Aby organizace dodržovaly obchodní standardy a oborové předpisy, musí chránit citlivé informace a zabránit jejich nechtěnému vyzrazení. Mezi příklady citlivých informací, které můžete chtít zabránit úniku informací mimo vaši organizaci, patří finanční údaje nebo osobní identifikační údaje( PII), jako jsou čísla kreditních karet, čísla sociálního pojištění nebo čísla národních IDENTIFIKAČNÍch čísel. Díky zásadám ochrany před únikem informací (DLP) v SharePoint Server 2016 můžete identifikovat, sledovat a automaticky chránit citlivé informace v rámci kolekcí webů.
Pomocí funkce DLP můžete:
-
Vytvořte dotaz DLP a zjistěte, jaké citlivé informace teď ve vašich kolekcích webů existují. Před vytvořením zásad ochrany před únikem informací je často užitečné vidět, s jakými typy citlivých informací lidé ve vaší organizaci pracují a s jakými kolekcemi webů tyto citlivé informace obsahují. Pomocí dotazu DLP můžete najít citlivé informace, které podléhají běžným průmyslovým předpisům, lépe porozumět rizikům a určit, co a kde jsou citlivé informace, které musí vaše zásady ochrany před únikem informací chránit.
-
Vytvořte zásadu ochrany před únikem informací, která bude sledovat a automaticky chránit citlivé informace v kolekcích webů. Můžete například nastavit zásadu, která uživatelům zobrazí tip zásad, pokud uloží dokumenty, které obsahují identifikovatelné osobní údaje. Zásada navíc může automaticky blokovat přístup k těm dokumentům pro všechny uživatele kromě vlastníka webu, vlastníka obsahu a toho, kdo dokument naposledy upravil. A nakonec, protože nechcete, aby vaše zásady ochrany před únikem informací zabránily lidem v práci, má tip zásady možnost přepsat blokační akci, aby lidé mohli dál pracovat s dokumenty, pokud mají obchodní odůvodnění.
Šablony DLP
Když vytvoříte dotaz DLP nebo zásadu DLP, můžete si vybrat ze seznamu šablon DLP, které odpovídají běžným regulačním požadavkům. Každá šablona DLP identifikuje určité typy citlivých informací – například šablonu s názvem USA Data s osobní identifikací (PII) identifikují obsah, který obsahuje čísla cestovních pasů USA a Usa, identifikační čísla daňových poplatníků USA (ITIN) nebo čísla sociálního zabezpečení USA (SSN).
Typy citlivých informací
Zásady ochrany před únikem informací pomáhají chránit citlivé informace, které jsou definované jako typ citlivých informací. SharePoint Server 2016 obsahuje definice mnoha běžných citlivých typů informací, které jsou připravené k použití, jako je číslo platební karty, čísla bankovních účtů, národní IDENTIFIKAČNÍ čísla a čísla pasů.
Pokud zásady ochrany před únikem informací vyhledá citlivé informace, například číslo platební karty, jednoduše nehledí 16místné číslo. Každý typ citlivých informací je definován a rozpoznán kombinací:
-
Klíčová slova
-
Interní funkce pro ověření kontrolních součtů nebo složení
-
Vyhodnocení regulárních výrazů k vyhledání vzorových shod
-
Další zkoumání obsahu
Díky tomu může detekce DLP dosáhnout vysokého stupně přesnosti a zároveň snížit počet falešně pozitivních výsledků, které mohou přerušovat práci lidí.
Každá šablona DLP hledá jeden nebo více typů citlivých informací. Další informace o tom, jak každý typ citlivých informací funguje, najdete v tématu Jaké typy citlivých informací v SharePoint Server 2016 vypadají.
