Da bi se uskladile s poslovnim standardima i industrijskim propisima, tvrtke ili ustanove moraju zaštititi osjetljive informacije i spriječiti njegovo nehotice otkrivanje. Primjeri osjetljivih podataka koje možda želite spriječiti da cure izvan tvrtke ili ustanove obuhvaćaju financijske podatke ili osobne podatke (PII), kao što su brojevi kreditnih kartica, brojevi socijalnog osiguranja ili nacionalni IDENTIFIKACIJSKI brojevi. Pravilnikom o sprječavanju gubitka podataka u sustavu SharePoint Server 2016 možete prepoznati, nadzirati i automatski zaštititi osjetljive podatke u svim zbirkama web-mjesta.
DLP omogućuje sljedeće:
-
Stvorite DLP upit da biste utvrdili koje osjetljive informacije sada postoje u zbirkama web-mjesta. Prije stvaranja pravilnika o DLP-u često je korisno vidjeti s kojim vrstama osjetljivih podataka osobe u tvrtki ili ustanovi rade te s kojim zbirkama web-mjesta sadrže te osjetljive podatke. Uz DLP upit možete pronaći osjetljive informacije koje podliježu zajedničkim industrijskim propisima, bolje razumjeti rizike te odrediti koje i gdje su osjetljive informacije koje pravilnici o DLP-u moraju zaštititi.
-
Stvorite pravilnik o DLP-u radi nadzora i automatske zaštite osjetljivih podataka u zbirkama web-mjesta. Možete, primjerice, postaviti pravilnik koji korisnicima prikazuje savjet pravilnika ako spremili dokumente koji sadrže osobne podatke. Nadalje, pravilnik može automatski blokirati pristup tim dokumentima za sve osim vlasnika web-mjesta, vlasnika sadržaja i onoga tko je zadnji izmijenio dokument. I na primjer, budući da ne želite da pravila DLP-a sprječavaju druge da rade, savjet o pravilniku ima mogućnost nadjačati akciju blokiranja da bi korisnici mogli nastaviti raditi s dokumentima ako imaju poslovno opravdanje.
DLP predlošci
Kada stvorite DLP upit ili DLP pravilnik, možete odabrati s popisa DLP predložaka koji odgovaraju zajedničkim regulatornim zahtjevima. SvakiM DLP predloškom identificiraju se određene vrste osjetljivih podataka – na primjer, predložak pod nazivom PODACI KOJI IDENTIFICIRAJU OSOBNU IDENTIFIKACIJU (PII) identificira sadržaj koji sadrži brojeve putovnica u SAD-u i Ujedinjenom Kraljevstvo, identifikacijske brojeve pojedinačnih poreznih obveznika (ITIN) ili američke brojeve za socijalno osiguranje (SSN).
Osjetljive vrste podataka
Pravilnik o DLP-u pridonosi zaštiti osjetljivih podataka koji se definiraju kao osjetljiva vrsta podataka. SharePoint Server 2016 sadrži definicije za brojne uobičajene osjetljive vrste podataka koje su spremne za korištenje, kao što su broj kreditne kartice, brojevi bankovnih računa, nacionalni identifikacijski brojevi i brojevi putovnica.
Kada DLP pravilnik traži osjetljivu vrstu podataka, kao što je broj kreditne kartice, ne traži samo 16-znamenkasti broj. Svaka osjetljiva vrsta podataka definirana je i otkrivena pomoću kombinacije:
-
Ključne riječi
-
Interne funkcije za provjeru valjanosti kontrolnih zbroja ili sastava
-
Procjena regularnih izraza radi pronalaženja podudaranja uzoraka
-
Drugi pregled sadržaja
To pomaže otkrivanju DLP-a postići visok stupanj točnosti uz istovremeno smanjenje broja lažnih pozitivnih vrijednosti koje mogu ometati rad ljudi.
Svaki DLP predložak traži jednu ili više vrsta osjetljivih podataka. Dodatne informacije o načinu na koji svaka osjetljiva vrsta podataka funkcionira potražite u članku Koje vrste osjetljivih podataka u sustavu SharePoint Server 2016 izgledaju.
