Jotta organisaatiot voivat noudattaa toimialan standardeja ja määräyksiä, niiden tulee suojella luottamuksellisia tietojaan sekä estää tahattomat tietovuodot. Luottamuksellisia tietoja ovat muun muassa taloudelliset tiedot tai henkilötiedot (PII), kuten esimerkiksi luottokorttinumerot, sosiaaliturvatunnukset tai kansalliset henkilötunnukset. SharePoint Server 2016:n tietojen menetyksen estämiskäytäntöjen (DLP) avulla voit tunnistaa, valvoa ja suojata luottamuksellisia tietoja automaattisesti kaikissa sivustokokoelmissasi.
DLP:llä voit:
-
Luoda DLP-kyselyn tunnistamaan sivustokokoelmistasi löytyviä luottamuksellisia tietoja. Ennen kuin luot DLP-käytäntöjä, sinun kannattaa tietää, mitä luottamuksellisia tietolajeja organisaatiossasi käsitellään ja mitkä sivustokokoelmat sisältävät näitä luottamuksellisia tietoja. DLP-kyselyn avulla voit etsiä toimialasi säännöksissä määriteltyjä luottamuksellisia tietoja, ymmärtää riskisi paremmin sekä määrittää luottamukselliset tiedot ja niiden sijainnit DLP-käytäntöjäsi varten.
-
Luoda DLP-käytännön valvomaan ja suojaamaan sivustokokoelmissasi olevia luottamuksellisia tietoja automaattisesti. Voit esimerkiksi määrittää käytännön, joka näyttää käytäntövihjeen aina kun käyttäjä tallentaa asiakirjan, joka sisältää henkilökohtaisia tietoja. Lisäksi käytäntö voi automaattisesti estää kyseisten tiedostojen käytön kaikille paitsi sivuston omistajalle, sisällön omistajalle ja sille, joka on viimeksi muokannut tiedostoa. Ja jotta DLP-käytäntösi eivät estäisi ihmisten työskentelyä, käytäntövihje antaa myös mahdollisuuden estotoiminnon ohittamiseksi, jotta käyttäjäsi voivat jatkaa tiedostojen käsittelyä työtehtäviensä puitteissa.
DLP-malleja
Kun luot DLP-kyselyn tai DLP-käytännön, voit valita DLP-malliluettelosta sopivan, yleisiä vaatimuksia vastaavan mallin. Jokainen DLP-malli tunnistaa tietynlaisia luottamuksellisia tietoja – esimerkiksi yhdysvaltalaiset henkilötiedot (PII) -malli tunnistaa sisältöä, joka sisältää Yhdysvaltain ja Yhdistyneen kuningaskunnan kansalaisten passien numeroita, yhdysvaltalaisten verotunnistenumeroita (ITIN) tai yhdysvaltalaisten sosiaaliturvatunnuksia (SSN).
Luottamukselliset tietolajit
DLP-käytännön avulla voit suojata luottamuksellisia tietoja, jotka määritellään luottamuksellisiksi tietolajeiksi. SharePoint Server 2016 sisältää useita käyttövalmiita määritteitä luottamuksellisille tietolajeille, muun muassa luottokorttinumeroille, pankkitilinumeroille, kansallisille tunnistenumeroille ja passien numeroille.
Kun DLP-käytäntö etsii luottamuksellista tietolajia, kuten esimerkiksi luottokorttinumeroa, se ei etsi vain 16 numeron sarjaa. Jokainen luottamuksellinen tietolaji sisältää seuraavia määritteitä, joiden avulla ne voidaan tunnistaa:
-
Avainsanat
-
Sisäisiä funktioita, joilla vahvistetaan tarkistussummat tai koostumus
-
Säännöllisten lausekkeiden arviointia mallivastaavuuksien löytämiseksi
-
Muu sisältötarkastelu
Näiden avulla DLP-tunnistus saavuttaa korkean tarkkuusasteen ja vähentää virheellisiä esiintymiä, jotka voivat häiritä ihmisten työskentelyä.
