Äristandardite ja -eeskirjade järgimiseks peavad organisatsioonid kaitsma tundlikku teavet ja vältima selle tahtmatut avalikustamist. Delikaatse teabe näited, mida te ei soovi oma asutusest väljapoole lekkida, on näiteks finantsandmed või isiku tuvastamist võimaldav teave (PII), näiteks krediitkaardinumbrid, isikukoodid või riiklikud ID-d. SharePoint Server 2016 andmete kaotsimineku vältimise (DLP) poliitika abil saate kogu saidikogumis tundlikku teavet tuvastada, jälgida ja automaatselt kaitsta.
DLP abil saate teha järgmist.
-
Looge DLP-päring, et tuvastada, milline delikaatne teave on teie saidikogumites praegu olemas. Enne DLP-poliitikate loomist on sageli kasulik teada, mis tüüpi tundliku loomuga inimesed teie ettevõttes töötavad ja millised saidikogumid sisaldavad seda tundlikku teavet. DLP-päringu abil saate otsida tundlikku teavet, mille suhtes kehtivad ühised valdkonna määrused, paremini mõista teie riske ning määrata, millist ja kus on tundlikku teavet, mida teie DLP-poliitikad peavad kaitsma.
-
Saate luua DLP-poliitika saidikogumite delikaatse teabe jälgimiseks ja automaatseks kaitsmiseks. Näiteks saate häälestada poliitika, mis kuvab kasutajatele poliitikaspikri, kui nad salvestavad isikuttuvastavat teavet sisaldavaid dokumente. Lisaks saab poliitika automaatselt blokeerida juurdepääsu nendele dokumentidele kõigi kasutajate jaoks peale saidi omaniku, sisu omaniku ja selle, kes dokumenti viimati muutis. Ja lõpetuseks, kuna te ei soovi, et teie DLP-poliitikad takistaksid inimestel oma tööd teha, on poliitikaspikril võimalus blokeerimistoiming alistada, et inimesed saaksid dokumentidega edasi töötada, kui neil on äriline põhjendus.
DLP-mallid
DLP-päringu või DLP-poliitika loomisel saate valida levinumatele regulatiivsetele nõuetele vastavate DLP-mallide loendist. Iga DLP-mall tuvastab teatud tüüpi tundliku teabe – näiteks mall nimega USA isiku tuvastamist võimaldav teave (PII) tuvastab sisu, mis sisaldab USA ja USA passinumbreid, USA maksumaksjate individuaalseid identifitseerimisnumbreid (ITIN) või USA isikutunnistusi (SSN).
Tundliku teabe tüübid
DLP-poliitika aitab kaitsta tundlikku teavet, mis on määratletud tundliku teabe tüübina. SharePoint Server 2016 sisaldab paljude levinud tundliku sisuga teabetüüpide (nt krediitkaardinumbri, pangakonto numbri, riiklike ID-numbrite ja passinumbrite) määratlusi.
Kui DLP-poliitika otsib tundlikku tüüpi teavet (nt krediitkaardinumbrit), ei otsi see lihtsalt 16-kohalist numbrit. Iga tundliku teabe tüüp määratletakse ja tuvastatakse järgmise kombinatsiooni abil:
-
Märksõnad
-
Sisefunktsioonid kontrollsummade või kooste valideerimiseks
-
Regulaarsete avaldiste hindamine mustri vastete leidmiseks
-
Muu sisuhindamine
See aitab DLP tuvastamisel saavutada suure täpsuse, vähendades samas valepositiivsete tulemuste arvu, mis võivad inimeste tööd häirida.
Iga DLP-mall otsib ühte või mitut tüüpi tundlikku teavet. Lisateavet iga tundliku teabe tüübi toimimise kohta leiate teemast Mida sharePoint Server 2016 tundliku loomuga teabetüübid otsivad.
