Шаг 3. Защита информации

Защита информации является критически важным аспектом управления конфиденциальными данными в образовательных учреждениях. В этом руководстве представлены общие сведения о функциях защиты информации, доступных с образовательной лицензией A3, включая метки конфиденциальности, шифрование персональных данных и рекомендации по обеспечению соответствия нормативным требованиям.

Требования

• лицензия Microsoft 365 A3

Роли и обязанности.

• ИТ-Администратор
• Администратор удостоверений
• OneDrive Администратор
• Администратор SharePoint
• EXO Администратор

Метки конфиденциальности по умолчанию и обязательные метки конфиденциальности вручную в Microsoft 365

В Microsoft 365 можно настроить вручную метки конфиденциальности по умолчанию и обязательные метки конфиденциальности, чтобы обеспечить надлежащую классификацию и защиту всех документов и сообщений электронной почты. Эти метки полезны в образовательных учреждениях, где необходимо тщательно управлять конфиденциальной информацией.

• Метки конфиденциальности по умолчанию вручную позволяют пользователям применять метки по умолчанию к новым документам и сообщениям электронной почты. Этот параметр гарантирует, что все новое содержимое начинается с базового уровня защиты, который пользователи могут затем настраивать по мере необходимости.

• Обязательные метки конфиденциальности требуют, чтобы пользователи применяли метку, прежде чем они смогут сохранить или отправить документ или сообщение электронной почты. Этот параметр гарантирует, что все содержимое будет классифицировано и защищено в соответствии с политиками вашего учреждения.

Преимущества в области образования:

• Согласованная защита: Гарантирует, что вся конфиденциальная информация последовательно классифицируется и защищается.
• Согласие: Помогает соответствовать нормативным требованиям, таким как Закон о правах на образование в семье и конфиденциальности (FERPA), обеспечивая надлежащее управление данными учащихся.
• Осведомленность пользователей: Повышает осведомленность пользователей о политиках и методиках защиты данных.

Чтобы настроить эти метки, выполните следующие действия:

1. Определение меток конфиденциальности: Создание и настройка меток конфиденциальности на портале Microsoft Purview. Определите параметры защиты для каждой метки, такие как шифрование, маркировка содержимого и элементы управления доступом.
2. Публикация меток конфиденциальности: Опубликуйте метки для пользователей, создав политику меток. Вы можете указать пользователей или группы, к которым применяется политика, и настроить такие параметры, как метки по умолчанию и обязательные метки.
3. Установите метки по умолчанию: В политике меток можно указать метку по умолчанию для новых документов и сообщений электронной почты. Эта метка применяется автоматически, если пользователь не выберет другую.
4. Принудительное применение обязательных меток: Чтобы применить обязательные метки, настройте политику меток так, чтобы пользователи применяли метку перед сохранением или отправкой содержимого. Эта маркировка может применяться для определенных типов содержимого или для всех типов контента.

Метки конфиденциальности для контейнеров в Microsoft 365

Метки конфиденциальности в Microsoft 365 можно применять к контейнерам, таким как Microsoft Teams, Группы Microsoft 365 и сайты SharePoint. Эти метки помогают управлять конфиденциальной информацией в образовательных учреждениях и защищать их, контролируя параметры доступа и общего доступа.

Ниже приведены некоторые ключевые функции меток конфиденциальности для контейнеров.

• Параметры конфиденциальности: Вы можете задать уровень конфиденциальности сайтов Teams и Группы Microsoft 365 как общедоступный, так и частный.
• Доступ внешних пользователей: Управление доступом внешних пользователей к содержимому в этих контейнерах.
• Внешний общий доступ: Управление параметрами внешнего общего доступа для сайтов SharePoint.
• Доступ с неуправляемых устройств: Ограничение доступа к содержимому с неуправляемых устройств.
• Контексты проверки подлинности: Используйте контексты проверки подлинности для применения дополнительных мер безопасности.
• Обнаружение и общий доступ. Предотвращение обнаружения частных команд и управление общими каналами для приглашений команд.

Эти параметры обеспечивают защиту конфиденциальной информации, обеспечивая при этом совместную работу и производительность в образовательной среде.

Подробнее:

• Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint.

Шифрование персональных данных

Шифрование персональных данных имеет решающее значение в образовательных учреждениях для защиты конфиденциальной информации, такой как записи учащихся, оценки и личные данные. Ниже приведены некоторые ключевые аспекты шифрования персональных данных в образовательных учреждениях.

• Соответствие нормативным требованиям: Образовательные учреждения должны соблюдать такие правила, как FERPA в США, который предписывает охрану образовательных записей учащихся.
• Шифрование данных: Шифрование неактивных и передаваемых данных обеспечивает защиту конфиденциальной информации от несанкционированного доступа. Сюда входят шифрование баз данных, электронных писем и файлов, хранящихся на серверах или в облачных службах.
• Элементы управления доступом: Реализация строгих элементов управления доступом гарантирует, что доступ к конфиденциальным данным может получить только авторизованный персонал. Сюда входит использование многофакторной проверки подлинности и управления доступом на основе ролей.
• Обучение и осведомленность: Регулярное обучение сотрудников и студентов методам защиты данных помогает поддерживать безопасную среду. Это включает понимание важности шифрования и способов обработки конфиденциальной информации.
• Использование безопасных платформ: Использование безопасных платформ онлайн-обучения, которые предлагают встроенные функции шифрования и конфиденциальности, могут помочь защитить персональные данные во время онлайн-обучения.

