Pentru a respecta standardele de afaceri și reglementările din domeniu, organizațiile trebuie să protejeze informațiile sensibile și să prevină divulgarea accidentală a acestora. Printre exemplele de informații sensibile pe care poate doriți să le împiedicați să se scurgă din afara organizației se numără date financiare sau informații de identificare personală (IIP), cum ar fi numere de cărți de credit, coduri numerice personale sau numere ID naționale. Cu o politică de prevenire a pierderii datelor (DLP) în SharePoint Server 2016, puteți să identificați, să monitorizați și să protejați automat informațiile sensibile din colecțiile de site-uri.
Cu DLP, aveți următoarele posibilități:
-
Creați o interogare DLP pentru a identifica ce informații sensibile există acum în colecțiile de site-uri. Înainte de a crea politici DLP, este adesea util să vedeți cu ce tipuri de informații sensibile lucrează persoanele din organizația dvs. și cu ce colecții de site-uri conțin aceste informații sensibile. Cu o interogare DLP, puteți să găsiți informații sensibile care se supun reglementărilor comune din domeniu, să înțelegeți mai bine riscurile și să determinați ce și unde sunt informațiile sensibile pe care politicile DLP trebuie să le protejeze.
-
Creați o politică DLP pentru a monitoriza și a proteja automat informațiile sensibile din colecțiile de site-uri. De exemplu, puteți configura o politică care să afișeze utilizatorilor un sfat de politică dacă salvează documente care conțin informații de identificare personală. Mai mult, politica poate bloca automat accesul la documentele respective pentru toată lumea, cu excepția proprietarului site-ului, a proprietarului de conținut și a persoanei care a modificat ultima dată documentul. Și, în sfârșit, deoarece nu doriți ca politicile DLP să împiedice alte persoane să își îndeplinească sarcinile, sfatul de politică are opțiunea de a înlocui acțiunea de blocare, astfel încât alte persoane să poată continua să lucreze cu documente dacă au o justificare de afaceri.
Șabloane DLP
Atunci când creați o interogare DLP sau o politică DLP, puteți alege dintr-o listă de șabloane DLP care corespund cerințelor de reglementare comune. Fiecare șablon DLP identifică anumite tipuri de informații sensibile - de exemplu, șablonul denumit Date de identificare personală (IIP) din S.U.A. identifică conținutul care conține numere de pașaport englezesc și englezesc, numere de identificare ale contribuabililor individuali (ITIN) din S.U.A. sau coduri S.U.A. de securitate socială (SSN).
Tipuri de informații sensibile
O politică DLP contribuie la protejarea informațiilor sensibile, care sunt definite ca tip de informații sensibile. SharePoint Server 2016 include definiții pentru multe tipuri de informații sensibile comune, gata de utilizare, cum ar fi un număr de card de credit, numere de cont bancar, numere de ID naționale și numere de pașaport.
Atunci când o politică DLP caută un tip de informații sensibile, cum ar fi numărul cardului de credit, nu caută pur și simplu un număr de 16 cifre. Fiecare tip de informații sensibile este definit și detectat utilizând o combinație de:
-
Cuvinte cheie
-
Funcții interne pentru validarea remurilor de verificare sau a compoziției
-
Evaluarea expresiilor regulate pentru a găsi potriviri de modele
-
Altă examinare a conținutului
Acest lucru ajută detectarea DLP să obțină un grad ridicat de precizie, reducând în același timp numărul de rezultate fals pozitive care pot întrerupe munca oamenilor.
Fiecare șablon DLP caută unul sau mai multe tipuri de informații sensibile. Pentru mai multe informații despre modul în care funcționează fiecare tip de informații sensibile, consultați Ce tipuri de informații sensibile caută în SharePoint Server 2016.
|
Acest șablon DLP... |
Caută aceste tipuri de informații sensibile... |
|---|---|
|
Date din S.U.A. informații de identificare personală (PII) |
Număr pașaport englez/englez Numărul individual de identificare a contribuabililor din S.U.A. (ITIN) S.U.A. Social Security Number (SSN) |
|
S.U.A. Gramm-Leach-Bliley Act (GLBA) |
Număr card de credit Număr cont bancar american Numărul individual de identificare a contribuabililor din S.U.A. (ITIN) S.U.A. Social Security Number (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Număr card de credit |
|
Date financiare engleze |
Număr card de credit Numărul cardului de debit UE Cod SWIFT |
|
Date financiare americane |
Număr rutare ABA Număr card de credit Număr cont bancar american |
|
Date din U.K. Informații de identificare personală (PII) |
Numărul asigurărilor naționale (NINO) din Regatul Unit Număr pașaport englez/englez |
|
Legea privind protecția datelor din Regatul Unit |
Cod SWIFT Numărul asigurărilor naționale (NINO) din Regatul Unit Număr pașaport englez/englez |
|
Reglementări privind confidențialitatea și comunicațiile electronice din Regatul Unit |
Cod SWIFT |
|
Legile sua privind confidențialitatea numerelor de securitate socială de stat |
S.U.A. Social Security Number (SSN) |
|
Legile sua privind notificările privind încălcările |
Număr card de credit Număr cont bancar american Numărul de permis de conducere american S.U.A. Social Security Number (SSN) |
Interogări DLP
Înainte de a crea politicile DLP, se recomandă să vedeți ce informații sensibile există deja în colecțiile de site-uri. Pentru a face acest lucru, creați și rulați interogări DLP în Centrul eDiscovery.
