Aby zapewnić zgodność ze standardami biznesowymi i przepisami branżowymi, organizacje muszą chronić informacje poufne i zapobiegać ich nieumyślnemu ujawnieniu. Przykładami informacji poufnych, których nie chcesz zapobiec wyciekowi poza organizację, są dane finansowe lub dane umożliwiające identyfikację użytkownika, takie jak numery kart kredytowych, numery PESEL lub numery identyfikacyjne krajowe. Dzięki zasadom ochrony przed utratą danych (DLP) w programie SharePoint Server 2016 można identyfikować, monitorować i automatycznie chronić poufne informacje w zbiorach witryn.
Za pomocą funkcji DLP można wykonywać następujące czynności:
-
Utwórz zapytanie DLP, aby określić, jakie informacje poufne istnieją obecnie w zbiorach witryn. Przed utworzeniem zasad ochrony przed utratą danych warto sprawdzić, z jakimi typami informacji poufnych pracują osoby w organizacji i które zbiory witryn zawierają te poufne informacje. Za pomocą zapytania DLP można znajdować informacje poufne podlegające wspólnym przepisom branżowym, lepiej zrozumieć czynniki ryzyka oraz określić, jakie i gdzie są informacje poufne, które zasady DLP muszą chronić.
-
Utwórz zasady ochrony przed utratą danych, aby monitorować i automatycznie chronić informacje poufne w zbiorach witryn. Na przykład możesz skonfigurować zasady, które wyświetlają użytkownikom poradę dotyczącą zasad, jeśli zapisują oni dokumenty zawierające informacje umożliwiające identyfikację osobistą. Ponadto te zasady mogą automatycznie blokować dostęp do tych dokumentów dla wszystkich osób oprócz właściciela witryny, właściciela zawartości i osoby, która ostatnio zmodyfikowała dokument. Ponadto ze względu na to, że zasady ochrony przed utratą danych nie mają uniemożliwiać innym osobom wykonania pracy, porada dotycząca zasad udostępnia opcję zastąpienia akcji blokującej, aby użytkownicy mogli kontynuować pracę z dokumentami, jeśli mają uzasadnienie biznesowe.
Szablony DLP
Podczas tworzenia zapytania DLP lub zasad DLP można wybrać szablony DLP odpowiadające wspólnym wymaganiom prawnym. Każdy szablon DLP identyfikuje określone typy informacji poufnych — na przykład szablon o nazwie Dane osobowe (PII) stanów Zjednoczonych identyfikuje zawartość zawierającą numery paszportów w Stanach Zjednoczonych i Wielkiej Brytanii, numery identyfikacyjne poszczególnych podatników w Stanach Zjednoczonych (ITIN) lub numery PESEL (SSN).
Typy informacji poufnych
Zasady ochrony przed utratą danych (DLP) pomagają chronić informacje poufne zdefiniowane jako typ informacji poufnych. Program SharePoint Server 2016 zawiera definicje wielu typowych typów informacji poufnych gotowych do użycia, takich jak numer karty kredytowej, numery kont bankowych, krajowe numery identyfikacyjne i paszporty.
Gdy zasady DLP wyszukają informacji poufnych, takich jak numer karty kredytowej, nie szuka ona po prostu numeru 16-cyfrowego. Każdy typ informacji poufnych jest definiowany i wykrywany przy użyciu kombinacji:
-
Słowa kluczowe
-
Funkcje wewnętrzne do sprawdzania poprawności sum kontrolnych lub kompozycji
-
Szacowanie wyrażeń regularnych w celu znalezienia dopasowania wzorca
-
Inne badanie zawartości
Pomaga to wykrywaniu DLP osiągnąć wysoki stopień dokładności przy jednoczesnym zmniejszeniu liczby wyników fałszywie dodatnich, które mogą zakłócać pracę ludzi.