|
Ovaj DLP predložak... |
Traži ove osjetljive vrste podataka... |
|---|---|
|
PODACI KOJI SE MOGU IDENTIFICIRATI (PII) ZA OSOBNU IDENTIFIKACIJU |
Broj putovnice SAD-a Američki identifikacijski broj poreznog obveznika (ITIN) Američki broj socijalnog osiguranja (SSN) |
|
Američki gramm-Leach-Bliley Act (GLBA) |
Broj kreditne kartice Broj bankovnog računa u SAD-u Američki identifikacijski broj poreznog obveznika (ITIN) Američki broj socijalnog osiguranja (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Broj kreditne kartice |
|
Britanski financijski podaci |
Broj kreditne kartice Broj debitne kartice EU-a SWIFT kôd |
|
Američki financijski podaci |
ABA broj usmjeravanja Broj kreditne kartice Broj bankovnog računa u SAD-u |
|
Podaci koji otkrivaju identitet (PII) za Ujedinjeno Kraljevstvo |
Britanski broj nacionalnog osiguranja (NINO) Broj putovnice SAD-a |
|
Američki zakon o zaštiti podataka |
SWIFT kôd Britanski broj nacionalnog osiguranja (NINO) Broj putovnice SAD-a |
|
Američki propisi o zaštiti privatnosti i elektroničkim komunikacijama |
SWIFT kôd |
|
Zakoni o povjerljivosti broja socijalnog osiguranja u SAD-u |
Američki broj socijalnog osiguranja (SSN) |
|
Zakoni o obavijestima o kršenju zakona SAD-a |
Broj kreditne kartice Broj bankovnog računa u SAD-u Broj vozačke dozvole za SAD Američki broj socijalnog osiguranja (SSN) |
DLP upiti
Prije stvaranja pravilnika o DLP-u možda ćete htjeti vidjeti koje osjetljive informacije već postoje u svim zbirkama web-mjesta. Da biste to učinili, stvarate i izvodite DLP upite u centru za predočavanje elektroničkih dokumenata.
DLP upit funkcionira isto kao upit za predočavanje elektroničkih dokumenata. Ovisno o odabranom predlošku DLP-a, DLP upit konfiguriran je za traženje određenih vrsta osjetljivih podataka. Najprije odaberite mjesta koja želite pretražiti, a zatim možete precizno podesiti upit jer podržava KQL (Keyword Query Language). Upit možete suziti i odabirom raspona datuma, određenih autora, vrijednosti svojstava sustava SharePoint ili mjesta. Baš kao i upit za predočavanje elektroničkih dokumenata, rezultate upita možete pretpregledati, izvesti i preuzeti.
DLP pravilnici
Pravilnik o DLP-u olakšava prepoznavanje, praćenje i automatsku zaštitu osjetljivih podataka koji podliježu zajedničkim industrijskim propisima. Vi odabirete koje vrste osjetljivih podataka želite zaštititi i koje akcije treba poduzeti kada se otkrije sadržaj koji sadrži takve osjetljive podatke. DLP pravilnik može obavijestiti službenika za usklađenost slanjem izvješća o incidentu, obavijestiti korisnika savjetom o pravilniku na web-mjestu i po želji blokirati pristup dokumentu svima osim vlasniku web-mjesta, vlasniku sadržaja i onome tko je zadnji izmijenio dokument. Naposljetku, savjet pravilnika ima mogućnost nadjačavanja akcije blokiranja da bi korisnici mogli nastaviti raditi s dokumentima ako imaju poslovno opravdanje ili moraju prijaviti lažno pozitivno.
Pravila DLP-a stvarate i upravljate njima u centru za pravilnike o usklađenosti. Stvaranje DLP pravilnika postupak je u dva koraka: najprije stvorite pravilnik za DLP, a zatim pravilnik dodijelite zbirci web-mjesta.
Prvi korak: stvaranje pravilnika o DLP-u
Kada stvorite pravilnik o DLP-u, odaberite predložak DLP-a koji traži vrste osjetljivih podataka koje morate prepoznati, nadzirati i automatski zaštititi.
Kada DLP pravilnik pronađe sadržaj koji obuhvaća najmanji broj instanci određene vrste osjetljivih podataka koje odaberete , primjerice pet brojeva kreditnih kartica ili jedan broj socijalnog osiguranja, pravilnik o DLP-u može automatski zaštititi osjetljive podatke na sljedeći način:
-
Slanje izvješća o incidentu osobama koje odaberete (kao što je vaš službenik za usklađenost) s pojedinostima o događaju. Ovo izvješće sadrži pojedinosti o otkrivenom sadržaju, kao što su naslov, vlasnik dokumenta i koje su osjetljive informacije otkrivene. Da biste poslali izvješća o incidentima, morate konfigurirati postavke odlazne e-pošte u središnjoj administraciji.
-
Obavještavanje korisnika savjetom o pravilniku kada se dokumenti koji sadrže povjerljive podatke spremaju ili uređuju. Savjet pravilnika objašnjava zašto je taj dokument u sukobu s pravilnikom OLP-a da bi korisnici mogli poduzeti korektivne radnje, kao što su uklanjanje osjetljivih podataka iz dokumenta. Kada je dokument usklađen, opis pravilnika nestaje.
