Aby organizace dodržovaly obchodní standardy a oborové předpisy, musí chránit citlivé informace a zabránit jejich neúmyslným zveřejněním. Mezi příklady citlivých informací, kterým můžete chtít zabránit, aby unikly mimo vaši organizaci, patří finanční údaje nebo identifikovatelné osobní údaje, jako jsou čísla platebních karet, čísla sociálního pojištění nebo národní identifikační čísla. Pomocí zásad ochrany před únikem informací (DLP) v SharePoint Serveru 2016 můžete identifikovat, monitorovat a automaticky chránit citlivé informace v kolekcích webů.
Pomocí ochrany před únikem informací můžete:
-
Vytvořte dotaz ochrany před únikem informací, který identifikuje, jaké citlivé informace teď ve vašich kolekcích webů existují. Před vytvořením zásad ochrany před únikem informací je často užitečné zjistit, s jakými typy citlivých informací lidé ve vaší organizaci pracují a které kolekce webů tyto citlivé informace obsahují. Pomocí dotazu na ochranu před únikem informací můžete najít citlivé informace, které podléhají běžným oborovým předpisům, lépe porozumět rizikům a určit, jaké a kde jsou citlivé informace, které vaše zásady ochrany před únikem informací potřebují chránit.
-
Vytvořte zásadu ochrany před únikem informací pro monitorování a automatickou ochranu citlivých informací v kolekcích webů. Můžete například nastavit zásadu, která uživatelům zobrazí tip k zásadám, pokud ukládají dokumenty obsahující identifikovatelné osobní údaje. Zásady navíc můžou automaticky blokovat přístup k těmto dokumentům všem kromě vlastníka webu, vlastníka obsahu a kohokoli, kdo dokument naposledy upravil. A konečně, protože nechcete, aby zásady ochrany před únikem informací bránily lidem v práci, má tip k zásadám možnost přepsat akci blokování, aby lidé mohli dál pracovat s dokumenty, pokud mají obchodní odůvodnění.
Šablony ochrany před únikem informací
Když vytváříte dotaz ochrany před únikem informací nebo zásadu ochrany před únikem informací, můžete si vybrat ze seznamu šablon ochrany před únikem informací, které odpovídají běžným zákonným požadavkům. Každá šablona ochrany před únikem informací identifikuje konkrétní typy citlivých informací – například šablona s názvem Údaje o identifikovatelných osobních údajích (PII) v USA identifikuje obsah, který obsahuje čísla pasů v USA a Spojené království, americké individuální identifikační čísla daňových poplatníků (ITIN) nebo čísla sociálního pojištění (SSN).
Typy citlivých informací
Zásady ochrany před únikem informací pomáhají chránit citlivé informace, které jsou definované jako typ citlivých informací. SharePoint Server 2016 obsahuje definice pro řadu běžných typů citlivých informací, které jsou připravené k použití, jako je číslo platební karty, čísla bankovních účtů, národní identifikační čísla a čísla pasů.
Když zásady ochrany před únikem informací hledají typ citlivých informací, jako je číslo platební karty, nehledají jednoduše 16místné číslo. Každý typ citlivých informací se definuje a detekuje pomocí kombinace:
-
Klíčová slova
-
Interní funkce pro ověření kontrolních součtů nebo složení
-
Vyhodnocení regulárních výrazů pro vyhledání shod vzorů
-
Zkouška jiného obsahu
To pomáhá detekci ochrany před únikem informací dosáhnout vysokého stupně přesnosti a zároveň snížit počet falešně pozitivních výsledků, které můžou přerušit práci lidí.
Každá šablona ochrany před únikem informací hledá jeden nebo více typů citlivých informací. Další informace o tom, jak jednotlivé typy citlivých informací fungují, najdete v tématu Co typy citlivých informací v SharePoint Serveru 2016 hledají.
