За да спазят бизнес стандартите и индустриалните разпоредби, организациите трябва да защитят поверителната информация и да предотвратят неволното й разкриване. Примери за поверителна информация, която може да искате да предотвратите изтичането извън вашата организация, включва финансови данни или лични данни (PII), като например номера на кредитни карти, номера на социални осигуровки или национални идентификационни номера. С правилата за защита от загуба на данни (DLP) в SharePoint Server 2016 можете да идентифицирате, наблюдавате и автоматично защитавате поверителната информация във вашите колекции от сайтове.
С DLP можете да:
-
Създайте DLP заявка, за да определите каква поверителна информация вече съществува във вашите колекции от сайтове. Преди да създадете DLP правила, често е полезно да видите с какви типове поверителна информация работят хората във вашата организация и с кои колекции от сайтове се съдържа тази поверителна информация. С DLP заявка можете да намерите поверителна информация, която е предмет на общи отраслови разпоредби, да разберете по-добре рисковете си и да определите каква и къде е поверителната информация, която вашите DLP правила трябва да защитават.
-
Създайте DLP правила за наблюдение и автоматична защита на поверителната информация във вашите колекции от сайтове. Можете например да зададете правила, които да показват пояснение за правила на потребителите, ако записват документи, които съдържат лични данни. Освен това правилата могат автоматично да блокират достъпа до тези документи за всеки освен собственика на сайта, собственика на съдържанието и всеки, който последно е променял документа. И накрая, тъй като не искате вашите DLP правила да не позволяват на хората да си вършат работата, пояснението за правила има опция да замести блокиращото действие, така че хората да могат да продължат да работят с документи, ако имат бизнес основание.
DLP шаблони
Когато създавате DLP заявка или DLP правила, можете да избирате от списък с DLP шаблони, които отговарят на общите регулаторни изисквания. Всеки DLP шаблон идентифицира определени типове поверителна информация – например шаблонът, наречен "Лични данни за идентифициране на лице" (PII) в САЩ , идентифицира съдържание, което съдържа американски и американски паспортни номера, идентификационни номера на отделни данъкоплатци (ITIN) или американски социално-осигурителни номера (SSN).
Типове поверителна информация
DLP правилата помагат за защитата на поверителната информация, която е дефинирана като тип поверителна информация. SharePoint Server 2016 включва дефиниции за много често срещани типове поверителна информация, които са готови за използване, като например номер на кредитна карта, номера на банкова сметка, национални идентификационни номера и номера на паспорти.
Когато DLP правила търсят тип поверителна информация, като например номер на кредитна карта, то не просто търси 16-цифрено число. Всеки тип поверителна информация се дефинира и открива с помощта на комбинация от:
-
Ключови думи
-
Вътрешни функции за валидиране на контролни суми или състав
-
Оценка на регулярни изрази за намиране на съвпадения на шарки
-
Друг преглед на съдържанието
Това помага за постигането на висока степен на точност на DLP откриването, като същевременно намалява броя на грешните положителни резултати, които могат да прекъснат работата на хората.
Всеки DLP шаблон търси един или повече типове поверителна информация. За повече информация как работи всеки тип поверителна информация, вижте Какво търсят типовете поверителна информация в SharePoint Server 2016.
|
Този DLP шаблон... |
Търси тези типове поверителна информация... |
|---|---|
|
Данни за лични данни (PII) в САЩ |
Номер на американския паспорт Индивидуален идентификационен номер на данъкоплатец в САЩ (ITIN) Номер на социална осигуровка (SSN) на САЩ |
|
Закон за американските грам-лийх-Блали (GLBA) |
Номер на кредитна карта Номер на банкова сметка в САЩ Индивидуален идентификационен номер на данъкоплатец в САЩ (ITIN) Номер на социална осигуровка (SSN) на САЩ |
|
PCI Data Security Standard (PCI DSS) |
Номер на кредитна карта |
|
Финансови данни на Обединеното кралство |
Номер на кредитна карта Номер на дебитна карта на ЕС SWIFT код |
|
Финансови данни в САЩ |
Номер за маршрутизиране на ABA Номер на кредитна карта Номер на банкова сметка в САЩ |
|
U.K. Лични данни (PII) данни |
Национален осигурителен номер (NINO) Номер на американския паспорт |
|
U.K. Data Protection Act |
SWIFT код Национален осигурителен номер (NINO) Номер на американския паспорт |
|
U.K. Privacy and Electronic Communications Regulations |
SWIFT код |
|
Закони за поверителност на номерата на социално-осигурителните номера в САЩ |
Номер на социална осигуровка (SSN) на САЩ |
|
Закони за уведомяване за пробиви в сигурността на САЩ |
Номер на кредитна карта Номер на банкова сметка в САЩ Номер на шофьорска книжка на САЩ Номер на социална осигуровка (SSN) на САЩ |
DLP заявки
Преди да създадете вашите DLP правила, може да искате да видите каква поверителна информация вече съществува във вашите колекции от сайтове. За да направите това, създавате и изпълнявате DLP заявки в центъра за откриване на електронни данни.
