Lista kontrolna raMP — ochrona danych
Ta lista kontrolna planu szybkiej modernizacji (RaMP) pomaga chronić dane lokalne i w chmurze zarówno przed przypadkowym, jak i złośliwym dostępem.
Nieumyślny dostęp występuje, gdy użytkownik uzyskuje dostęp do danych, które w oparciu o ich role i obowiązki nie powinny mieć. Wynikiem mogą być niezamierzone wycieki danych, niszczenie danych lub naruszenia przepisów dotyczących zabezpieczeń i prywatności danych.
Złośliwy dostęp występuje, gdy osoba atakująca zewnętrzna lub złośliwy wewnętrzny celowo próbuje uzyskać dostęp do danych. Złośliwi testerzy mogą używać danych do zysku lub zaszkodzić organizacji. Zewnętrzni atakujący mogą usuwać, modyfikować, eksfiltrować i szyfrować najbardziej poufne dane, co pozwala na atak wymuszający okup.
W przypadku obu typów ataków należy wykonać niezbędne kroki, aby zidentyfikować dane, chronić je, zapobiegać ich niszczeniu lub eksfiltracji oraz zapewnić, że tylko użytkownicy mający cel biznesowy mają do niego dostęp.
Ochrona danych jest częścią zasady "przyjmij naruszenie" zero trustu. Nawet w przypadku wszystkich kont użytkowników i ochrony urządzeń należy założyć, że osoba atakująca może znaleźć swoją drogę i rozpocząć przechodzenie do środowiska, wyszukując najcenniejsze dane dla organizacji.
W związku z tym należy:
Znajomość danych
Poznaj krajobraz danych i zidentyfikuj ważne informacje w środowisku chmurowym i lokalnym.
Ochrona danych
Chroń poufne dane w całym cyklu życia, stosując etykiety poufności połączone z akcjami ochrony, takimi jak szyfrowanie, ograniczenia dostępu, oznaczenia wizualne i inne.
Zapobieganie utracie danych
Stosowanie spójnego zestawu zasad ochrony przed utratą danych w chmurze, środowiskach lokalnych i punktach końcowych w celu monitorowania, zapobiegania i korygowania ryzykownych działań z poufnymi danymi.
Korzystanie z dostępu z najmniejszymi uprawnieniami
Zastosuj minimalne uprawnienia składające się z tego, kto może uzyskiwać dostęp i jakie uprawnienia mogą wykonywać z danymi w celu spełnienia wymagań biznesowych i produktywności.
Konta członków programu i projektu
W tej tabeli opisano ogólną ochronę danych organizacji w zakresie sponsorowania/zarządzania programem/hierarchii zarządzania projektami w celu określenia i uzyskania wyników.
| Potencjalny klient | Właściciel | Odpowiedzialności |
|---|---|---|
| CISO, CIO lub dyrektor ds. zabezpieczeń danych | Sponsorowanie przez kierownictwo | |
| Potencjalnego klienta programu z poziomu zabezpieczeń danych | Podsyć wyniki i współpracę między zespołami | |
| Architekt zabezpieczeń | Porada w zakresie konfiguracji i standardów | |
| Administracja Microsoft 365 | Implementowanie zmian w dzierżawie platformy Microsoft 365 dla usługi OneDrive i folderów chronionych | |
| Inżynier zabezpieczeń danych i/lub inżynier zabezpieczeń infrastruktury | Włączanie tworzenia kopii zapasowej infrastruktury | |
| Właściciele aplikacji | Identyfikowanie krytycznych zasobów biznesowych | |
| Administracja zabezpieczeń danych | Implementowanie zmian konfiguracji | |
| Administracja IT | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zabezpieczeniami i/lub Administracja IT | Monitorowanie w celu zapewnienia zgodności | |
| Zespół ds. edukacji użytkowników | Zapewnianie wskazówek dla użytkowników odzwierciedla aktualizacje zasad |
Cele wdrożenia
Spełnij te cele wdrażania, aby chronić dane dla modelu Zero Trust.
| Gotowe | Cel wdrożenia | Właściciel |
|---|---|---|
| 1. Znajomość danych | Architekt zabezpieczeń danych | |
| 2. Ochrona danych | Inżynier zabezpieczeń danych | |
| 3. Zapobieganie utracie danych | Inżynier zabezpieczeń danych | |
| 4. Użyj dostępu z najniższymi uprawnieniami | Inżynier zabezpieczeń danych |
1. Znajomość danych
Wykonaj te kroki implementacji, aby spełnić cel Know your data deployment (Znajomość wdrożenia danych ).