Każdy szablon DLP wyszuka co najmniej jednego typu informacji poufnych. Aby uzyskać więcej informacji na temat działania poszczególnych typów informacji poufnych, zobacz Czego szukają typy informacji poufnych w programie SharePoint Server 2016.
|
Ten szablon DLP... |
Wyszukuje te typy informacji poufnych... |
|---|---|
|
Dane osobowe (PII) w Stanach Zjednoczonych |
Numer paszportu obowiązujący w Stanach Zjednoczonych / Zjednoczonym Królestwie Numer identyfikacyjny indywidualnego podatnika w Stanach Zjednoczonych (ITIN) Numer ubezpieczenia społecznego Stanów Zjednoczonych (SSN) |
|
U.S. Gramm-Leach-Bliley Act (GLBA) |
Numer karty kredytowej Numer konta bankowego w Stanach Zjednoczonych Numer identyfikacyjny indywidualnego podatnika w Stanach Zjednoczonych (ITIN) Numer ubezpieczenia społecznego Stanów Zjednoczonych (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Numer karty kredytowej |
|
Dane finansowe z Wielkiej Brytanii |
Numer karty kredytowej Numer karty debetowej UE Kod SWIFT |
|
Dane finansowe Stanów Zjednoczonych |
Numer routingu ABA Numer karty kredytowej Numer konta bankowego w Stanach Zjednoczonych |
|
Dane PII (Personally Identifiable Information) w Zjednoczonym Zjednoczonym Królestwo |
Numer ubezpieczenia narodowego Wielkiej Brytanii (NINO) Numer paszportu obowiązujący w Stanach Zjednoczonych / Zjednoczonym Królestwie |
|
Ustawa o ochronie danych osobowych w Wielkiej Brytanii |
Kod SWIFT Numer ubezpieczenia narodowego Wielkiej Brytanii (NINO) Numer paszportu obowiązujący w Stanach Zjednoczonych / Zjednoczonym Królestwie |
|
Brytyjskie przepisy dotyczące ochrony prywatności i komunikacji elektronicznej |
Kod SWIFT |
|
U.S. State Social Security Number Confidentiality Laws |
Numer ubezpieczenia społecznego Stanów Zjednoczonych (SSN) |
|
Przepisy dotyczące powiadamiania o naruszeniu przepisów w stanach Zjednoczonych |
Numer karty kredytowej Numer konta bankowego w Stanach Zjednoczonych Numer prawa jazdy w Stanach Zjednoczonych Numer ubezpieczenia społecznego Stanów Zjednoczonych (SSN) |
Zapytania DLP
Przed utworzeniem zasad DLP warto sprawdzić, jakie informacje poufne już istnieją w zbiorach witryn. W tym celu należy utworzyć i uruchomić zapytania DLP w Centrum zbierania elektronicznych materiałów dowodowych.
Zapytanie DLP działa tak samo jak zapytanie zbierania elektronicznych materiałów dowodowych. Na podstawie wybranego szablonu DLP zapytanie DLP jest skonfigurowane do wyszukiwania określonych typów informacji poufnych. Najpierw wybierz lokalizacje, które chcesz przeszukać, a następnie możesz dostosować zapytanie, ponieważ obsługuje ono język zapytań słów kluczowych (KQL). Ponadto możesz zawęzić zapytanie, wybierając zakres dat, konkretnych autorów, wartości właściwości programu SharePoint lub lokalizacje. Podobnie jak w przypadku zapytania zbierania elektronicznych materiałów dowodowych, możesz wyświetlać podgląd, eksportować i pobierać wyniki zapytania.