Jokainen DLP-malli etsii yhtä tai useampaa luottamuksellista tietolajia. Lisätietoa arkaluonteisten tietolajien toiminnasta löytyy artikkelista Mitä SharePoint Server 2016:n luottamukselliset tietolajit etsivät.
Tämä DLP-malli… |
Etsii seuraavia luottamuksellisia tietolajeja… |
---|---|
Yhdysvaltalaisia henkilötietoja (PII) |
Yhdysvaltain / Yhdistyneen kuningaskunnan kansalaisten passien numeroita Yhdysvaltain kansalaisten verotunnistenumeroita (ITIN) Yhdysvaltain kansalaisten sosiaaliturvatunnuksia (SSN) |
Yhdysvaltain Gramm-Leach-Bliley Act (GLBA) -laki |
Luottokorttinumeroita Yhdysvaltalaisia tilinumeroita Yhdysvaltalaisia verotunnistenumeroita (ITIN) Yhdysvaltalaisia sosiaaliturvatunnuksia (SSN) |
PCI-tietoturvastandardi (PCI DSS) |
Luottokorttinumeroita |
Yhdistyneen kuningaskunnan kansalaisten taloudelliset tiedot |
Luottokorttinumeroita EU-pankkikorttinumeroita SWIFT-koodeja |
Yhdysvaltalaisia taloudelliset tiedot |
ABA-reititysnumeroita Luottokorttinumeroita Yhdysvaltalaisia tilinumeroita |
Yhdistyneen kuningaskunnan kansalaisten henkilötietoja (PII) |
Yhdistyneen kuningaskunnan kansalaisten kansallisia vakuutusnumeroita (NINO) Yhdysvaltain / Yhdistyneen kuningaskunnan kansalaisten passien numeroita |
Yhdistyneen kuningaskunnan tietosuojalaki |
SWIFT-koodeja Yhdistyneen kuningaskunnan kansalaisten kansallisia vakuutusnumeroita (NINO) Yhdysvaltain / Yhdistyneen kuningaskunnan kansalaisten passien numeroita |
Yhdistyneen kuningaskunnan tietosuoja- ja sähköisen viestinnän säännökset |
SWIFT-koodeja |
Yhdysvaltain osavaltioiden luottamuksellisuuslait sosiaaliturvatunnuksille |
Yhdysvaltain kansalaisten sosiaaliturvatunnuksia (SSN) |
Yhdysvaltain osavaltioiden tietoturvamurtoilmoituslait |
Luottokorttinumeroita Yhdysvaltalaisia tilinumeroita Yhdysvaltain kansalaisten ajokorttinumeroita Yhdysvaltain kansalaisten sosiaaliturvatunnuksia (SSN) |
DLP-kyselyt
Ennen kuin luot DLP-käytäntöjä, sinun kannattaa tietää, mitä luottamuksellisia tietoja sivustokokoelmistasi löytyy. Tämä onnistuu luomalla ja suorittamalla DLP-kyselyjä eDiscovery-keskuksessa.
DLP-kysely toimii samalla tavalla kuin eDiscovery-kysely. Valitsemasi DLP-mallin perusteella DLP-kysely määritetään etsimään tietynlaisia luottamuksellisia tietoja. Valitse haluamasi kohdesivustot ja hienosäädä kyselyä KQL-kielen (Keyword Query Language) avulla. Voit myös rajata kyselyä valitsemalla päivämääräalueen, tekijöitä, SharePoint-ominaisuusarvoja tai sijainteja. Ja aivan kuten eDiscovery-kyselyiden kanssa, voit esikatsella, viedä ja ladata saamasi kyselytulokset.
