. Tuttavia, lo standard WALES usa un set diverso di DMM (Dissemination Limiting Markers) che non sono allineati con le etichette federali:
"The OFFICIAL: Sensitive label is applied by the Australian Government, and other states and territories. Il governo di WALES non applicherà questa etichetta alle sue informazioni perché le sei DLLM usate in WALES con il prefisso OFFICIAL: Sensitive consentono la specificità richiesta in WALES. Ciò significa che le informazioni etichettate OFFICIAL: Sensitive sono ritenute provenienti dall'esterno del governo di WALES."
Ciò significa che le informazioni sensibili relative al governo di WALES non sono contrassegnate con etichette federali, ma vengono trattate separatamente. Ad esempio, l'etichetta "OFFICIAL Sensitive - WALES Government" non ha un equivalente PSPF, quindi la traduzione in un'etichetta PSPF non è appropriata.
Esistono tre opzioni che le organizzazioni del governo federale che collaborano con il governo di WALES devono prendere in considerazione durante la progettazione della configurazione MPIP:
- Uso di etichette nascoste in cui l'amministratore implementa un set di etichette non pubblicate per gli utenti, ma disponibili per il servizio di etichettatura automatica. Le etichette nascoste consentono alle informazioni generate dalle organizzazioni governative di ricevere protezioni simili a quelle interne senza dover rietichettare gli elementi con contrassegni PSPF. Per altre informazioni, vedere Etichette per le organizzazioni con tassonomie di etichette diverse.
- Uso di tipi di informazioni riservate (SIT) in cui le organizzazioni implementano un set di SIT, che identificano le informazioni contrassegnate con etichette per enti pubblici DI AZURE. Questi SIT vengono usati in DLP e in altri tipi di criteri per garantire che le informazioni vengano trattate in modo appropriato. Per altre informazioni, vedere Tipi di informazioni sensibili personalizzati.
- Uso di etichette allineate a NUOVO GALLES del sud in cui le organizzazioni scelgono di applicare etichette alle informazioni ricevute che si allineano più strettamente ai contrassegni del governo di WALES. Questo può essere eseguita manualmente dagli utenti, potenzialmente con l'assistenza dell'etichettatura automatica per suggerire il più appropriato (OFFICIAL: Sensibile nella maggior parte dei casi). Usando questo approccio, il contrassegno visivo DELSLIX si applica ancora agli elementi e viene integrato con equivalenti federali nei messaggi di posta elettronica di risposta. Ciò consente di garantire che le informazioni siano protette in linea con le configurazioni del tenant mentre risiedono nell'ambiente. Per altre informazioni, vedere raccomandazioni basate sui contrassegni delle agenzie esterne.
Queste opzioni sono rilevanti anche per le organizzazioni governative di WALES che stanno valutando il modo migliore per gestire le informazioni ricevute con contrassegni PSPF federali o contrassegni applicati dai governi di altri Stati.
Territorio del Nord
Il governo del Territorio del Nord (NT) usa la Northern Territory Government Public Sector Organization (NTG PSO): Sistema di classificazione della sicurezza.
Questo sistema presenta un allineamento parziale con il PSPF federale, in quanto nel framework esistono etichette UNCLASSIFIED e PROTECTED. Tuttavia, fa anche uso di etichette CONFIDENTIAL e PUBLIC, il che significa che le organizzazioni che collaborano con il governo NT dovrebbero prendere in considerazione metodi per la traduzione delle etichette o l'identificazione di informazioni RISERVATE per il governo NT tramite i metodi menzionati in precedenza nella sezione governo DEL NUOVO GALLES al fine di garantire che le informazioni siano protette mentre risiedono negli ambienti di Microsoft 365 del governo federale.
Le organizzazioni di NT Government devono prendere in considerazione i consigli contenuti in questo documento, ma aggiungere un'etichetta PUBLIC e sostituire OFFICIAL: Sensitive per le etichette CONFIDENTIAL.NT Government organizations should consider the advice in this document but add a PUBLIC label and substitute OFFICIAL: Sensitive for CONFIDENTIAL labels. Anche i punti precedenti relativi alla protezione delle informazioni da altre giurisdizioni sono rilevanti, quindi NT deve implementare tipi di informazioni riservate, etichette non pubblicate o raccomandazioni di etichettatura basate su client, come illustrato nella sezione RELATIVA a INFORMAZIONI RISERVATE.
Queensland
Le organizzazioni governative del Queensland sono tenute a rispettare il Framework di classificazione della sicurezza delle informazioni del governo del Queensland (QGISCF)
Come per IL WALES e NT, i requisiti del governo del Queensland differiscono da PSPF, ma QGISCF usa una topologia simile di etichette e informazioni OFFICIAL, SENSITIVE e PROTECTED fornite in questo documento.
Il QGISCF è progettato per essere compatibile con l'Australian Government Protective Security Policy Framework e l'Australian Government Information Security Manual. Per questo motivo, le organizzazioni del governo federale devono usare l'etichettatura automatica per tradurre le informazioni ricevute dalle organizzazioni governative del Queensland in etichette PSPF equivalenti (SENSITIVE to OFFICIAL: Sensitive, ad esempio) per garantire che tali informazioni rientrino nell'ambito della prevenzione della perdita dei dati e di altre protezioni mentre si trovano negli ambienti di Microsoft 365 del governo federale. Il contrario è applicabile alle organizzazioni governative del Queensland che ricevono informazioni sul governo federale.