DLP заявката работи по същия начин като заявка за откриване на електронни данни. На базата на това кой DLP шаблон изберете, DLP заявката е конфигурирана да търси конкретни типове поверителна информация. Първо изберете местоположенията, в които искате да търсите, и след това можете фино да настроите заявката, защото тя поддържа език за заявки с ключови думи (KQL). Освен това можете да стесните обхвата на заявката, като изберете диапазон от дати, конкретни автори, стойности на свойства на SharePoint или местоположения. Също както заявката за откриване на електронни данни, можете да визуализирате, експортирате и изтеглите резултатите от заявката.
Правила за DLP
DLP правилата ви помагат да идентифицирате, наблюдавате и защитавате автоматично поверителната информация, която е предмет на общи отраслови регламенти. Вие избирате какви типове поверителна информация да защитите и какви действия да предприемете, когато бъде открито съдържание, съдържащо такава поверителна информация. DLP правилата могат да уведомят служителя по съответствието, като изпратят доклад за инцидента, уведомят потребителя с пояснение за правилата на сайта и по желание блокират достъпа до документа за всеки освен собственика на сайта, собственика на съдържанието и всеки, който последно е променил документа. И накрая, пояснението за правила има опция за заместване на блокиращото действие, така че хората да могат да продължат да работят с документи, ако имат бизнес основание или трябва да съобщават за грешен положителен резултат.
Вие създавате и управлявате DLP правила в центъра за правила за съответствие. Създаването на DLP правила е процес от две стъпки: първо създавате DLP правилата и след това присвоявате правилата на колекция от сайтове.
Стъпка 1: Създаване на DLP правила
Когато създавате DLP правила, избирате DLP шаблон, който търси типовете поверителна информация, които трябва да идентифицирате, наблюдавате и защитавате автоматично.
Когато DLP правила намерят съдържание, което включва минималния брой екземпляри на конкретен тип поверителна информация, която вие изберете – например пет номера на кредитни карти или един-единствен социално-осигурителен номер – тогава DLP правилата могат автоматично да защитят поверителната информация, като изпълнят следните действия:
-
Изпращане на отчет за инцидент до хората по ваш избор (като например отговорника по съответствието) с подробности за събитието. Този отчет включва подробни данни за откритото съдържание, като например заглавието, собственика на документа и поверителната информация, която е открита. За да изпращате отчети за инциденти, трябва да конфигурирате настройките за изходящ имейл в централното администриране.
-
Уведомяване на потребителя с пояснение за правила , когато документи, които съдържат поверителна информация, се записват или редактират. Пояснението за правила обяснява защо този документ е в конфликт с DLP правила, така че хората да могат да предприемат коригиращи действия, като например да премахнат поверителната информация от документа. Когато документът е в съответствие, пояснението за правила изчезва.
-
Блокиране на достъпа до съдържанието за всички освен собственика на сайта, собственика на документа и лицето, което последно е променило документа. Тези хора могат да премахнат поверителната информация от документа или да предприемат други коригиращи действия. Когато документът е в съответствие, оригиналните разрешения ще бъдат автоматично възстановени. Важно е да разберете, че пояснението за правила дава на хората опцията да отменят действието за блокиране. Пояснения за правила могат по този начин да помогнат на потребителите да образоват потребителите за вашите DLP правила и да ги налагат, без да пречат на хората да извършват работата си.
Стъпка 2: Присвояване на DLP правила
След като създадете DLP правила, трябва да ги присвоите на една или повече колекции от сайтове, където то може да започне да помага за защитата на поверителната информация в тези местоположения. Едно правило може да бъде присвоено на много колекции от сайтове, но всяко присвояване трябва да се създава едно по едно.
Пояснения за правила
Искате хората във вашата организация, които работят с поверителна информация, да спазват вашите DLP правила, но не искате да ги блокирате ненужно да си вършат работата. Тук могат да ви помогнат съвети за правилата.
Пояснението за правила е известие или предупреждение, което се появява, когато някой работи със съдържание, което е в конфликт с DLP правила – например съдържание като работна книга на Excel, която съдържа лични идентифициращи данни (PII) и която е записана в сайт.
Можете да използвате съвети за правила, за да повишите осведомеността и да помогнете на хората да образоват хората относно правилата на вашата организация. Пояснения за правила също така дават на хората възможност да заменят правилата, така че да не бъдат блокирани, ако имат валидна бизнес нужда или ако правилата откриват грешен положителен резултат.
Преглед или заместване на пояснение за правила
За да предприемете действие върху документ, като например да заместите DLP правилата или да съобщите за грешен положителен резултат, можете да изберете менюто Отвори ... за елемента > Преглед на пояснението за правила.
Пояснението за правила посочва проблемите със съдържанието и можете да изберете Разрешаване и след това Да заместите пояснението за правила или Да съобщите за грешен положителен резултат.
