Compartilhar via


Proteção de Informações do Microsoft Purview Guide for Australian Government compliance with PSPF (Guia do Proteção de Informações do Microsoft Purview para a conformidade do Governo Australiano com o PSPF)

Este guia de Proteção de Informações do Microsoft Purview foi preparado pela Microsoft para utilização pelo Governo australiano e outras organizações interessadas. A sua intenção é ajudar os clientes do Governo australiano a melhorarem a sua postura de segurança de dados ao cumprirem os requisitos de classificação e proteção de informações. Neste guia, os conselhos alinham-se de perto com os requisitos definidos no Protected Security Policy Framework (PSPF) e no Manual de Segurança de Informações (ISM).

Este guia destina-se a Diretores de Dados do Governo Australiano (CDO), Chief Technology Officers (CTO), Chief Security Officers (CSO), Chief Information Security Officers (CISO), responsáveis pelo risco ou conformidade, privacidade das informações ou outras funções de gestão de informações.

A abordagem de programa sugerida ajuda as organizações a estabelecer um programa e a trabalhar rapidamente para melhorar a maturidade da proteção de informações.

O guia é escrito para uma organização governamental, com exemplos escritos aplicáveis a este efeito. No entanto, todas as organizações governamentais têm de adaptar a documentação de orientação aos seus requisitos exclusivos. Um exemplo é uma nuance legislativa específica aplicável a uma organização. Os exemplos também ajudam nessas nuances.

A secção do guia intitulado Requisito do Governo Australiano para o mapeamento de capacidades inclui uma lista completa dos requisitos da Política 8 e política 9 do PSPF, juntamente com uma explicação de como as capacidades do Microsoft Purview podem ser configuradas para cumprir cada requisito e uma ligação para as secções de guia correspondentes. Também são discutidos os requisitos relevantes do Standard de Metadados de Controlo de Registos do Governo Australiano (AGRkMS) e do Manual de Segurança de Informações (ISM).

Visão Geral de Arquitetura

Este guia utiliza três capacidades principais para cumprir os requisitos de proteção e classificação de informações governamentais, nomeadamente:

  • Etiquetagem de confidencialidade
  • Prevenção de Perda de Dados (DLP)
  • Etiquetagem automática de confidencialidade

O diagrama seguinte fornece uma descrição geral conceptual da interação entre estas três capacidades do Microsoft 365, juntamente com exemplos de utilização.

Ilustração a mostrar a integração de exemplo entre componentes do Microsoft Purview.

Etiquetagem de confidencialidade

Proteção de Informações do Microsoft Purview inclui uma capacidade chamada etiquetagem de confidencialidade. A etiquetagem de confidencialidade permite que os utilizadores apliquem etiquetas a itens como ficheiros e e-mail. Estas etiquetas podem ser alinhadas com controlos de segurança de dados para proteger as informações incluídas. A etiquetagem de confidencialidade também pode ser alargada a outros serviços, como sites do SharePoint, Equipas e reuniões.

As etiquetas de confidencialidade, quando alinhadas com os requisitos de classificação de uma organização, como as definidas na Política 8 do Protective Security Policy Framework (PSPF), permitem-nos tratar as etiquetas como classificações. Fornecem-nos marcas visuais através da interface de utilizador e outras opções de marcação. Por exemplo:

Etiquetar a marcação visual no e-mail.

Os controlos de segurança de dados que podem ser aplicados através de etiquetas de confidencialidade incluem:

Estas capacidades estão alinhadas com os requisitos do Governo australiano para a marcação e proteção de informações confidenciais ou classificadas de segurança.

Experiência de cliente de etiquetagem

Conforme abordado no suporte de cliente do Microsoft Office, os utilizadores normalmente interagem com itens etiquetados através de um cliente do Office Microsoft 365 Apps, cliente baseado na Web ou equivalente a um dispositivo móvel. Estes clientes permitem que os utilizadores apliquem etiquetas a itens.

Seleção de etiquetas em clientes do Office.

Se um utilizador se esquecer de aplicar uma etiqueta a um item, o cliente pede ao utilizador para aplicar uma etiqueta antes de guardar o item ou, se for um e-mail, antes de o enviar.

Enquanto um utilizador está a trabalhar num item, se ainda não tiver sido aplicada uma etiqueta e forem detetadas informações alinhadas com uma classificação, pode ser fornecida uma recomendação de etiqueta ao utilizador. Se for detetado conteúdo confidencial que se alinha com uma classificação superior à etiqueta de confidencialidade aplicada, pode ser fornecida uma recomendação ao utilizador para que aumente a sensibilidade do item.

Exemplo de uma recomendação de etiquetagem automática baseada no cliente.

Estas recomendações ajudam a garantir a precisão da etiqueta. A precisão da etiqueta é importante, pois muitos controlos que regem o fluxo de informações baseiam-se na confidencialidade do item.

Aplicabilidade a Copilot

Microsoft 365 Copilot herda as múltiplas formas de proteção do Microsoft 365 contra o comprometimento e o acesso não autorizado. O modelo de permissão no Microsoft 365 ajuda a garantir que as informações não podem ser intencionalmente divulgadas entre utilizadores e grupos.