Zasady DLP
Zasady DLP pomagają identyfikować, monitorować i automatycznie chronić informacje poufne podlegające wspólnym przepisom branżowym. Użytkownik wybiera typy informacji poufnych, które mają być chronione, oraz czynności, które należy podjąć, gdy zostanie wykryta zawartość zawierająca takie informacje poufne. Zasady ochrony przed utratą danych mogą zostać powiadomione przez urzędnika ds. zgodności, wysyłając raport o zdarzeniu, powiadamiając użytkownika o poradach dotyczących zasad w witrynie oraz opcjonalnie blokując dostęp do dokumentu dla wszystkich osób oprócz właściciela witryny, właściciela zawartości i osoby, która ostatnio zmodyfikowała dokument. Ponadto porada dotycząca zasad udostępnia opcję zastąpienia akcji blokującej, aby użytkownicy mogli kontynuować pracę z dokumentami, jeśli mają uzasadnienie biznesowe lub muszą zgłosić fałszywie dodatnie informacje.
Zasady DLP można tworzyć i zarządzać nimi w Centrum zasad zgodności. Tworzenie zasad DLP to proces dwuetapowy: najpierw tworzysz zasady DLP, a następnie przypisujesz je do zbioru witryn.
Krok 1. Tworzenie zasad DLP
Podczas tworzenia zasad ochrony przed utratą danych wybierasz szablon DLP, który wyszuka typów informacji poufnych potrzebnych do identyfikacji, monitorowania i automatycznego ochrony.
Jeśli zasady DLP wyszukują zawartość zawierającą minimalną liczbę wystąpień określonego typu wybranych informacji poufnych — na przykład pięć numerów kart kredytowych lub jeden numer pesel — zasady DLP mogą automatycznie chronić informacje poufne, wykonując następujące czynności:
-
Wysyłanie raportu o zdarzeniu do osób, które wybierzesz (na przykład oficera ds. zgodności) ze szczegółami zdarzenia. Ten raport zawiera szczegółowe informacje o wykrytej zawartości, takie jak tytuł, właściciel dokumentu i wykryte informacje poufne. Aby wysyłać raporty o zdarzeniach, musisz skonfigurować ustawienia wychodzącej poczty e-mail w administracji centralnej.
-
Powiadamianie użytkownika o poradach dotyczących zasad , gdy dokumenty zawierające informacje poufne są zapisywane lub edytowane. W poradach dotyczących zasad wyjaśniono, dlaczego dany dokument jest sprzeczny z zasadami DLP, dzięki czemu inne osoby mogą podejmować działania naprawcze, takie jak usuwanie poufnych informacji z dokumentu. Gdy dokument jest zgodny, porada dotycząca zasad znika.
-
Blokowanie dostępu do zawartości dla wszystkich oprócz właściciela witryny, właściciela dokumentu i osoby, która ostatnio zmodyfikowała dokument. Te osoby mogą usuwać informacje poufne z dokumentu lub podejmować inne działania naprawcze. Gdy dokument jest zgodny, oryginalne uprawnienia zostaną automatycznie przywrócone. Ważne jest, aby zrozumieć, że porada dotycząca zasad umożliwia zastępowanie akcji blokującej. Porady dotyczące zasad mogą zatem ułatwić informowanie użytkowników o zasadach ochrony przed utratą danych i wymuszanie ich bez uniemożliwiania użytkownikom wykonywania pracy.
Krok 2. Przypisywanie zasad DLP
Po utworzeniu zasad DLP należy je przypisać do co najmniej jednego zbioru witryn, w którym mogą one pomóc chronić informacje poufne w tych lokalizacjach. Do wielu zbiorów witryn można przypisywać pojedyncze zasady, ale każdy przydział musi być tworzony pojedynczo.
Porady dotyczące zasad
Chcesz, aby osoby w Twojej organizacji, które pracują z poufnymi informacjami, pozostawały zgodne z Twoimi zasadami DLP, ale nie chcesz, aby niepotrzebnie uniemożliwiały im wykonywanie pracy. W tym miejscu mogą pomóc porady dotyczące zasad.
Porada dotycząca zasad to powiadomienie lub ostrzeżenie wyświetlane, gdy ktoś pracuje z zawartością powodującą konflikt z zasadami DLP — na przykład zawartość, taka jak skoroszyt programu Excel, który zawiera informacje umożliwiające identyfikację osobistą (PII) i które są zapisywane w witrynie.