|
See DLP-mall... |
Otsitakse neid tundliku sisuga teabetüüpe... |
|---|---|
|
USA isiku tuvastamist võimaldava teabe (PII) andmed |
USA või Ühendkuningriigi passi number USA Maksumaksja identifitseerimisnumber (ITIN) USA Isikukood (SSN) |
|
USA gramm-Leach-Bliley act (GLBA) |
Krediitkaardi number USA pangakonto number USA Maksumaksja identifitseerimisnumber (ITIN) USA Isikukood (SSN) |
|
PCI andmeturbe standard (PCI DSS) |
Krediitkaardi number |
|
Usa finantsandmed |
Krediitkaardi number EU Debit Card Number SWIFT-kood |
|
USA finantsandmed |
ABA-kood Krediitkaardi number USA pangakonto number |
|
Usa isiku tuvastamist võimaldava teabe (PII) andmed |
Ühendkuningriigi riiklik kindlustusnumber (NINO) USA või Ühendkuningriigi passi number |
|
Ameerika Ühendriikide andmekaitseseadus |
SWIFT-kood Ühendkuningriigi riiklik kindlustusnumber (NINO) USA või Ühendkuningriigi passi number |
|
Usa privaatsuse ja elektroonilise side määrused |
SWIFT-kood |
|
USA osariigi sotsiaalkindlustusseaduse konfidentsiaalsuse seadused |
USA Isikukood (SSN) |
|
USA osariigi rikkumisest teatamise seadused |
Krediitkaardi number USA pangakonto number USA Juhiloa number USA Isikukood (SSN) |
DLP-päringud
Enne DLP-poliitikate loomist võite soovida näha, milline delikaatne teave on teie saidikogumites juba olemas. Selleks tuleb luua ja käivitada DLP-päringud e-juurdluse keskuses.
DLP-päring toimib samamoodi nagu e-juurdluse päring. Teie valitud DLP-malli põhjal on DLP-päring konfigureeritud otsima teatud tüüpi tundlikku teavet. Esmalt valige otsitavad asukohad ja seejärel saate päringut täpsustada, kuna see toetab märksõna päringukeelt (KQL). Lisaks saate päringu piiritlemiseks valida kuupäevavahemiku, kindlad autorid, SharePointi atribuudiväärtused või asukohad. Sarnaselt e-juurdluse päringuga saate ka päringutulemite eelvaadet vaadata, eksportida ja alla laadida.
DLP-poliitikad
DLP-poliitika aitab teil tuvastada, jälgida ja automaatselt kaitsta tundlikku teavet, mille kohta kehtivad ühised valdkonna määrused. Saate valida, millist tüüpi tundlikku teavet kaitsta ja milliseid toiminguid tuleb teha seda tundlikku teavet sisaldava sisu tuvastamisel. DLP-poliitika võib nõuetele vastavuse eest vastutavat töötajat teavitada, saates juhtumiaruande, teavitades kasutajat saidil poliitikaspikri abil ja soovi korral blokeerides juurdepääsu dokumendile kõigile peale saidi omaniku, sisu omaniku ja muutja. Lõpuks on poliitikaspikril võimalus blokeeriv toiming alistada, et inimesed saaksid dokumentidega edasi töötada, kui neil on äriline põhjendus või kui nad peavad teatama valepositiivsest.
DLP-poliitikaid saate luua ja hallata vastavuspoliitika keskuses. DLP-poliitika loomine on kaheetapiline protsess: esmalt tuleb luua DLP-poliitika ja seejärel määrata poliitika saidikogumile.
1. juhis: DLP-poliitika loomine
DLP-poliitika loomisel saate valida DLP-malli, mis otsib delikaatse teabe tüüpe, mida peate tuvastama, jälgima ja automaatselt kaitsma.
Kui DLP-poliitika leiab sisu, mis sisaldab teie valitud kindlat tüüpi tundliku teabe (nt viis krediitkaardinumbrit või üks isikukood) esinemiskordade miinimumarvu, saab DLP-poliitika tundlikku teavet automaatselt kaitsta järgmiste toimingute abil.
-
Saates valitud inimestele (nt vastavusametnikule) juhtumiaruande koos sündmuse üksikasjadega. See aruanne sisaldab tuvastatud sisu üksikasju (nt tiitel, dokumendi omanik) ja seda, millist tundlikku teavet tuvastati. Juhtumiaruannete saatmiseks peate administreerimiskeskuses konfigureerima väljamineva e-posti sätted.
-
Kasutaja teavitamine poliitikaspikri abil tundlikku teavet sisaldavate dokumentide salvestamisel või redigeerimisel. Poliitikaspikrist selgitatakse, miks see dokument on vastuolus DLP-poliitikaga, et inimesed saaksid teha parandustoiminguid (nt eemaldada dokumendist delikaatse teabe). Kui dokument on vastavuses, kaob poliitikaspiker.