-
Blokiranje pristupa sadržaju za sve osim vlasnika web-mjesta, vlasnika dokumenta i osobe koja je zadnji izmijenila dokument. Te osobe mogu ukloniti osjetljive podatke iz dokumenta ili poduzeti druge korektivne radnje. Kada je dokument usklađen, izvorne će se dozvole automatski vratiti. Važno je razumjeti da savjet pravilnika korisnicima daje mogućnost nadjačavanja akcije blokiranja. Savjeti za pravilnike na taj način mogu pomoći u obrazovanju korisnika o vašim pravilnicima o DLP-u i nametnuti ih bez sprječavanja osoba da rade svoj posao.
Drugi korak: dodjela pravilnika o DLP-u
Kada stvorite pravilnik o DLP-u, morate ga dodijeliti jednoj ili više zbirki web-mjesta, gdje može početi štititi osjetljive podatke na tim mjestima. Jedan se pravilnik može dodijeliti mnogim zbirkama web-mjesta, ali svaki zadatak mora biti stvoren jedan po jedan.
Savjeti za pravilnike
Želite da osobe u vašoj tvrtki ili ustanovi koje rade s osjetljivim podacima ostanu usklađene s vašim pravilnicima za DLP, ali ih ne želite nepotrebno blokirati da bi obavili svoj posao. Ovdje vam mogu pomoći savjeti za pravilnike.
Savjet pravilnika obavijest je ili upozorenje koje se pojavljuje kada netko radi sa sadržajem koji je u sukobu s pravilnikom OLP-a – na primjer, sadržaj kao što je radna knjiga programa Excel koja sadrži osobne podatke (PII) i koji se sprema na web-mjesto.
Savjete o pravilnicima možete koristiti da biste povećali razinu svijesti i pomogli u obrazovanju osoba o pravilnicima tvrtke ili ustanove. Savjeti za pravilnike korisnicima nude i mogućnost nadjačavanja pravilnika da ne bi bili blokirani ako imaju valjane poslovne potrebe ili ako pravilnik otkriva lažno pozitivan rezultat.
Prikaz ili nadjačavanje savjeta pravilnika
Da biste primijenili akciju na dokumentu, kao što je nadjačavanje pravilnika OLP-a ili prijavljivanje netočno pozitivnog, možete odabrati izbornik Otvori ... za stavku > prikaz savjeta pravilnika.
U savjetu pravilnika navedeni su problemi sa sadržajem, a možete odabrati Razrješavanje , a zatim Nadjačati savjet pravilnika ili Prijavi lažno pozitivno.
Pojedinosti o načinu na koji funkcioniraju savjeti za pravilnik
Imajte na umu da je moguće da se sadržaj podudara s više pravilnika DLP-a, no prikazat će se samo savjet pravilnika iz najstriktivnijih pravilnika najvišeg prioriteta. Na primjer, savjet pravilnika iz pravilnika DLP-a koji blokira pristup sadržaju prikazat će se preko savjeta pravilnika iz pravila koje jednostavno obavještava korisnika. Time se korisnicima onemoguжi kaskadno prikazivanje savjeta za pravilnike. Osim toga, ako savjeti o pravilniku u najstriktivnijem pravilniku korisnicima dopuštaju nadjačavanje pravilnika, nadjačavanje tog pravilnika nadjačava i sve druge pravilnike koji se podudaraju sa sadržajem.
Pravilnici DLP-a sinkroniziraju se s web-mjestima, a sadržaj se povremeno i asinkrono provjerava (pogledajte sljedeći odjeljak), pa može biti kratkog kašnjenja između vremena stvaranja pravilnika o DLP-u i vremena kada počnete vidjeti savjete o pravilniku.
Funkcioniranje pravilnika o DLP-u
DLP otkriva osjetljive podatke pomoću dubinske analize sadržaja (ne samo jednostavnog pregleda teksta). Ova dubinska analiza sadržaja koristi podudaranja ključnih riječi, procjenu regularnih izraza, unutarnjih funkcija i drugih metoda za otkrivanje sadržaja koji odgovara vašim DLP pravilnicima. Potencijalno se samo mali postotak podataka smatra osjetljivim. DLP pravilnik može prepoznati, nadzirati i automatski štititi samo te podatke, a da pritom ne utječe na osobe koje rade s ostatkom sadržaja.
Kada stvorite pravilnik o DLP-u u centru za pravilnike o usklađenosti, on se pohranjuje kao definicija pravilnika na tom web-mjestu. Nakon toga, kada pravilnik dodjeljujete različitim zbirkama web-mjesta, pravilnik se sinkronizira s tim mjestima, gdje počinje vrednovati sadržaj i nametnuti akcije kao što su slanje izvješća o incidentima, prikaz savjeta za pravilnike i blokiranje pristupa.