|
Tato šablona DLP... |
Vyhledá tyto typy citlivých informací... |
|---|---|
|
Údaje o identifikovatelných osobních informacích (PII) v USA |
USA / Spojené království – číslo pasu Identifikační číslo daňového poplatníka USA (ITIN) Americké číslo sociálního zabezpečení (SSN) |
|
U.S. Gramm-Leach-Bliley Act (GLBA) |
Číslo platební karty Číslo amerického bankovního účtu Identifikační číslo daňového poplatníka USA (ITIN) Americké číslo sociálního zabezpečení (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Číslo platební karty |
|
Finanční data Ve Spojeném |
Číslo platební karty Číslo debetní karty EU Kód SWIFT |
|
Finanční data USA |
Směrovací číslo ABA Číslo platební karty Číslo amerického bankovního účtu |
|
Údaje o identifikovatelných osobních informacích (PII) pro Spojené státy |
Americké číslo národního pojištění (NINO) USA / Spojené království – číslo pasu |
|
Zákon o ochraně osobních údajů ve Spojeném |
Kód SWIFT Americké číslo národního pojištění (NINO) USA / Spojené království – číslo pasu |
|
Předpisy týkající se ochrany osobních údajů a elektronických komunikací ve Spojeném |
Kód SWIFT |
|
Americké zákony o zachování důvěrnosti čísel pro sociální zabezpečení |
Americké číslo sociálního zabezpečení (SSN) |
|
Zákony USA týkající se oznámení o porušení předpisů státu |
Číslo platební karty Číslo amerického bankovního účtu Americké číslo řidičáku Americké číslo sociálního zabezpečení (SSN) |
Dotazy DLP
Před vytvořením zásad ochrany před únikem informací (DLP) můžete chtít zobrazit, jaké citlivé informace už v kolekcích webů existují. To můžete udělat tak, že v Centru eDiscovery vytvoříte a spustíte dotazy DLP.
Dotaz DLP funguje stejně jako dotaz eDiscovery. Na základě toho, kterou šablonu DLP zvolíte, je dotaz DLP nakonfigurovaný tak, aby vyhledál určité typy citlivých informací. Nejdřív zvolte umístění, která chcete vyhledat, a pak můžete dotaz doladit, protože podporuje jazyk KQL (Keyword Query Language). Kromě toho můžete dotaz zúžit tak, že vyberete rozsah dat, konkrétní autory, SharePoint hodnot vlastností nebo umístění. Stejně jako dotaz eDiscovery můžete zobrazit náhled, exportovat a stáhnout výsledky dotazu.
Zásady ochrany před únikem informací
Zásady ochrany před únikem informací pomáhají identifikovat, sledovat a automaticky chránit citlivé informace, na které se vztahují běžné oborové předpisy. Můžete zvolit, jaké typy citlivých informací chcete chránit, a jaké akce se mají provádět při zjištění obsahu obsahujícího takové citlivé informace. Zásady ochrany před únikem informací mohou pracovníka dodržování předpisů upozornit tak, že pošlou zprávu o incidentu, upozorní uživatele s tipem na zásady na webu a volitelně zablokují přístup k dokumentu pro všechny uživatele, ale pro vlastníka webu, vlastníka obsahu a toho, kdo dokument naposledy upravil. A konečně, tip pro zásady má možnost přepsat blokační akci, aby lidé mohli dál pracovat s dokumenty, pokud mají obchodní odůvodnění nebo potřebují nahlásit falešně pozitivní zprávu.
Zásady ochrany před únikem informací můžete vytvářet a spravovat v Centru zásad dodržování předpisů. Vytvoření zásady DLP je dvoukrokový proces: nejdřív vytvoříte zásadu DLP a pak zásadu přiřadíte kolekci webů.
Krok 1: Vytvoření zásady DLP
Při vytváření zásad ochrany před únikem informací zvolíte šablonu DLP, která vyhledá typy citlivých informací, které potřebujete k identifikaci, sledování a automatické ochraně.
Když zásada ochrany před únikem informací najde obsah, který obsahuje minimální počet instancí určitého typu citlivých informací, které zvolíte – například pět čísel osobních karet nebo jedno číslo sociálního zabezpečení – může zásady ochrany před únikem informací automaticky chránit citlivé informace následujícími akcemi:
-
Odeslání zprávy o incidentu lidem, které vyberete (například pracovníka pro dodržování předpisů) s podrobnostmi o události. Tato sestava obsahuje podrobnosti o zjištěném obsahu, jako je název, vlastník dokumentu a jaké citlivé informace byly zjištěny. Pokud chcete odesílat sestavy incidentů, musíte nakonfigurovat nastavení odchozích e-mailů v Centrální správě.