DLP-käytännöt
DLP-käytäntö auttaa tunnistamaan, valvomaan ja automaattisesti suojaamaan toimialasi säännöksissä määriteltyjä luottamuksellisia tietoja. Voit valita suojattavat tietolajit sekä luottamukselliselle sisällölle tehtävät toimenpiteet. DLP-käytäntö voi lähettää tapahtumaraportin velvoitteiden noudattamisesta vastaavalle henkilölle, tiedottaa käyttäjää sivustossa näkyvällä käytäntövihjeellä sekä vaihtoehtoisesti estää asiakirjan käytön kaikille paitsi sivuston omistajalle, sisällön omistajalle ja sille, joka on viimeksi muokannut tiedostoa. Käytäntövihje antaa myös mahdollisuuden estotoiminnon ohittamiseksi, jotta ihmiset voivat jatkaa tiedostojen käsittelyä työtehtäviensä puitteissa tai jos heidän tarvitsee ilmoittaa virheellisestä esiintymästä.
Voit luoda ja hallita DLP-käytäntöjä yhteensopivuuskäytäntökeskuksessa. DLP-käytännön luomisessa on kaksi vaihetta: ensin luot DLP-käytännön ja sitten määrität käytännön sivustokokoelman.
Vaihe 1: DLP-käytännön luominen
DLP-käytäntöä luotaessa valitset DLP-mallin, joka etsii niitä luottamuksellisia tietolajeja, joita haluat tunnistaa, valvoa ja suojata automaattisesti.
Kun DLP-käytäntö löytää sisältöä, joka sisältää vähimmäismäärän valitsemiasi luottamuksellisia tietolajeja – esimerkiksi viisi luottokorttinumeroa tai yhden sosiaaliturvatunnuksen – DLP-käytäntö suojaa luottamukselliset tiedot automaattisesti seuraavilla toiminnoilla:
-
Tapahtumaraportin lähettäminen valituille henkilöille (kuten velvoitteiden noudattamisesta vastaavalle henkilölle). Tämä raportti sisältää tietoja tunnistetusta sisällöstä, muuan muassa otsikon, asiakirjan omistajan ja havaitut luottamukselliset tiedot. Tapahtumaraporttien lähettäminen vaatii lähtevän sähköpostin asetuksien määrittämisen keskitetyssä hallinnassa.
-
Käyttäjän tiedottaminen käytäntövihjeellä kun luottamuksellisia tietoja sisältäviä asiakirjoja tallennetaan tai muokataan. Käytäntövihje kertoo, miksi asiakirja on ristiriidassa DLP-käytännön kanssa, jotta käyttäjät voivat korjata tilanteen esimerkiksi poistamalla luottamukselliset tiedot asiakirjasta. Kun asiakirja ei enää ole ristiriidassa, käytäntövihje katoaa.
-
Estää sisällön käytön kaikille paitsi sivuston omistajalle, asiakirjan omistajalle ja asiakirjaa viimeksi muokanneelle henkilölle. Nämä käyttäjät voivat poistaa luottamukselliset tiedot asiakirjasta tai suorittaa muita korjaustoimenpiteitä. Kun asiakirja on jälleen yhteensopiva, alkuperäiset käyttöoikeudet palautetaan automaattisesti. On tärkeää ymmärtää, että käytäntövihje antaa käyttäjille mahdollisuuden ohittaa estotoiminnon. Käytäntövihjeet voivat siis auttaa käyttäjiä ymmärtämään ja noudattamaan DLP-käytäntöjä kuitenkaan estämättä työntekoa.
Vaihe 2: DLP-käytännön määrittäminen
Luotuasi DLP-käytännön sinun tulee määrittää sille vähintään yksi sivustokokoelma, jossa se voi alkaa suojata luottamuksellisia tietoja. Yksi käytäntö voidaan määrittää useammalle sivustokokoelmalle, mutta kukin määritelmä on luotava yksitellen.
Käytäntövihjeet
Haluat, että luottamuksellisia tietoja käyttävät organisaatiosi henkilöt noudattavat DLP-käytäntöjäsi, mutta et halua estää heitä tarpeettomasti tekemästä työtään. Käytäntövihjeistä voi olla apua tässä.
Käytäntövihje on ilmoitus tai varoitus, joka ilmestyy, kun joku työskentelee sellaisen sisällön parissa, joka on ristiriidassa DLP-käytännön kanssa – esimerkiksi Excel-työkirja, joka sisältää sivustolle tallennettuja henkilötietoja (PII).