O interogare DLP funcționează la fel ca o interogare eDiscovery. Pe baza șablonului DLP pe care îl alegeți, interogarea DLP este configurată să caute anumite tipuri de informații sensibile. Mai întâi alegeți locațiile în care doriți să căutați, apoi puteți regla în detaliu interogarea, deoarece acceptă Limbajul de interogare a cuvintelor cheie (KQL). În plus, puteți restrânge interogarea selectând un interval de date, anumiți autori, valori ale proprietății SharePoint sau locații. Și, la fel ca o interogare eDiscovery, puteți previzualiza, exporta și descărca rezultatele interogării.
Politici DLP
O politică DLP vă ajută să identificați, să monitorizați și să protejați automat informațiile sensibile care fac obiectul reglementărilor comune din domeniu. Alegeți ce tipuri de informații sensibile să protejați și ce acțiuni să efectuați atunci când se detectează conținut care conține astfel de informații sensibile. O politică DLP poate notifica responsabilul de conformitate trimițând un raport de incident, notifică utilizatorul cu un sfat de politică pe site și, opțional, poate bloca accesul la document pentru toată lumea, în afară de proprietarul site-ului, proprietarul conținutului și oricine a modificat ultima dată documentul. În sfârșit, sfatul de politică are opțiunea de a înlocui acțiunea de blocare, astfel încât alte persoane să poată lucra în continuare cu documente dacă au o justificare de afaceri sau trebuie să raporteze un rezultat fals pozitiv.
Creați și gestionați politici DLP în Centrul de politici de conformitate. Crearea unei politici DLP este un proces în doi pași: mai întâi creați politica DLP, apoi atribuiți politica unei colecții de site-uri.
Pasul 1: Crearea unei politici DLP
Atunci când creați o politică DLP, alegeți un șablon DLP care caută tipurile de informații sensibile de care aveți nevoie pentru a identifica, monitoriza și proteja automat.
Atunci când o politică DLP găsește conținut care include numărul minim de instanțe ale unui anumit tip de informații sensibile pe care le alegeți, de exemplu, cinci numere de card de credit sau un singur număr de securitate socială, politica DLP poate proteja automat informațiile sensibile, efectuând următoarele acțiuni:
-
Trimiterea unui raport de incident persoanelor pe care le alegeți (cum ar fi responsabilul cu conformitatea) cu detalii despre eveniment. Acest raport include detalii despre conținutul detectat, cum ar fi titlul, proprietarul documentului și ce informații sensibile au fost detectate. Pentru a trimite rapoarte de incidente, trebuie să configurați setările de e-mail de ieșire în Administrare centrală.
-
Notificarea utilizatorului cu un sfat de politică atunci când documentele care conțin informații sensibile sunt salvate sau editate. Sfatul de politică explică de ce acel document intră în conflict cu o politică DLP, astfel încât alte persoane să poată lua măsuri de remediere, cum ar fi eliminarea informațiilor sensibile din document. Atunci când documentul este în conformitate, sfatul de politică dispare.
-
Blocarea accesului la conținut pentru toată lumea, cu excepția proprietarului site-ului, a proprietarului documentului și a persoanei care a modificat ultima dată documentul. Aceste persoane pot elimina informațiile sensibile din document sau pot efectua alte acțiuni de remediere. Atunci când documentul este în conformitate, permisiunile originale vor fi restaurate automat. Este important să înțelegeți că sfatul de politică le oferă utilizatorilor opțiunea de a înlocui acțiunea de blocare. Sfaturile pentru politică pot ajuta astfel la educarea utilizatorilor cu privire la politicile DLP și la impunerea acestora fără a împiedica alte persoane să își facă treaba.
Pasul 2: Atribuirea unei politici DLP
După ce creați o politică DLP, trebuie să o atribuiți uneia sau mai multor colecții de site-uri, unde poate începe să protejeze informațiile sensibile din aceste locații. O politică unică poate fi atribuită mai multor colecții de site-uri, dar fiecare atribuire trebuie să fie creată pe rând.
Sfaturi pentru politică
Doriți ca persoanele din organizația dvs. care lucrează cu informații sensibile să rămână conforme cu politicile DLP, dar nu doriți să le blocați în mod inutil pentru a-și duce lucrul la bun sfârșit. Aici vă pot fi de ajutor sfaturile pentru politică.