| Gotowe | Krok implementacji | Właściciel | Dokumentacja |
|---|---|---|---|
| 1. Określanie poziomów klasyfikacji danych. | Architekt zabezpieczeń danych | Dowiedz się więcej o | |
| 2. Określanie wbudowanych i niestandardowych typów informacji poufnych. | Architekt zabezpieczeń danych | Dowiedz się więcej o | |
| 3. Określenie użycia wstępnie wytrenowanych i niestandardowych klasyfikatorów uczenia. | Architekt zabezpieczeń danych | Dowiedz się więcej o | |
| 4. Odnajdywanie i klasyfikowanie poufnych danych. | Architekt zabezpieczeń danych i/lub inżynier zabezpieczeń danych | Dowiedz się więcej o |
2. Ochrona danych
Wykonaj te kroki implementacji, aby spełnić cel Ochrony wdrożenia danych .
| Gotowe | Krok implementacji | Właściciel | Dokumentacja |
|---|---|---|---|
| 1. Określ użycie i projektowanie etykiet poufności. | Architekt zabezpieczeń | Rozpocznij | |
| 2. Etykietowanie i ochrona elementów dla aplikacji i usług platformy Microsoft 365. | Inżynier zabezpieczeń danych | Zarządzanie etykietami poufności | |
| 3. Włączanie i konfigurowanie aplikacji Microsoft Defender dla Chmury. | Inżynier zabezpieczeń danych | Rozpocznij | |
| 4. Odnajdywanie, etykietowanie i ochrona poufnych elementów znajdujących się w magazynach danych w chmurze. | Inżynier zabezpieczeń danych | Najlepsze praktyki | |
| 5. Odnajdywanie, etykietowanie i ochrona poufnych elementów znajdujących się w lokalnych magazynach danych. | Inżynier zabezpieczeń danych | Skaner ochrony informacji | |
| 6. Rozszerzanie etykiet poufności na platformę Azure przy użyciu Mapa danych w Microsoft Purview | Inżynier zabezpieczeń danych | Etykietowanie w Mapa danych w Microsoft Purview |
3. Zapobieganie utracie danych
Wykonaj te kroki implementacji, aby spełnić cel zapobiegania utracie danych.
| Gotowe | Krok implementacji | Właściciel | Dokumentacja |
|---|---|---|---|
| 1. Projektowanie i tworzenie zasad ochrony przed utratą danych (DLP). | Architekt zabezpieczeń | Dowiedz się więcej o | |
| 2. Włącz i skonfiguruj zapobieganie utracie danych punktu końcowego. | Inżynier zabezpieczeń danych | Dowiedz się więcej o | |
| 3. Skonfiguruj zasady dostępu dla kontroli aplikacji dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps. | Inżynier zabezpieczeń danych | Omówienie |
4. Użyj dostępu z najniższymi uprawnieniami
Wykonaj te kroki implementacji, aby upewnić się, że użytkownicy i administratorzy spełniają cel wdrożenia Użyj dostępu do najniższych uprawnień.
| Gotowe | Krok implementacji | Właściciel |
|---|---|---|
| 1. W celu poznania wdrożenia danych przejrzyj uprawnienia do lokalizacji poufnych i krytycznych informacji. | Inżynier zabezpieczeń danych | |
| 2. Zaimplementuj minimalne uprawnienia dla poufnych i krytycznych informacji podczas spełniania wymagań dotyczących współpracy i działalności biznesowej oraz informowania użytkowników, których dotyczy problem. | Inżynier zabezpieczeń danych | |
| 3. Przeprowadź zarządzanie zmianami dla pracowników, aby przyszłe lokalizacje informacji poufnych i krytycznych zostały utworzone i zachowane z minimalnymi uprawnieniami. | Zespół ds. edukacji użytkowników | |
| 4. Przeprowadź inspekcję i monitorowanie lokalizacji poufnych i krytycznych informacji w celu zapewnienia, że szerokie uprawnienia nie są przyznawane. | Inżynier zabezpieczeń danych i/lub zarządzanie zabezpieczeniami Administracja |
Wyniki
Po ukończeniu tych celów wdrażania utworzysz sekcję Dane architektury Zero Trust.