|
Tato šablona ochrany před únikem informací... |
Hledá tyto typy citlivých informací... |
|---|---|
|
Osobní údaje v USA (PII) |
USA / Spojené království – číslo pasu Identifikační číslo individuálního daňového poplatníka (ITIN) v USA Americké číslo sociálního pojištění (SSN) |
|
U.S. Gramm-Leach-Bliley Act (GLBA) |
Číslo platební karty Číslo bankovního účtu v USA Identifikační číslo individuálního daňového poplatníka (ITIN) v USA Americké číslo sociálního pojištění (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Číslo platební karty |
|
Finanční data Spojeného království |
Číslo platební karty Číslo debetní karty EU Kód SWIFT |
|
Finanční data v USA |
Směrovací číslo ABA Číslo platební karty Číslo bankovního účtu v USA |
|
Údaje o identifikovatelných osobních údajích Spojeného království |
Národní číslo pojištění (NINO) USA / Spojené království – číslo pasu |
|
Britský zákon o ochraně dat |
Kód SWIFT Národní číslo pojištění (NINO) USA / Spojené království – číslo pasu |
|
Spojené království – nařízení o ochraně osobních údajů a elektronických komunikacích |
Kód SWIFT |
|
Zákony o důvěrnosti čísla sociálního zabezpečení v USA |
Americké číslo sociálního pojištění (SSN) |
|
Zákony o oznamování porušení předpisů státu USA |
Číslo platební karty Číslo bankovního účtu v USA Číslo řidičského průkazu v USA Americké číslo sociálního pojištění (SSN) |
Dotazy ochrany před únikem informací
Před vytvořením zásad ochrany před únikem informací můžete chtít zjistit, jaké citlivé informace už ve vašich kolekcích webů existují. Uděláte to tak, že vytvoříte a spustíte dotazy ochrany před únikem informací v Centru eDiscovery.
Dotaz ochrany před únikem informací funguje stejně jako dotaz eDiscovery. Podle toho, kterou šablonu ochrany před únikem informací zvolíte, je dotaz ochrany před únikem informací nakonfigurovaný tak, aby hledal konkrétní typy citlivých informací. Nejprve zvolte umístění, která chcete prohledat, a pak můžete dotaz vyladit, protože podporuje jazyk KQL (Keyword Query Language). Kromě toho můžete dotaz zúžit výběrem rozsahu dat, konkrétních autorů, hodnot vlastností SharePointu nebo umístění. A stejně jako u dotazu eDiscovery můžete zobrazit náhled, exportovat a stáhnout výsledky dotazu.
Zásady ochrany před únikem informací
Zásady ochrany před únikem informací pomáhají identifikovat, monitorovat a automaticky chránit citlivé informace, na které se vztahují běžné oborové předpisy. Zvolíte, jaké typy citlivých informací se mají chránit a jaké akce se mají provést při zjištění obsahu obsahujícího takové citlivé informace. Zásady ochrany před únikem informací můžou informovat pracovníka pro dodržování předpisů odesláním zprávy o incidentu, upozornit uživatele s upozorněním na zásady na webu a volitelně zablokovat přístup k dokumentu všem kromě vlastníka webu, vlastníka obsahu a kohokoli, kdo dokument naposledy změnil. Nakonec má tip na zásadu možnost blokování přepsat, aby lidé mohli pokračovat v práci s dokumenty, pokud mají obchodní odůvodnění nebo potřebují nahlásit falešně pozitivní zprávu.
Zásady ochrany před únikem informací můžete vytvářet a spravovat v Centru zásad dodržování předpisů. Vytvoření zásady ochrany před únikem informací je dvoustupňový proces: nejprve vytvoříte zásadu ochrany před únikem informací a pak zásadu přiřadíte ke kolekci webů.
Krok 1: Vytvoření zásady ochrany před únikem informací
Při vytváření zásad ochrany před únikem informací zvolíte šablonu ochrany před únikem informací, která hledá typy citlivých informací, které potřebujete identifikovat, monitorovat a automaticky chránit.
Když zásady ochrany před únikem informací najdou obsah, který zahrnuje minimální počet instancí určitého typu citlivých informací, který zvolíte – například pět čísel platebních karet nebo jedno číslo sociálního pojištění – pak zásady ochrany před únikem informací můžou citlivé informace automaticky chránit provedením následujících akcí:
-
Odeslání zprávy o incidentu zvoleným lidem (například pracovníkovi dodržování předpisů) s podrobnostmi o události Tato sestava obsahuje podrobnosti o zjištěném obsahu, jako je název, vlastník dokumentu a jaké citlivé informace byly zjištěny. Pokud chcete odesílat zprávy o incidentech, musíte nakonfigurovat nastavení odchozích e-mailů v Centrální správě.