Korzystając z porad dotyczących zasad, możesz zwiększyć świadomość i pomóc w informowaniu osób o zasadach organizacji. Porady dotyczące zasad umożliwiają również zastępowanie zasad, aby nie były blokowane w przypadku prawidłowych potrzeb biznesowych lub jeśli zasady wykrywają wynik fałszywie dodatni.
Wyświetlanie lub zastępowanie porady dotyczącej zasad
Aby wykonać akcję dotyczącą dokumentu, na przykład zastąpić zasady DLP lub zgłosić wynik fałszywie dodatni, możesz wybrać menu Otwórz ... dla elementu > Wyświetl poradę dotyczącą zasad.
Porada dotycząca zasad zawiera listę problemów z zawartością. Możesz wybrać pozycję Rozwiąż, a następnie zastąpić poradę dotyczącą zasad lub Zgłoś wynik fałszywie dodatni.
Szczegóły dotyczące sposobu działania porad dotyczących zasad
Pamiętaj, że zawartość może odpowiadać więcej niż jednej zasadom DLP, ale zostanie wyświetlona tylko porada dotycząca zasad z najbardziej restrykcyjnych zasad o najwyższym priorytecie. Na przykład porada dotycząca zasad z zasad DLP blokujących dostęp do zawartości będzie wyświetlana nad poradą dotyczącą zasad z reguły, która po prostu powiadamia użytkownika. Zapobiega to wyświetlaniu kaskadowych porad dotyczących zasad. Ponadto jeśli porady dotyczące zasad w najbardziej restrykcyjnych zasadach zezwalają użytkownikom na zastępowanie tych zasad, zastąpienie tych zasad zastępuje również wszelkie inne zasady dopasowane do zawartości.
Zasady DLP są synchronizowane z witrynami, a zawartość jest sprawdzana dla nich okresowo i asynchronicznie (zobacz następną sekcję), więc może występować krótkie opóźnienie między czasem tworzenia zasad DLP a czasem rozpoczęcia wyświetlania porad dotyczących zasad.
Jak działają zasady DLP
Funkcja DLP wykrywa informacje poufne przy użyciu analizy zawartości głębokiej (nie tylko za pomocą prostego skanowania tekstu). W tej dogłębnej analizie zawartości używane są dopasowania słów kluczowych, ocena wyrażeń regularnych, funkcji wewnętrznych i innych metod wykrywania zawartości zgodnej z zasadami DLP. Potencjalnie tylko niewielki procent danych jest uważany za poufny. Zasady ochrony przed utratą danych mogą identyfikować, monitorować i automatycznie chronić tylko te dane, nie utrudniając pracy ani nie wpływając na osoby, które pracują nad pozostałą zawartością.
Po utworzeniu zasad DLP w Centrum zasad zgodności są przechowywane w tej witrynie jako definicja zasad. Następnie podczas przypisywania zasad do różnych zbiorów witryn zasady są synchronizowane z tymi lokalizacjami, gdzie zaczynają oceniać zawartość i wymuszać akcje, takie jak wysyłanie raportów o zdarzeniach, wyświetlanie porad dotyczących zasad i blokowanie dostępu.
Ocena zasad w witrynach
We wszystkich zbiorach witryn dokumenty stale się zmieniają — są stale tworzone, edytowane, udostępniane i tak dalej. Oznacza to, że dokumenty mogą w dowolnym momencie stać się zgodne z zasadami DLP. Na przykład osoba może przekazać dokument, który nie zawiera informacji poufnych, do swojej witryny zespołu, ale później inna osoba może edytować ten sam dokument i dodawać do niego poufne informacje.
Z tego powodu zasady ochrony przed utratą danych sprawdzają dokumenty pod kątem częstych dopasowań zasad w tle. Można to uznać za asynchroniczne oszacowanie zasad.