Шифрование персональных данных Майкрософт

Корпорация Майкрософт предлагает надежные решения для шифрования персональных данных, помогающие образовательным учреждениям защищать конфиденциальную информацию. Ниже приведены некоторые ключевые аспекты.

• Шифрование персональных данных (PDE): Доступное в Windows 11, PDE обеспечивает шифрование на основе файлов с помощью AES-CBC с 256-разрядным ключом. Он связывает ключи шифрования с учетными данными пользователя через Windows Hello для бизнеса, обеспечивая доступ к данным только при входе пользователя.
• Элементы управления безопасностью Microsoft 365: Microsoft 365 включает различные функции безопасности для защиты персональных данных, такие как шифрование электронной почты и файлов, защита от потери данных (DLP) и расширенная защита от угроз.
• Соответствие требованиям и конфиденциальность. Microsoft 365 помогает учебным заведениям соответствовать стандартам соответствия, таким как FERPA, предоставляя средства для эффективного управления данными учащихся и их защиты.
• Конфигурация и управление. Шифрование персональных данных можно настроить с помощью Microsoft Intune или поставщиков служб конфигурации (CSP), что позволяет ИТ-администраторам задавать политики и управлять параметрами шифрования на разных устройствах.

Эти функции обеспечивают безопасность персональных данных в образовательных средах и соответствие соответствующим нормативным требованиям.

BitLocker и BitLocker To Go

BitLocker и BitLocker To Go — это мощные средства шифрования, предоставляемые корпорацией Майкрософт для защиты данных на устройствах и съемных дисках. Они полезны в образовательных учреждениях, где защита конфиденциальной информации имеет решающее значение.

BitLocker — это функция полного шифрования дисков, которая помогает защитить данные на фиксированных дисках (например, на внутреннем жестком диске компьютера). Вот некоторые ключевые моменты:

• Шифрование: Он шифрует весь диск, делая данные недоступными без надлежащей проверки подлинности.
• Совместимость: Доступно в выпусках Windows Pro, Enterprise и Education.
• Управление: Управление осуществляется с помощью панель управления или групповая политика. ИТ-администраторы могут применять политики шифрования в организации.

BitLocker To Go предназначен специально для шифрования съемных дисков, таких как USB-устройства флэш-памяти и внешние жесткие диски. Ключевые функции:

• Шифрование: Шифрует данные на съемных дисках, обеспечивая их безопасность даже в случае потери или кражи диска.
• Удобный для пользователя: Легкодоступен через контекстное меню в Windows Обозреватель, что делает его удобным для пользователей для шифрования и расшифровки данных.
• Совместимость: Работает с Windows 7 и более поздними версиями.

Преимущества в области образования:

• Защита данных: Обеспечивает защиту конфиденциальных образовательных данных, таких как записи учащихся и исследовательские данные, от несанкционированного доступа.
• Согласие: Помогает учебным заведениям соблюдать правила и политики защиты данных.
• Простота использования: Оба средства интегрированы в операционную систему Windows, что упрощает развертывание и управление ими на нескольких устройствах.

Подробнее:

• Шифрование диска BitLocker

Управление BitLocker в учебном заведении

Управление BitLocker в учебных заведениях включает настройку и обслуживание политик шифрования для защиты конфиденциальных данных как на фиксированных, так и на съемных дисках.

Чтобы настроить BitLocker, выполните приведенные далее действия.

• Включите BitLocker:
  1. Перейдите панель управления > Шифрование диска BitLocker.
  2. Выберите диск, который требуется зашифровать, и выберите Включить BitLocker.
  3. Выберите метод разблокировки (пароль или смарт-карта) и создайте резервную копию ключа восстановления.
  4. Завершите процесс шифрования.
• Включите BitLocker To Go для съемных дисков:
  1. Вставьте съемный диск.
  2. Щелкните правой кнопкой мыши диск в Windows Обозреватель и выберите Включить BitLocker.
  3. Следуйте инструкциям, чтобы настроить шифрование и сохранить ключ восстановления.

Чтобы управлять политиками BitLocker, выполните следующие действия.

• Использование групповая политика:
  1. Откройте консоль управления групповыми политиками.
  2. Перейдите в раздел Конфигурация > компьютера Административные шаблоны > Компоненты > Windows Шифрование диска BitLocker.
  3. Настройте политики для дисков операционной системы, фиксированных дисков данных и съемных дисков данных.
• Использование Microsoft Intune:
  1. Войдите в Центр администрирования Microsoft Endpoint Manager.
  2. Перейдите в раздел Профили > конфигурации устройств > Создать профиль.
  3. Выберите Windows 10 и более поздних версий и Endpoint Protection.
  4. Настройте параметры BitLocker и назначьте профиль соответствующим группам.

Мониторинг и восстановление.

1. Мониторинг состояния BitLocker:
   • Используйте консоль управления BitLocker или PowerShell, чтобы проверка состояние шифрования дисков.
   • Пример команды PowerShell: Get-BitLockerVolume
2. Управление ключами восстановления.
   • Безопасное хранение ключей восстановления в Active Directory или Microsoft Entra ID.
   • При необходимости используйте средство просмотра паролей восстановления BitLocker для получения ключей восстановления.

Обучение и поддержка:

1. Обучить сотрудников и учащихся:
   • Пройдите обучение использованию BitLocker и BitLocker To Go.
   • Убедитесь, что они понимают важность шифрования и способы обработки ключей восстановления.
2. Предоставьте поддержку:
   • Настройте службу технической поддержки для устранения проблем, связанных с BitLocker.
   • Убедитесь, что ИТ-сотрудники обучены управлению BitLocker и устранению неполадок.

Подробнее:

• Руководство по операциям BitLocker