At a minimum, the DLP solution SHALL restrict sharing credit card numbers, U.S. Individual Taxpayer Identification Numbers (ITIN), and U.S. Social Security numbers (SSN) via email.

Prečo je to dôležité

E-mail je primárnym vektorom na exfiltráciu údajov a citlivé informácie, ako sú čísla kreditných kariet, rodné čísla (Social Security numbers) a individuálne daňové identifikačné čísla (Individual Taxpayer Identification Numbers), sú často terčom útočníkov alebo ich zamestnanci neúmyselne zdieľajú. Bez politiky Data Loss Prevention (DLP), ktorá by obmedzovala tieto typy údajov, vaša organizácia riskuje porušenie súladu s predpismi, finančné sankcie a poškodenie reputácie podľa nariadení, ako je GDPR alebo HIPAA. Presadzovanie obmedzení DLP pre tieto bežné typy citlivých údajov je základným bezpečnostným kontrolným mechanizmom odporúčaným organizáciami CISA a CIS.

Čo kontroluje Aether365

Táto kontrola overuje, či vaše riešenie Data Loss Prevention (DLP) v Microsoft 365 zahŕňa politiky, ktoré obmedzujú zdieľanie čísel kreditných kariet, amerických individuálnych daňových identifikačných čísel (ITIN) a amerických rodných čísel (SSN) prostredníctvom e-mailu. Zobrazuje sa na paneli Aether365 v kategórii služieb microsoft-365 a označuje nevyhovujúcich nájomcov s rizikom strednej závažnosti.

Ako to opraviť

1. Prihláste sa do portálu Microsoft Purview compliance portal (https://compliance.microsoft.com) a prejdite na Data loss prevention a potom Policies.
2. Kliknite na Create policy a vyberte Custom na vytvorenie novej politiky DLP. Prípadne upravte existujúcu politiku, ktorá pokrýva e-mail.
3. Priraďte názov politiky, napríklad "CISA Email DLP for Sensitive Data".
4. V časti Locations vyberte Exchange email a uistite sa, že sú zahrnuté všetky poštové schránky.
5. V časti Define policy settings vyberte Create or customize advanced DLP rules.
6. Kliknite na Create rule a pomenujte ho "Restrict PII Sharing via Email". Kliknite na Add condition a potom Content contains. Vyberte Sensitive info types a pridajte nasledujúce typy:
   • U.S. Social Security Number (SSN)
   • Credit Card Number
   • U.S. Individual Taxpayer Identification Number (ITIN)
7. V časti Actions vyberte Restrict access or encrypt the content in Microsoft 365 locations, potom vyberte Block users from receiving the email a voliteľne upozornite odosielateľa.
8. Nastavte prioritu pravidla a otestujte ho pomocou Test mode pred jeho vynútením. Po overení nastavte režim na Enforce.
9. Kliknite na Save a potom Create na dokončenie politiky. Jej uplatnenie v rámci vášho nájomcu môže trvať až 24 hodín.

Súlad s predpismi

• CIS (Center for Internet Security): CISA.MS.EXO.8.4
• CISA (Cybersecurity and Infrastructure Security Agency): Požadovaná základná kontrola
• Rámec: EIDSCA (Exchange Online Data Security Controls Assessment)

Súvisiace zdroje

• Learn about data loss prevention in Microsoft Purview
• Get started with Data Loss Prevention policies
• Sensitive information type entity definitions