-
Upozorňovat uživatele pomocí tipu na zásady, když se ukládají nebo upravují dokumenty, které obsahují citlivé informace. Popis zásady vysvětluje, proč je tento dokument v konfliktu se zásadou ochrany před únikem informací, aby mohli lidé provést nápravná opatření, jako je odebrání citlivých informací z dokumentu. Pokud je dokument v souladu s předpisy, tip zásady zmizí.
-
Blokuje přístup k obsahu všem kromě vlastníka webu, vlastníka dokumentu a osoby, která dokument naposledy upravila. Tito lidé mohou citlivé informace z dokumentu odebrat nebo provést jinou nápravu. Pokud je dokument v souladu s předpisy, původní oprávnění se automaticky obnoví. Je důležité si uvědomit, že tip pro zásady dává lidem možnost akce blokování přepsat. Tipy k zásadám tak můžou pomoct vyučovat uživatele o vašich zásadách ochrany před únikem informací a vynucovat je, aniž by lidem bránily v práci.
Krok 2: Přiřazení zásad ochrany před únikem informací
Po vytvoření zásady ochrany před únikem informací je potřeba ji přiřadit k jedné nebo více kolekcím webů, kde může začít chránit citlivé informace v těchto umístěních. K mnoha kolekcím webů se může přiřadit jedna zásada, ale každé přiřazení je potřeba vytvořit po jednom.
Tipy pro zásady
Chcete, aby lidé ve vaší organizaci, kteří pracují s citlivými informacemi, zůstali v souladu se zásadami ochrany před únikem informací, ale nechcete jim zbytečně blokovat práci. Tady vám můžou pomoct tipy k zásadám.
Tip zásad je oznámení nebo upozornění, které se zobrazí, když někdo pracuje s obsahem, který je v konfliktu se zásadou ochrany před únikem informací (DLP), například obsah, jako je sešit Excel, který obsahuje osobní identifikovatelné informace (PII) a který je uložený na webu.
Pomocí tipů pro zásady můžete zvýšit informovanost a pomáhat vyučovat lidi o zásadách vaší organizace. Tipy pro zásady také poskytují lidem možnost zásady přepsat, aby se nezablokovaly, pokud mají platnou obchodní potřebu nebo pokud zásada zjišťuje falešně pozitivní hodnotu.
Zobrazení nebo přepsání tipu zásad
Pokud chcete provést akci u dokumentu, například přepsání zásady ochrany před únikem informací nebo nahlášení falešně pozitivního oznámení, můžete pro položku vybrat nabídku Otevřít ... > zobrazit tip zásad.
V tipu zásad jsou uvedené problémy s obsahem a můžete zvolit Vyřešit a potom přepsat tip zásady nebo Nahlásit falešně pozitivní.
Podrobnosti o tom, jak fungují tipy pro zásady
Všimněte si, že obsah může odpovídat více než jedné zásadám ochrany před únikem informací, ale zobrazí se jenom tip zásady z nej restriktivní zásady s nejvyšší prioritou. Například tip zásady ze zásad ochrany před únikem informací, který blokuje přístup k obsahu, se zobrazí přes tip zásady z pravidla, které uživatele jednoduše upozorní. Lidé tak neuvidí kaskádu tipů na zásady. Pokud také tipy zásad v nej restriktivních zásadách umožňují uživatelům tuto zásadu přepsat, přepsání této zásady také přepíše všechny ostatní zásady, které odpovídá obsahu.
Zásady ochrany před únikem informací se synchronizují s weby a vyhodnocují se proti nim pravidelně a asynchronně (viz další část), takže mezi vytvořením zásady ochrany před únikem informací a časem, kdy začnete vidět tipy zásad, může být krátká prodleva.
Jak fungují zásady ochrany před únikem informací
Funkce DLP rozpozná citlivé informace pomocí hloubkové analýzy obsahu (nejen jednoduché kontroly textu). Tato hloubková analýza obsahu používá shody klíčových slov, vyhodnocení regulárních výrazů, interních funkcí a dalších metod ke zjišťování obsahu, který odpovídá vašim zásadám ochrany před únikem informací. Potenciálně se považuje za citlivé jenom malé procento dat. Zásady ochrany před únikem informací mohou identifikovat, monitorovat a automaticky chránit jenom tato data, aniž by to bránit nebo ovlivnit lidi, kteří pracují se zbytkem vašeho obsahu.