Oto jak to działa. Gdy użytkownicy dodają lub zmieniają dokumenty w swoich witrynach, wyszukiwarka skanuje zawartość, aby można było ją później wyszukać. Podczas tego procesu zawartość jest również skanowana w poszukiwaniu informacji poufnych. Wszelkie znalezione informacje poufne są bezpiecznie przechowywane w indeksie wyszukiwania, dzięki czemu tylko zespół ds. zgodności może uzyskiwać do niego dostęp, ale nie są typowymi użytkownikami. Wszystkie włączone zasady DLP są uruchamiane w tle (asynchronicznie), często sprawdzając wyszukiwanie dowolnej zawartości zgodnej z zasadami i stosując akcje chroniące je przed niezamierzonymi przeciekami.
Ponadto dokumenty mogą powodować konflikty z zasadami DLP, ale mogą również stać się zgodne z zasadami DLP. Jeśli na przykład dana osoba doda numery kart kredytowych do dokumentu, może to spowodować automatyczne zablokowanie dostępu do dokumentu przez zasady DLP. Jeśli jednak osoba później usunie informacje poufne, akcja (w tym przypadku blokowanie) zostanie automatycznie cofnięta, gdy następnym razem dokument zostanie oceniony pod kątem zasad.
Funkcja DLP ocenia każdą zawartość, która może być indeksowana. Aby uzyskać więcej informacji na temat typów plików, które są domyślnie przeszukiwane, zobacz Domyślne rozszerzenia nazw plików przeszukanych i typy plików przeanalizowanych.
Wyświetlanie zdarzeń DLP w dziennikach użycia
Aktywność zasad DLP można wyświetlić w dziennikach użycia na serwerze z programem SharePoint Server 2016. Możesz na przykład wyświetlić tekst wprowadzony przez użytkowników, gdy zastąpią poradę dotyczącą zasad lub zgłoszą wynik fałszywie dodatni.
Najpierw należy włączyć tę opcję w obszarze Administracja centralna (monitorowanie > Konfigurowanie gromadzenia danych dotyczących użycia i kondycji > Data_SPUnifiedAuditEntry użycia zdarzenia prostego dziennika). Aby uzyskać więcej informacji na temat rejestrowania użycia, zobacz Konfigurowanie gromadzenia danych dotyczących użycia i kondycji.
Po włączeniu tej funkcji możesz otworzyć raporty użycia na serwerze i wyświetlić uzasadnienia podane przez użytkowników w celu zastąpienia porady dotyczącej zasad DLP wraz z innymi zdarzeniami DLP.
Przed rozpoczęciem pracy z funkcją DLP
W tym temacie przedstawiono niektóre funkcje, od których zależy funkcja DLP. Są to, między innymi:
-
Aby wykrywać i klasyfikować informacje poufne w zbiorach witryn, uruchom usługę wyszukiwania i zdefiniuj harmonogram przeszukiwania zawartości.
-
Włącz wychodzące wiadomości e-mail.
-
Aby wyświetlić zastępowania użytkowników i inne zdarzenia DLP, włącz raport użycia.
-
Tworzenie zbiorów witryn:
-
W przypadku zapytań DLP utwórz zbiór witryn Centrum zbierania elektronicznych materiałów dowodowych.
-
W przypadku zasad DLP utwórz zbiór witryn Centrum zasad zgodności.
-
-
Utwórz grupę zabezpieczeń dla zespołu ds. zgodności, a następnie dodaj grupę zabezpieczeń do grupy Właściciele w Centrum zbierania elektronicznych materiałów dowodowych lub Centrum zasad zgodności.
-
Do uruchamiania zapytań DLP są wymagane uprawnienia do wyświetlania dla całej zawartości, którą zapytanie będzie wyszukiwać — aby uzyskać więcej informacji, zobacz Tworzenie zapytania DLP w programie SharePoint Server 2016.