Australia Meridionale
Il South Australian (SA) Protective Security Framework (SAPSF) include un criterio denominato "INFOCEC1: Protezione delle informazioni ufficiali". Questo criterio è allineato allo standard federale ad alto livello, notando alcune variazioni in termini di marcatori e avvertenze di gestione delle informazioni (ad esempio, SA CABINET e Medical in Confidence). A causa di questo allineamento, le organizzazioni del governo federale dovrebbero essere in grado di identificare e proteggere gli elementi sensibili di SA Government senza variazioni significative rispetto alle loro configurazioni. La consulenza fornita in questo documento è rilevante per il governo sa senza necessità significativa di traduzione in contrassegni locali.
Le organizzazioni governative federali che ricevono informazioni da agenzie governative sa devono considerare come le informazioni di SA Government sono protette all'interno dei loro ambienti. Creazione di SIT o etichette di riservatezza non pubblicate per acquisire contrassegni e criteri DLP specifici dell'sa per applicare protezioni appropriate (come illustrato nelle etichette per le organizzazioni con tassonomie di etichette diverse), a seconda delle esigenze.
Le organizzazioni sa per enti pubblici che usano questa guida devono considerare che il framework SAPSF non specifica i requisiti dei metadati di posta elettronica, ad esempio X-Headers. Si tratta di un divario perché senza la specifica, le organizzazioni governative sa potrebbero avere difficoltà a mantenere le classificazioni e le protezioni associate man mano che le informazioni vengono passate tra le organizzazioni. L'uso dello standard PSPF federale a questo scopo è appropriato per ottenere la traduzione dell'etichetta di posta elettronica (come descritto nell'etichettatura della posta elettronica durante il trasporto).
L'approccio usato nelle intestazioni PSPF X-Protective-Marking può essere adattato per coprire etichette specifiche sa come SA CABINET e Medical in Confidence. Alcune organizzazioni sa per enti pubblici hanno implementato metadati di stile PSPF indipendentemente dal fatto che non siano inclusi in SAPSF. Un esempio è l'impostazione di un'intestazione X-Protective-Marking di "VER=2018.6, NS=sa.gov.au, SEC=OFFICIAL". Questo approccio riduce i rischi associati alla condivisione di informazioni tra organizzazioni governative sa e fornisce un contrassegno che altri stati e organizzazioni federali possono usare per determinare le protezioni necessarie per le informazioni incluse.
Tasmania
Lo standard di classificazione della sicurezza delle informazioni per il governo della Tasmania (TAS) è una bozza e in fase di revisione.
Per informazioni sui contrassegni attualmente in uso da TAS Government, vedere TAS Information Security Classification
Le organizzazioni del governo federale che vogliono assicurarsi di proteggere le informazioni ricevute da TAS Government devono usare i controlli che sono in atto per proteggere le informazioni legacy nella versione precedente del PSPF. Per altre informazioni, vedere Raccomandazioni basate su contrassegni cronologici.
Victoria
Il framework del governo statale vittoriano (VIC) è il Victorian Protective Data Security Framework (VPDSF) è simile a SA, ma è ancora strettamente allineato con il PSPF federale.
Le organizzazioni governative statali vittoriane devono considerare i consigli forniti in questa guida come rilevanti per il proprio ambiente.
Per il framework VIC, la differenza rispetto ai contrassegni applicati tramite le intestazioni x di posta elettronica per i valori di dominio e versione. Anche i contrassegni del governo vittoriano sono diversi da quelli del governo federale, quindi le organizzazioni governative vittoriane dovrebbero notare che è necessaria una speciale gestione x-header di "SH:CABINET-IN-CONFIDENCE" al posto del "SH:NATIONAL-CABINET". Per altre informazioni sulla gestione speciale, vedere Applicazione di intestazioni x-protective-marking tramite criteri DLP.
Australia Occidentale
Il governo dell'Australia Occidentale (WA) ha una politica di classificazione delle informazioni, si avvale di etichette NON UFFICIALI, UFFICIALI e UFFICIALI: sensibili, che si allineano strettamente con le classificazioni PSPF del governo federale. Tuttavia, l'accesso e altri requisiti sono diversi.
La politica afferma che "per la protezione delle informazioni classificate di sicurezza del Commonwealth, le agenzie sono tenute a rispettare le disposizioni degli accordi inter-giurisdizionali pertinenti." Ciò significa che i requisiti del governo federale devono essere considerati dalle agenzie governative WA.
I clienti wa per enti pubblici devono prendere in considerazione i consigli forniti in questo documento per la loro rilevanza per le proprie configurazioni.
Per le organizzazioni del governo federale che ricevono informazioni da organizzazioni governative WA, poiché l'approccio WA è allineato a Federal, l'etichettatura automatica e altre configurazioni descritte in questa guida consentono di garantire che tali informazioni siano protette mentre si trovano negli ambienti Federali di Microsoft 365.