Importante

A configuração do Microsoft Purview não é um pré-requisito do Copilot para o Microsoft 365. No entanto, a implementação de configurações do Microsoft Purview reforça a sua postura geral de segurança de informações em todo o ambiente da sua organização, incluindo o Copilot.

As mitigações de risco de informações fornecidas pelo Microsoft Purview complementam o Copilot para o Microsoft 365. O exemplo mais simples é através da herança de etiquetas. Se Copilot for utilizado para gerar um item com base num item de origem, por exemplo, para gerar um resumo de uma origem Word documento, as etiquetas de confidencialidade que foram aplicadas ao item de origem são herdadas pelo item gerado. Isto ajuda a garantir que as proteções aplicadas às informações são mantidas à medida que as informações mudam de formulário.

Ilustração a mostrar a herança de etiquetas no copilot.

Ao avaliar potenciais preocupações de segurança que possam ocorrer como resultado da ativação do Copilot para o Microsoft 365, os riscos podem ser agrupados em três categorias:

  1. Fuga de Dados da ferramenta de IA: o conteúdo gerado pelo Copilot pode conter informações confidenciais.
  2. Partilha de Dados: os utilizadores podem distribuir itens gerados pelo Copilot que contêm informações confidenciais.
  3. Fuga de Dados na ferramenta de IA: os utilizadores podem inadvertidamente divulgar dados confidenciais no Copilot.

As seguintes capacidades, que são abordadas neste guia, são capazes de ajudar a mitigar a fuga de dados do Copilot e os riscos de sobrepartilho de dados:

  • A identificação de informações identifica se o conteúdo gerado ou o conteúdo que está a ser partilhado contém informações confidenciais ou classificadas de segurança. Os controlos protegem as informações automaticamente.
  • A etiquetagem automática baseada no cliente identifica quando um item gerado contém informações confidenciais e fornece uma recomendação de etiqueta ao utilizador. A etiqueta está sujeita a quaisquer controlos baseados em etiquetas.
  • A configuração de grupos de etiquetas e sites aplica controlos de segurança, incluindo restrições à partilha e acesso de utilizadores externos, a localizações. Se um item gerado por Copilot for movido para uma localização, que não é considerada segura para a etiqueta aplicada ao item, alerta os acionadores para permitir a limpeza.
  • As regras DLP que protegem as informações classificadas, quando emparelhadas com a configuração de etiquetagem obrigatória, aplicam-se a todos os documentos e e-mails do Office. Devido à herança de etiquetas, o conteúdo gerado pela Copilot herda as etiquetas aplicadas às informações de origem, o que significa que também estarão dentro do âmbito das políticas DLP baseadas em etiquetas relevantes.
  • As regras DLP que protegem informações confidenciais garantem que, independentemente da etiqueta que foi aplicada a um item, os controlos de segurança corretos ainda se aplicam. Isto garante que, caso o Copilot possa ter utilizado informações confidenciais num item gerado, as informações estão protegidas contra a partilha excedida.
  • A encriptação de etiquetas de confidencialidade impede a partilha excessiva ao garantir que apenas os utilizadores autorizados podem aceder a itens classificados de segurança. Além disso, as permissões de encriptação bloqueiam o Copilot de itens altamente confidenciais, reduzindo o risco de as informações serem incluídas no conteúdo gerado.

Para obter mais informações específicas do Copilot para o Microsoft 365 sobre estes controlos, consulte Considerações de proteção de informações para o Copilot.

Relativamente aos riscos relacionados com a fuga de dados nas ferramentas de IA, a encriptação de etiquetas de confidencialidade é relevante para esta situação. Outros controlos não são específicos do Microsoft Purview e não são abordados como parte deste guia. No entanto, as seguintes ligações fornecem informações relevantes:

  • A pesquisa restrita do SharePoint (RSS) permite que as organizações limitem o Copilot para o Microsoft 365 para aceder apenas a uma lista aprovada de até 100 sites. A implementação desta capacidade pode ajudar a reduzir o risco de indexação de informações da Copilot às quais as organizações não estão preparadas para ter acesso. Esta funcionalidade destina-se a ativar o Copilot enquanto a lista anterior de controlos do Microsoft Purview é implementada e todas as partilhas em excesso existentes devido a permissões inadequadas são abordadas. Assim que o potencial para o risco de informações for mitigado, o RSS é desativado para permitir aos utilizadores o benefício total das capacidades do Copilot.
  • Os relatórios de governação de acesso a dados, incluídos no SharePoint Premium, podem ser utilizados para detetar sites que contenham conteúdos potencialmente sobrepartilhados ou confidenciais para que possam ser resolvidos.
  • A gestão do ciclo de vida do site, incluída no SharePoint Premium, pode ser utilizada para detetar e agir automaticamente em sites inativos. A remoção de sites inativos ajuda a garantir que as informações a que o Copilot tem acesso são atuais e relevantes.

Fale conosco

Se quiser contactar os criadores deste guia para discutir os conselhos fornecidos, então sinta-se à vontade para fazê-lo através do AUGovMPIPGuide@microsoft.com.