-
Upozornění na uložení nebo úpravu dokumentů obsahujících citlivé informace pomocí tipu na zásadu Tento tip k zásadám vysvětluje, proč je tento dokument v konfliktu se zásadami ochrany před únikem informací, aby lidé mohli podniknout nápravná opatření, jako je odebrání citlivých informací z dokumentu. Když dokument vyhovuje předpisům, popis zásady zmizí.
-
Zablokuje přístup k obsahu všem kromě vlastníka webu, vlastníka dokumentu a osoby, která dokument naposledy upravila. Tito lidé můžou z dokumentu odebrat citlivé informace nebo provést další nápravná opatření. Když dokument vyhovuje předpisům, původní oprávnění se automaticky obnoví. Je důležité si uvědomit, že tip zásad dává uživatelům možnost přepsat akci blokování. Tipy k zásadám tak můžou uživatelům pomoct informovat o zásadách ochrany před únikem informací a vynucovat je, aniž by jim to bránilo v práci.
Krok 2: Přiřazení zásady ochrany před únikem informací
Jakmile vytvoříte zásadu ochrany před únikem informací, musíte ji přiřadit k jedné nebo více kolekcí webů, kde můžou začít chránit citlivé informace v těchto umístěních. Jednu zásadu je možné přiřadit k mnoha kolekcí webů, ale každé přiřazení je potřeba vytvořit po jednom.
Tipy pro zásady
Chcete, aby lidé ve vaší organizaci, kteří pracují s citlivými informacemi, dodržovali zásady ochrany před únikem informací, ale nechcete jim zbytečně blokovat práci. Tady vám můžou pomoct tipy k zásadám.
Tip k zásadám je oznámení nebo upozornění, které se zobrazí, když někdo pracuje s obsahem, který je v konfliktu se zásadami ochrany před únikem informací – například s obsahem, jako je excelový sešit, který obsahuje identifikovatelné osobní údaje a který je uložený na webu.
Pomocí tipů k zásadám můžete zvýšit povědomí a pomoct lidem informovat o zásadách vaší organizace. Tipy pro zásady také uživatelům umožňují zásadu přepsat, aby nebyli zablokovaní, pokud mají platnou obchodní potřebu nebo pokud zásada detekuje falešně pozitivní zprávu.
Zobrazení nebo přepsání tipu zásad
Pokud chcete s dokumentem provést nějakou akci, jako je přepsání zásad ochrany před únikem informací nebo nahlášení falešně pozitivních výsledků, můžete u položky vybrat nabídku Otevřít ... > zobrazit popis zásad.
Popis zásad obsahuje seznam problémů s obsahem a můžete zvolit Vyřešit a pak Přepsat tip zásady nebo Nahlásit falešně pozitivní zprávu.
Podrobnosti o tom, jak fungují tipy pro zásady
Všimněte si, že obsah může odpovídat více než jedné zásadě ochrany před únikem informací, ale zobrazí se jenom popis zásad z nejvíce omezující zásady s nejvyšší prioritou. Například tip na zásadu ze zásad ochrany před únikem informací, který blokuje přístup k obsahu, se zobrazí nad tipem zásady z pravidla, které uživatele jednoduše upozorní. Uživatelům se tak nebude zobrazovat kaskáda tipů pro zásady. Pokud tipy k zásadám v nejvíce omezujících zásadách umožňují uživatelům přepsat zásady, přepsání této zásady také přepíše všechny ostatní zásady, kterým obsah odpovídal.
Zásady ochrany před únikem informací se synchronizují s weby a obsah se na nich pravidelně a asynchronně vyhodnocuje (viz další část), takže mezi vytvořením zásady ochrany před únikem informací a časem, kdy se začnou zobrazovat tipy k zásadám, může být krátká prodleva.
Jak fungují zásady ochrany před únikem informací
Ochrana před únikem informací detekuje citlivé informace pomocí hloubkové analýzy obsahu (ne jenom pomocí jednoduché kontroly textu). Tato hloubková analýza obsahu používá shody klíčových slov, vyhodnocení regulárních výrazů, interní funkce a další metody k detekci obsahu, který odpovídá zásadám ochrany před únikem informací. Potenciálně jen malé procento vašich dat se považuje za citlivá. Zásady ochrany před únikem informací můžou identifikovat, monitorovat a automaticky chránit jenom tato data, aniž by ztěžovaly nebo ovlivnily lidi, kteří pracují se zbytkem vašeho obsahu.