-
Sisule juurdepääsu blokeerimine kõigi jaoks peale saidi omaniku, dokumendi omaniku ja dokumendi viimati muutnud isiku. Need inimesed saavad delikaatse teabe dokumendist eemaldada või teha muid parandustoiminguid. Kui dokument on vastavuses, taastatakse algsed õigused automaatselt. Oluline on mõista, et poliitikaspikri abil saavad inimesed blokeeriva toimingu alistada. Poliitikaspikrid aitavad seega kasutajaid teie DLP-poliitikate osas harida ja jõustada, takistamata inimestel oma tööd teha.
2. juhis: DLP-poliitika määramine
Pärast DLP-poliitika loomist peate selle määrama ühele või mitmele saidikogumile, kus see võib aidata kaitsta delikaatseid andmeid nendes asukohtades. Ühele poliitikale saab määrata mitu saidikogumit, kuid iga ülesanne tuleb luua ükshaaval.
Poliitikaspikrid
Soovite, et tundliku teabega töötavad teie ettevõtte töötajad vastaksid teie DLP-poliitikatele, kuid te ei soovi, et nad ei saaks tarbetult oma tööd ära teha. Siin on abiks poliitikaspikrid.
Poliitikaspikker on teatis või hoiatus, mis kuvatakse juhul, kui keegi töötab DLP-poliitikaga vastuolus oleva sisuga (nt sisu nagu Exceli töövihik, mis sisaldab isikuttuvastavat teavet (PII) ja mis on salvestatud saidile.
Poliitikaspikrite abil saate suurendada teadlikkust ja harida inimesi oma ettevõtte poliitikate kohta. Poliitikaspikrid annavad inimestele võimaluse poliitika alistada, et nad ei oleks blokeeritud, kui neil on kehtiv ärivajadus või kui poliitika tuvastab valepositiivse.
Poliitikaspikri vaatamine või alistamine
Dokumendiga toimingute tegemiseks (nt DLP-poliitika alistamine või valepositiivsetest teadetest teatamine) saate valida üksuse menüü Ava ... > Kuva poliitikaspiker.
Poliitikaspikrist leiate sisuga seotud probleemid ja saate valida nupu Lahenda ning seejärel alistada poliitikaspikri või Määrata valepositiivseks.
Poliitikaspikrite toimimise üksikasjad
Pange tähele, et sisu võib ühtida mitme DLP-poliitikaga, kuid kuvatakse ainult poliitikaspikr kõige piiravamast, kõrgeima prioriteediga poliitikast. Näiteks kuvatakse poliitikaspikri abil poliitikaspikr DLP-poliitikast, mis blokeerib juurdepääsu sisule, poliitikaspikri kaudu reeglist, mis lihtsalt teavitab kasutajat. See takistab inimestel poliitikaspikrite kaskaad kuvamist. Kui poliitikaspikrid kõige piiravamas poliitikas võimaldavad inimestel poliitikat alistada, alistab see poliitika ka kõik muud poliitikad, millele sisu vastas.
DLP-poliitikaid sünkroonitakse saitidega ja nende sisu hinnatakse regulaarselt ja asünkroonselt (vt järgmist jaotist), seega võib DLP-poliitika loomise ja poliitikanäpunäidete kuvamise vahel olla lühike viivitus.
DLP-poliitikate tööpõhimõtted
DLP tuvastab tundliku teabe, kasutades sügavat sisuanalüüsi (mitte ainult lihtsat tekstikontrolli). See põhjalik sisuanalüüs kasutab teie DLP-poliitikatele vastava sisu tuvastamiseks märksõna vasteid, regulaarsete avaldiste hindamist, sisemisi funktsioone ja muid meetodeid. Tundlikuks peetakse potentsiaalselt ainult väikest osa teie andmetest. DLP-poliitika võimaldab tuvastada, jälgida ja automaatselt kaitsta ainult neid andmeid, takistamata või mõjutamata inimesi, kes töötavad teie ülejäänud sisuga.
Pärast DLP-poliitika loomist vastavuspoliitika keskuses talletatakse see sellel saidil poliitikamääratlusena. Kui määrate poliitika erinevatele saidikogumitele, sünkroonitakse poliitika nende asukohtadega, kus poliitika hakkab sisu hindama ja jõustama toiminguid ( nt juhtumiaruannete saatmine, poliitikaspikrite kuvamine ja juurdepääsu blokeerimine).