Подробни данни за начина на работа на съветите за правила
Имайте предвид, че е възможно съдържанието да отговаря на повече от едно DLP правило, но ще се покаже само пояснението за правила от най-рестриктивните правила с най-висок приоритет. Например пояснение за правила от DLP правило, което блокира достъпа до съдържание, ще бъде показано над пояснение за правила от правило, което просто уведомява потребителя. Това не позволява на хората да виждат каскадно пояснения за правила. Също така, ако пояснения за правила в най-рестриктивните правила позволяват на хората да заместват правилата, тогава заместването на тези правила също така замества всички други правила, за които е съответствало съдържанието.
DLP правилата се синхронизират със сайтовете и съдържанието им се оценява периодично и асинхронно (вж. следващия раздел), така че може да има кратко закъснение между създаването на DLP правилата и момента, в който започнете да виждате пояснения за правила.
Как работят DLP правилата
DLP открива поверителна информация с помощта на задълбочен анализ на съдържанието (не само просто сканиране на текста). Този задълбочен анализ на съдържание използва съвпадения на ключови думи, оценка на регулярни изрази, вътрешни функции и други методи за откриване на съдържание, което отговаря на вашите DLP правила. Потенциално само малък процент от вашите данни се считат за конфиденциални. DLP правилата могат да идентифицират, наблюдават и автоматично защитават точно тези данни, без да възпрепятстват или засягат хората, които работят с останалата част от вашето съдържание.
След като създадете DLP правила в центъра за правила за съответствие, те се съхраняват като дефиниция на правила в този сайт. След това, докато присвоявате правилата към различни колекции от сайтове, правилата се синхронизират с тези местоположения, където започват да оценяват съдържание и да налагат действия като изпращане на отчети за инциденти, показване на пояснения за правила и блокиране на достъпа.
Оценка на правилата в сайтове
Във всички ваши колекции от сайтове документите постоянно се променят – те постоянно се създават, редактират, споделят и т.н. Това означава, че документите могат да са в конфликт или да отговарят на DLP правила по всяко време. Например човек може да качи документ, който не съдържа поверителна информация, в своя екипен сайт, но по-късно друг човек може да редактира същия документ и да добави поверителна информация към него.
Поради тази причина DLP правилата проверяват документите за често срещани съвпадения на правилата във фонов режим. Можете да си го представите като асинхронно оценяване на правила.
Ето как става това. Тъй като хората добавят или променят документи в своите сайтове, търсачката сканира съдържанието, така че да можете да го потърсите по-късно. Докато това се случва, съдържанието също се сканира за поверителна информация. Всяка поверителна информация, която се намира, се съхранява надеждно в индекса за търсене, така че само екипът за съответствие да има достъп до нея, но не и обикновените потребители. Всяко DLP правило, което сте включили, се изпълнява във фонов режим (асинхронно), като проверявате често за всяко съдържание, което отговаря на дадено правило, и прилагате действия, за да го защитите от неволни изтичания.
И накрая, документите могат да са в конфликт с DLP правила, но също така могат да станат съвместими с DLP правила. Ако например даден човек добави номера на кредитни карти към документ, това може да доведе до автоматично блокиране на достъпа до документа от DLP правила. Но ако лицето по-късно премахне поверителната информация, действието (в този случай блокиране) автоматично се премахва следващия път, когато документът бъде оценен спрямо правилата.
DLP оценява всяко съдържание, което може да бъде индексирано. За повече информация за това какви типове файлове се обхождат по подразбиране, вижте Разширения по подразбиране на имена на обходени файлове и анализирани типове файлове.
Преглед на DLP събития в регистрационните файлове за използване
Можете да видите дейността на DLP правилата в регистрационните файлове за използване на сървъра, изпълняващ SharePoint Server 2016. Можете например да видите текста, въведен от потребителите, когато отменят пояснение за правила или съобщават за грешен положителен резултат.
Първо трябва да включите опцията в централното администриране (Наблюдение > Конфигуриране на събирането на данни за използване и изправност > Data_SPUnifiedAuditEntry за използване на просто регистриране на събития). За повече информация относно регистрирането на използването вижте Конфигуриране на събирането на данни за използване и изправност.
След като включите тази функция, можете да отворите отчетите за използване на сървъра и да прегледате основанията, предоставени от потребителите за заместване на пояснение за DLP правила, както и други DLP събития.
Преди да започнете с DLP
Тази тема описва някои от функциите, от които зависи DLP. Те включват:
-
За да откривате и класифицирате поверителна информация във вашите колекции от сайтове, стартирайте услугата за търсене и дефинирайте график за обхождане за вашето съдържание.
-
Включване на изходящ имейл.
-
За да видите замествания на потребители и други DLP събития, включете отчета за използване.
-
Създаване на колекции от сайтове:
-
За DLP заявки създайте колекцията от сайтове на центъра за откриване на електронни данни.
-
За DLP правила създайте колекция от сайтове на центъра за правила на съответствие.
-
-
Създайте група за защита за екипа за съответствие и след това добавете група за защита към групата "Собственици" в центъра за откриване на електронни данни или центъра за правила за съответствие.
-
За да изпълните DLP заявки, разрешенията за преглед са необходими за цялото съдържание, което заявката ще търси – за повече информация вижте Създаване на DLP заявка в SharePoint Server 2016.