Käytäntövihjeiden avulla voit tiedottaa käyttäjiä organisaatiosi käytännöistä. Käytäntövihjeet antavat käyttäjille mahdollisuuden ohittaa käytännön, jotta he voivat toimia työtehtäviensä puitteissa tai jos kyseessä on virheellinen esiintymä.
Käytäntövihjeen tarkasteleminen tai ohittaminen
Jos haluat suorittaa asiakirjaan kohdistuvan toimenpiteen, kuten esimerkiksi ohittaa DLP-käytännön tai ilmoittaa virheellisestä esiintymästä, valitse Avaa ... -valikossa > Näytä käytäntövihje.
Käytäntövihje ilmoittaa sisältöön liittyvistä ongelmista, ja voit valita Ratkaise, jonka jälkeen voit valita Ohita käytäntövihje tai Ilmoita virheellisestä esiintymästä.
Lisätietoja käytäntövihjeiden toiminnasta
Huomaa, että sisältöön voi kohdistua useampi DLP-käytäntö, mutta käyttäjälle näytetään vain kaikista rajoittavimpaan ja tärkeimpään käytäntöön liittyvä käytäntövihje. Esimerkiksi sisällön käytön estävän DLP-käytännön käytäntövihje menee sellaisen edelle, joka vain antaisi ilmoituksen käyttäjälle. Tämä estää käyttäjiä näkemästä useamman käytäntövihjeen tulvaa. Ja jos käyttäjien annetaan ohittaa kaikista rajoittavimmankin käytännön käytäntövihje, sen ohittaminen ohittaa samalla myös kaikki muut sisältöön liittyvät käytännöt.
DLP-käytännöt synkronoidaan sivustoihin ja sivustojen sisältöä arvioidaan säännöllisesti ja asynkronisesti (ks. seuraava osio), joten voi mennä pieni hetki, ennen kuin luomasi DLP-käytännön käytäntövihjeet näkyvät käyttäjille.
Kuinka DLP-käytännöt toimivat
DLP havaitsee luottamuksellisia tietoja syvällisen sisältöanalyysin avulla (pelkän tekstiskannauksen sijaan). Tämä syvällinen sisältöanalyysi käyttää avainsanaosumia, säännöllisten lausekkeiden arviointia, sisäisiä funktioita ja muita tapoja tunnistaakseen DLP-käytäntöjä vastaavaa sisältöä. Vain pieni osa tiedoistasi saattaa olla luottamuksellista. DLP-käytäntö voi tunnistaa, valvoa ja automaattisesti suojata vain kyseistä tietoa niin, ettei se estä tai häiritse muun sisältösi parissa työskentelevien käyttäjiä.
Kun olet luonut DLP-käytännön yhteensopivuuskäytäntökeskussa, se tallennetaan sivuston käytäntömääritteeksi. Sitten kun liität käytännön toiseen sivustokokoelmaan, käytäntö synkronoidaan näihin sijainteihin, joissa se aloittaa sisällön arvioinnin ja toimintojen, kuten tapahtumaraporttien lähettämisen, käytäntövihjeiden näyttämisen ja käytön estämisen, käyttöönoton.
Käytäntöjen arviointi sivustoissa
Asiakirjat muuttuvat jatkuvasti kaikissa sivustokokoelmissa, kun tiedostoja luodaan, muokataan, jaetaan ja niin edelleen. Tämän tarkoittaa myös sitä, että asiakirjat voivat olla ristiriidassa DLP-käytännön kanssa tai sen mukaisia milloin vain. Joku voi esimerkiksi ladata ryhmäsivustoonsa asiakirjan, joka ei sisällä luottamuksellisia tietoja, mutta myöhemmin jokin toinen henkilö voi muokata samaa asiakirjaa ja lisätä siihen luottamuksellisia tietoja.
Tämän vuoksi DLP-käytännöt tarkistavat asiakirjoja usein taustalla käytäntövastaavuuksien varalta. Tätä voi myös kutsua asynkroniseksi käytäntöjen arvioinniksi.