Poliitika hindamine saitidel
Kõigis saidikogumites muutuvad dokumendid pidevalt– neid luuakse, redigeeritakse, jagatakse jne. See tähendab, et dokumendid võivad igal ajal vastuolus olla või DLP-poliitikaga ühilduda. Näiteks saab inimene üles laadida dokumendi, mis ei sisalda oma meeskonnatöö saidile tundlikku teavet, kuid hiljem saab teine inimene redigeerida sama dokumenti ja lisada sellele tundlikku teavet.
Seetõttu kontrollivad DLP-poliitikad dokumente sageli taustal olevate poliitikate vastete osas. Võite mõelda kui asünkroonse poliitika hindamisest.
See toimib järgmiselt. Kui inimesed oma saitidel dokumente lisavad või muudavad, skannib otsimootor sisu, et saaksite seda hiljem otsida. Sel ajal otsitakse sisust ka tundlikku teavet. Kogu leitud delikaatne teave talletatakse turvaliselt otsinguregistris, nii et sellele pääseb juurde ainult nõuetele vastavuse meeskond, kuid mitte tavalised kasutajad. Iga DLP-poliitika, mille olete sisse lülitanud, töötab taustal (asünkroonselt), otsib sageli poliitikale vastavat sisu ja rakendab toiminguid, et kaitsta seda tahtmatute lekete eest.
Lõpuks võivad dokumendid olla vastuolus DLP-poliitikaga, kuid need võivad ka DLP-poliitikaga ühilduda. Näiteks kui inimene lisab dokumendile krediitkaardinumbrid, võib DLP-poliitika blokeerida juurdepääsu dokumendile automaatselt. Kui aga isik hiljem delikaatse teabe eemaldab, tühistatakse toiming (praegusel juhul blokeerimine) automaatselt järgmisel korral, kui dokumenti poliitika suhtes hinnatakse.
DLP hindab indekseeritavat sisu. Lisateavet selle kohta, milliseid failitüüpe vaikimisi analüüsitakse, leiate teemast Vaikimisi analüüsitud failinimelaiendid ja sõelutud failitüübid.
DLP-sündmuste kuvamine kasutuslogides
DLP poliitikaga seotud tegevust saate vaadata SharePoint Server 2016 käitava serveri kasutuslogides. Näiteks saate vaadata kasutajate sisestatud teksti, kui nad alistavad poliitikaspikri või teatavad valepositiivsest.
Esmalt peate administreerimiskeskuses selle suvandi sisse lülitama (jälgimine > Kasutus- ja seisundiandmete kogumise konfigureerimine > Simple Log Event Usage Data_SPUnifiedAuditEntry). Lisateavet kasutuse logimise kohta leiate teemast Kasutus- ja seisundiandmete kogumise konfigureerimine.
Pärast selle funktsiooni sisselülitamist saate avada serveris kasutusaruanded ja vaadata kasutajate esitatud põhjendusi DLP poliitikaspikri ja muude DLP-sündmuste alistamiseks.
Enne DLP-ga alustamist
Selles teemas kirjeldatakse funktsioone, millest DLP sõltub. Millised funktsioonid ja teenused siia kuuluvad?
-
Saidikogumites delikaatse teabe tuvastamiseks ja liigitamiseks käivitage otsinguteenus ja määratlege sisu analüüsimise ajakava.
-
Lülitage väljaminev meilisõnum sisse.
-
Kasutaja alistamise ja muude DLP-sündmuste vaatamiseks lülitage kasutusaruanne sisse.
-
Looge saidikogumid.
-
DLP-päringute jaoks looge e-juurdluse keskuse saidikogum.
-
DLP-poliitikate jaoks looge vastavuspoliitika keskuse saidikogum.
-
-
Looge nõuetele vastavuse meeskonna jaoks turberühm ja seejärel lisage turberühm e-juurdluse keskuse või vastavuspoliitika keskuse rühma Omanikud.
-
DLP-päringute käivitamiseks on kogu päringu otsitava sisu vaatamisõigused nõutavad. Lisateavet leiate teemast DLP-päringu loomine rakenduses SharePoint Server 2016.