Procjena pravilnika na web-mjestima
U svim zbirkama web-mjesta dokumenti se stalno mijenjaju – neprestano se stvaraju, uređuju, zajednički koriste i tako dalje. To znači da dokumenti u bilo kojem trenutku mogu biti u sukobu ili biti usklađeni s pravilnikom OLP-a. Na primjer, osoba može prenijeti dokument koji ne sadrži povjerljive podatke na svoje timsko web-mjesto, ali kasnije druga osoba može uređivati isti dokument i u njega dodavati osjetljive podatke.
Zbog toga pravilnici DLP-a često provjeravaju podudara li se pravila u pozadini. To možete smatrati asinkronom evaluacijom pravilnika.
Evo kako to funkcionira. Kada korisnici dodaju ili mijenjaju dokumente na svojim web-mjestima, tražilica pregledava sadržaj da biste ga kasnije mogli potražiti. Dok se to događa, sadržaj se također skenira radi povjerljivih podataka. Svi pronađeni osjetljivi podaci sigurno se pohranjuju u indeks pretraživanja da bi mu samo tim za usklađenost mogao pristupiti, ali ne i tipični korisnici. Svaki pravilnik o DLP-u koji ste uključili pokreće se u pozadini (asinkrono), često provjerava traži li sadržaj koji odgovara pravilniku i primjenjuje akcije da bi se zaštitio od nehotičnih curenja.
Naposljetku, dokumenti mogu biti u sukobu s pravilnikom OLP-a, ali mogu postati usklađeni i s pravilnikom DLP-a. Ako, primjerice, osoba u dokument doda brojeve kreditnih kartica, to može uzrokovati da DLP pravilnik automatski blokira pristup dokumentu. No ako osoba poslije ukloni osjetljive podatke, akcija (u ovom slučaju blokiranje) automatski će se poništiti prilikom sljedećeg procjenjivanja dokumenta u skladu s pravilnikom.
DLP procjenjuje sav sadržaj koji se može indeksirati. Dodatne informacije o tome koje se vrste datoteka po zadanom pretražuju radi indeksiranja potražite u članku Zadani datotečni nastavci pretraženi radi indeksiranja sadržaja i raščlanjene vrste datoteka.
Prikaz DLP događaja u zapisnicima o korištenju
Aktivnost pravilnika DLP-a možete pogledati u zapisnicima o korištenju na poslužitelju sa sustavom SharePoint Server 2016. Možete, primjerice, vidjeti tekst koji su unijeli korisnici kada nadjačaju savjet pravilnika ili prijavom neistinite pozitivne.
Najprije morate uključiti mogućnost u središnjoj administraciji (nadzor > Konfiguriranje prikupljanja podataka o korištenju i stanju sustava > jednostavnog zapisnika Data_SPUnifiedAuditEntry). Dodatne informacije o zapisi u zapisnik o korištenju potražite u članku Konfiguriranje prikupljanja podataka o korištenju i stanju sustava.
Kada uključite tu značajku, možete otvoriti izvješća o korištenju na poslužitelju i pogledati opravdanja korisnika za nadjačavanje opisa pravilnika DLP-a zajedno s drugim DLP događajima.
Prije početka rada s DLP-om
U ovoj su temi navedene neke značajke o kojima DLP ovisi. Među njima su sljedeće:
-
Da biste otkrili i klasificirali osjetljive podatke u zbirkama web-mjesta, pokrenite servis za pretraživanje i definirajte raspored pretraživanja radi indeksiranja sadržaja.
-
Uključite izlaznu e-poštu.
-
Da biste vidjeli nadjačavanja korisnika i druge DLP događaje, uključite izvješće o korištenju.
-
Stvaranje zbirki web-mjesta:
-
Za DLP upite stvorite zbirku web-mjesta centra za predočavanje elektroničkih dokumenata.
-
Za pravilnike o DLP-u stvorite zbirku web-mjesta centra za pravilnike o usklađenosti.
-
-
Stvorite sigurnosnu grupu za svoj tim za usklađenost, a zatim dodajte sigurnosnu grupu u grupu Vlasnika u centru za predočavanje elektroničkih dokumenata ili centru za pravilnike o usklađenosti.
-
Da biste pokrenuli DLP upite, potrebne su dozvole za prikaz za sav sadržaj koji upit pretražuje – dodatne informacije potražite u članku Stvaranje DLP upita u sustavu SharePoint Server 2016.