Se toimii seuraavasti. Kun käyttäjät lisäävät tai muuttavat sivuston asiakirjoja, hakukone tarkistaa sisällön, jotta voit etsiä sitä myöhemmin. Samaan aikaan tiedoston sisältöä skannataan myös luottamuksellisten tietojen varalta. Kaikki löytyneet luottamukselliset tiedot tallennetaan turvallisesti hakuindeksiin niin, että vain velvoitteiden noudattamisryhmä voi käyttää niitä, mutta tavalliset käyttäjät eivät. Kukin käytössä oleva DLP-käytäntö suoritetaan taustalla (asynkronisesti), ja jokainen käytäntö tarkistaa haun useaan otteeseen sitä vastaavan sisällön varalta käyttäen tarvittavia toimenpiteitä estääkseen vahingossa tapahtuvat vuodot.
Asiakirjat voivat myös olla ristiriidassa DLP-käytännön kanssa, mutta ne voidaan myös muuttaa DLP-käytännön mukaisiksi. Jos käyttäjä esimerkiksi lisää luottokorttinumeroita asiakirjaan, DLP-käytäntö voi estää asiakirjan käytön automaattisesti. Mutta jos tämä henkilö poistaa luottamukselliset tiedot myöhemmin, toiminto (tässä tapauksessa esto) otetaan automaattisesti pois käytöstä, kun asiakirja arvioidaan seuraavan kerran.
DLP arvioi kaikki indeksoitavat sisällöt. Lisätietoja oletusarvoisesti indeksoiduista tiedostotyypeistä löytyy artikkelista Oletusarvoiset indeksoidut tiedostonimien tunnisteet ja jäsennetyt tiedostotyypit.
DLP-tapahtumien tarkasteleminen käyttölokeissa
Voit tarkastella DLP-käytännön tapahtumia SharePoint Server 2016:tta käyttävän palvelimen käyttölokeissa. Voit esimerkiksi tarkastella käyttäjien syöttämää tekstiä, kun he ohittavat käytäntövihjeen tai raportoivat virheellisestä esiintymästä.
Sinun täytyy ensin ottaa asetus käyttöön keskitetyssä hallinnassa (Valvonta > Määritä käyttö- ja kuntotietojen keräystoiminto > Yksinkertaisten lokitapahtumien käyttö Data_SPUnifiedAuditEntry). Lisätietoja käytön kirjaamisesta löytyy artikkelista Käyttö- ja kuntotietojen keräystoiminnon määrittäminen.
Kun otat tämän toiminnon käyttöön, voit avata käyttöraportit palvelimessa ja tarkastella käyttäjien antamia syitä DLP-käytäntövihjeen ohittamiseen sekä muita DLP-tapahtumia.
Ennen kuin aloitat DLP:n käytön
Tässä artikkelissa käsitellään joitakin ominaisuuksia, joita DLP tarvitsee. Näitä ovat esimerkiksi seuraavat:
-
Jos haluat tunnistaa ja luokittaa sivustokokoelmissasi olevia luottamuksellisia tietoja, aloita hakupalvelu ja määritä sisältöindeksoinnin aikataulu.
-
Ota käyttöön lähtevä sähköposti.
-
Jos haluat tarkastella ohitettuja DLP-käytäntöjä ja muita DLP-tapahtumia, ota käyttöraportit käyttöön.
-
Sivustokokoelmien luonti:
-
Jos haluat ottaa DLP-kyselyt käyttöön, luo eDiscovery-keskuksen sivustokokoelma.
-
Jos haluat ottaa DLP-käytännöt käyttöön, luo yhteensopivuuskäytäntökeskuksen sivustokokoelma.
-
-
Luo käyttöoikeusryhmä velvoitteiden noudattamisryhmälle ja lisää sitten käyttöoikeusryhmä Omistajat-ryhmälle eDiscovery-keskuksessa tai yhteensopivuuskäytäntökeskussa.
-
Jos haluat suorittaa DLP-kyselyjä, katseluoikeuksia tarvitaan kaikelle sisällölle, jota kysely etsii. Lisätietoja löytyy artikkelista DLP-kyselyn luominen SharePoint Server 2016:ssa.