Po vytvoření zásady ochrany před únikem informací v Centru zásad dodržování předpisů se uloží jako definice zásad na tomto webu. Při přiřazování zásad do různých kolekcí webů se pak zásada synchronizuje do těchto umístění, kde začne vyhodnocovat obsah a vynucovat akce, jako je posílání sestav incidentů, zobrazování tipů zásad a blokování přístupu.
Vyhodnocení zásad na webech
Ve všech kolekcích webů se dokumenty neustále mění – neustále se vytvářejí, upravují, sdílí a tak dále. To znamená, že dokumenty mohou být v konfliktu nebo se stávají kompatibilní se zásadou ochrany před únikem informací kdykoli. Může například nahrát dokument, který neobsahuje citlivé informace na svůj týmový web, ale později může jiný člověk upravit stejný dokument a přidat do něj citlivé informace.
Z tohoto důvodu zásady ochrany před únikem informací kontrolujou dokumenty, aby zásady často odpovídaly na pozadí. Můžete si to myslet jako asynchronní vyhodnocení zásad.
Tady je postup, jak to funguje. Když lidé přidávají nebo mění dokumenty na svých webech, prohledává vyhledávací modul obsah, abyste ho mohli později vyhledat. I když se to děje, obsah se také naskenuje na citlivé informace. Všechny nalezené citlivé informace se bezpečně ukládají do indexu hledání, aby k ní mohl přistupovat jenom tým dodržování předpisů, ale ne obvyklí uživatelé. Každá zásada ochrany před únikem informací, kterou jste zapnuli, běží na pozadí (asynchronně), často vyhledává obsah, který odpovídá zásadám, a používá akce, které ji chrání před neúmyslnou únikem informací.
A konečně, dokumenty mohou být v konfliktu se zásadou ochrany před únikem informací, ale stávají se také kompatibilní se zásadou ochrany před únikem informací. Pokud třeba osoba přidá do dokumentu čísla kreditních karet, může to způsobit, že zásady ochrany před únikem informací automaticky zablokují přístup k dokumentu. Pokud ale osoba později citlivé informace odebere, akce (v tomto případě blokování) se automaticky vrátí zpět při příštím vyhodnocení dokumentu v souladu se zásadou.
Funkce DLP vyhodnotí obsah, který se může indexovat. Další informace o tom, jaké typy souborů se ve výchozím nastavení procházely, najdete v článku Výchozí procházené přípony názvů souborů a analyzované typy souborů.
Zobrazení událostí DLP v protokolech použití
Aktivity zásad ochrany před únikem informací můžete zobrazit v protokolech použití na serveru, na SharePoint Server 2016. Můžete například zobrazit text zadaný uživateli, když přepíšou tip zásad nebo nahlásit falešně pozitivní zprávu.
Nejdřív musíte zapnout možnost v Centrální správě (Monitorování > Konfigurace shromažďování dat o využití a stavu >simple log event usage Data_SPUnifiedAuditEntry). Další informace o protokolování využití najdete v tématu Konfigurace shromažďování dat o využití a stavu.
Po zapnutí této funkce můžete otevřít sestavy využití na serveru a zobrazit odůvodnění, která uživatelé poskytli pro přepsání tipu zásad ochrany před únikem informací a dalších událostí ochrany před únikem informací.
Než začnete s DLP
Toto téma popisuje některé funkce, na které DLP závisí. Patří k nim:
-
Pokud chcete zjistit a klasifikovat citlivé informace v kolekcích webů, spusťte vyhledávací službu a definujte plán procházení obsahu.
-
Zapněte neschůdné e-maily.
-
Pokud chcete zobrazit přepsání uživatelů a další události DLP, zapněte sestavu využití.
-
Vytvoření kolekcí webů:
-
U dotazů DLP vytvořte kolekci webů Centra eDiscovery.
-
Pro zásady ochrany před únikem informací vytvořte kolekci webů Centrum zásad dodržování předpisů.
-
-
Vytvořte skupinu zabezpečení pro tým dodržování předpisů a pak přidejte skupinu zabezpečení do skupiny Vlastníci v Centru eDiscovery nebo Centru zásad dodržování předpisů.
-
Pokud chcete spouštět dotazy DLP, jsou pro veškerý obsah, který bude dotaz hledat, vyžadována oprávnění k zobrazení – další informace najdete v tématu Vytvoření dotazu DLP v SharePoint Server 2016.
