At a minimum, the DLP solution SHALL restrict sharing credit card numbers, U.S. Individual Taxpayer Identification Numbers (ITIN), and U.S. Social Security numbers (SSN) via email.

Чому це важливо

Електронна пошта є основним вектором витоку даних, а конфіденційна інформація, як-от номери кредитних карток, номери соціального страхування (SSN) та індивідуальні ідентифікаційні номери платників податків (ITIN), часто стає мішенню зловмисників або випадково надсилається співробітниками. Без політики Data Loss Prevention (DLP), яка обмежує ці типи даних, ваша організація ризикує порушити вимоги відповідності, зазнати фінансових штрафів і втратити репутацію в рамках таких нормативів, як GDPR або HIPAA. Запровадження DLP-обмежень для цих поширених типів конфіденційних даних є базовим контролем безпеки, рекомендованим CISA та CIS.

Що перевіряє Aether365

Ця перевірка підтверджує, що ваше рішення Microsoft 365 Data Loss Prevention (DLP) містить політики, які обмежують надсилання електронною поштою номерів кредитних карток, індивідуальних ідентифікаційних номерів платників податків США (ITIN) і номерів соціального страхування США (SSN). Вона відображається на панелі керування Aether365 у категорії служб microsoft-365 та позначає невідповідні клієнти з ризиком середнього ступеня серйозності.

Як виправити

1. Увійдіть на портал відповідності Microsoft Purview (https://compliance.microsoft.com) і перейдіть до Data loss prevention, а потім Policies.
2. Натисніть Create policy і виберіть Custom, щоб створити нову політику DLP. Крім того, ви можете відредагувати наявну політику, яка охоплює електронну пошту.
3. Призначте назву політики, наприклад "CISA Email DLP for Sensitive Data".
4. У розділі Locations виберіть Exchange email і переконайтеся, що всі поштові скриньки включено.
5. У розділі Define policy settings виберіть Create or customize advanced DLP rules.
6. Натисніть Create rule і назвіть його "Restrict PII Sharing via Email". Натисніть Add condition, а потім Content contains. Виберіть Sensitive info types і додайте такі типи:
   • U.S. Social Security Number (SSN)
   • Credit Card Number
   • U.S. Individual Taxpayer Identification Number (ITIN)
7. У розділі Actions виберіть Restrict access or encrypt the content in Microsoft 365 locations, а потім оберіть Block users from receiving the email і, за бажанням, сповістіть відправника.
8. Встановіть пріоритет правила та протестуйте його в Test mode перед застосуванням. Після перевірки встановіть режим Enforce.
9. Натисніть Save, а потім Create, щоб завершити створення політики. Її застосування до всієї організації може тривати до 24 годин.

Відповідність вимогам

• CIS (Center for Internet Security): CISA.MS.EXO.8.4
• CISA (Cybersecurity and Infrastructure Security Agency): Обов'язковий базовий контроль
• Framework: EIDSCA (Exchange Online Data Security Controls Assessment)

Пов'язані ресурси

• Learn about data loss prevention in Microsoft Purview
• Get started with Data Loss Prevention policies
• Sensitive information type entity definitions