Po vytvoření zásady ochrany před únikem informací v Centru zásad dodržování předpisů se uloží jako definice zásad na tomto webu. Když pak přiřadíte zásadu různým kolekcí webů, synchronizuje se zásada s těmito umístěními, kde začne vyhodnocovat obsah a vynucovat akce, jako je odesílání sestav incidentů, zobrazování tipů zásad a blokování přístupu.
Vyhodnocení zásad na webech
Ve všech kolekcích webů se dokumenty neustále mění – neustále se vytvářejí, upravují, sdílejí atd. To znamená, že dokumenty můžou kdykoliv kolidovat se zásadami ochrany před únikem informací nebo je splňovat. Osoba může například na týmový web nahrát dokument, který neobsahuje žádné citlivé informace, ale později může jiný uživatel stejný dokument upravit a přidat do něj citlivé informace.
Z tohoto důvodu zásady ochrany před únikem informací často na pozadí kontrolují shody zásad v dokumentech. Můžete si to představit jako asynchronní vyhodnocení zásad.
Tady je postup, jak to funguje. Když uživatelé přidávají nebo mění dokumenty na svých webech, vyhledávací web prohledá obsah, abyste ho mohli později vyhledat. Během této události se v obsahu také hledají citlivé informace. Všechny nalezené citlivé informace se bezpečně ukládají do vyhledávacího indexu, aby k němu mohl přistupovat jenom tým dodržování předpisů, ale ne běžní uživatelé. Každá zásada ochrany před únikem informací, kterou jste zapnuli, běží na pozadí (asynchronně), často hledá jakýkoli obsah, který odpovídá zásadám, a používá akce na ochranu před neúmyslným únikem informací.
Dokumenty můžou být v konfliktu se zásadami ochrany před únikem informací, ale můžou být také kompatibilní se zásadami ochrany před únikem informací. Pokud například osoba přidá do dokumentu čísla platebních karet, může to způsobit, že zásady ochrany před únikem informací automaticky zablokují přístup k dokumentu. Pokud ale osoba později citlivé informace odebere, akce (v tomto případě blokování) se automaticky vrátí zpět při příštím vyhodnocení dokumentu se zásadami.
Ochrana před únikem informací vyhodnocuje veškerý obsah, který je možné indexovat. Další informace o tom, jaké typy souborů jsou ve výchozím nastavení procházeny, najdete v tématu Výchozí procházené přípony názvů souborů a analyzované typy souborů.
Zobrazení událostí ochrany před únikem informací v protokolech využití
Aktivitu zásad ochrany před únikem informací můžete zobrazit v protokolech využití na serveru, na kterém běží SharePoint Server 2016. Můžete například zobrazit text, který uživatelé zadali, když přepíší tip k zásadám nebo nahlásí falešně pozitivní výsledek.
Nejprve je potřeba zapnout možnost v Centrální správě (monitorování > Konfigurace shromažďování dat o využití a stavu > Data_SPUnifiedAuditEntry o využití událostí jednoduchého protokolu). Další informace o protokolování využití najdete v tématu Konfigurace shromažďování dat o využití a stavu.
Po zapnutí této funkce můžete otevřít sestavy využití na serveru a zobrazit odůvodnění přepsání zásad ochrany před únikem informací od uživatelů spolu s dalšími událostmi ochrany před únikem informací.
Než začnete s únikem informací
Toto téma popisuje některé funkce, na nichž závisí DLP. Patří k nim:
-
Pokud chcete zjistit a klasifikovat citlivé informace v kolekcích webů, spusťte vyhledávací službu a definujte plán procházení obsahu.
-
Zapněte odchozí e-maily.
-
Pokud chcete zobrazit přepsání uživatelů a další události ochrany před únikem informací, zapněte sestavu využití.
-
Vytvořte kolekce webů:
-
V případě dotazů ochrany před únikem informací vytvořte kolekci webů centra eDiscovery.
-
V případě zásad ochrany před únikem informací vytvořte kolekci webů Centrum zásad dodržování předpisů.
-
-
Vytvořte skupinu zabezpečení pro tým dodržování předpisů a pak přidejte skupinu zabezpečení do skupiny Vlastníci v Centru eDiscovery nebo Centru zásad dodržování předpisů.
-
Ke spouštění dotazů ochrany před únikem informací se vyžadují oprávnění k zobrazení veškerého obsahu, který bude dotaz hledat – další informace najdete v tématu Vytvoření dotazu ochrany před únikem informací na SharePoint Serveru 2016.