Un sfat pentru politică este o notificare sau un avertisment care apare atunci când cineva lucrează cu conținut care intră în conflict cu o politică DLP, de exemplu, conținut precum un registru de lucru Excel care conține informații de identificare personală (IIP) și care este salvat pe un site.
Puteți utiliza sfaturi de politică pentru a crește gradul de conștientizare și a ajuta la educarea utilizatorilor cu privire la politicile organizației dvs. Sfaturile pentru politică le oferă utilizatorilor și opțiunea de a înlocui politica, astfel încât să nu fie blocate dacă au o nevoie de afaceri validă sau dacă politica detectează un fals pozitiv.
Vizualizarea sau suprascrierea unui sfat de politică
Pentru a acționa asupra unui document, cum ar fi anularea politicii DLP sau raportarea unui fals pozitiv, puteți selecta meniul Deschidere ... pentru element > Vedeți sfatul de politică.
Sfatul de politică listează problemele cu conținutul și puteți alege Rezolvare, apoi Înlocuiți sfatul de politică sau Raportați un fals pozitiv.
Detalii despre cum funcționează sfaturile pentru politică
Rețineți că este posibil ca conținutul să corespundă mai multor politici DLP, dar se va afișa doar sfatul de politică din politica cea mai restrictivă, cu cea mai mare prioritate. De exemplu, un sfat de politică dintr-o politică DLP care blochează accesul la conținut va fi afișat printr-un sfat de politică dintr-o regulă care notifică pur și simplu utilizatorul. Acest lucru împiedică persoanele să vadă o cascadă de sfaturi de politică. De asemenea, dacă sfaturile de politică din politica cea mai restrictivă permit persoanelor să înlocuiască politica, atunci înlocuirea acestei politici înlocuiește, de asemenea, orice alte politici care corespund conținutului.
Politicile DLP sunt sincronizate cu site-urile și conținutul este evaluat în raport cu acestea periodic și asincron (consultați secțiunea următoare), deci poate exista o întârziere scurtă între momentul când creați politica DLP și momentul când începeți să vedeți sfaturile pentru politică.
Cum funcționează politicile DLP
DLP detectează informații sensibile utilizând analiza profundă a conținutului (nu doar o scanare simplă a textului). Această analiză de conținut profund utilizează potriviri de cuvinte cheie, evaluarea expresiilor obișnuite, a funcțiilor interne și a altor metode pentru a detecta conținut care corespunde politicilor DLP. Doar un procent mic din date este considerat sensibil. O politică DLP poate să identifice, să monitorizeze și să protejeze automat doar acele date, fără a împiedica sau a afecta persoanele care lucrează cu restul conținutului dvs.
După ce creați o politică DLP în Centrul de politici de conformitate, aceasta este stocată ca definiție de politică în site-ul respectiv. Apoi, pe măsură ce atribuiți politica unor colecții de site-uri diferite, politica este sincronizată cu acele locații, unde începe să evalueze conținutul și să impună acțiuni precum trimiterea rapoartelor de incidente, afișarea sfaturilor de politică și blocarea accesului.
Evaluare de politică în site-uri
În toate colecțiile de site-uri, documentele sunt în continuă schimbare, acestea sunt create, editate, partajate în permanență și așa mai departe. Aceasta înseamnă că documentele pot intra în conflict sau pot deveni conforme cu o politică DLP în orice moment. De exemplu, o persoană poate încărca un document care nu conține informații sensibile pe site-ul său de echipă, dar mai târziu, o altă persoană poate să editeze același document și să adauge informații sensibile la acesta.
Din acest motiv, politicile DLP verifică documentele pentru potriviri de politică frecvent în fundal. Vă puteți gândi la aceasta ca la o evaluare asincronă a politicii.
Iată cum funcționează. Pe măsură ce alte persoane adaugă sau modifică documente pe site-urile lor, motorul de căutare scanează conținutul, astfel încât să îl puteți căuta mai târziu. În timp ce se întâmplă acest lucru, conținutul este scanat și pentru informații sensibile. Toate informațiile sensibile găsite sunt stocate în siguranță în indexul de căutare, astfel încât doar echipa de conformitate să le poată accesa, dar nu și utilizatorii tipici. Fiecare politică DLP pe care ați activat-o rulează în fundal (asincron), verificarea frecventă a căutării pentru orice conținut care corespunde unei politici și aplicarea de acțiuni pentru a o proteja împotriva scurgerilor accidentale.
În sfârșit, documentele pot intra în conflict cu o politică DLP, dar pot, de asemenea, să respecte o politică DLP. De exemplu, dacă o persoană adaugă numere de card de credit la un document, aceasta poate face ca o politică DLP să blocheze automat accesul la document. Dar dacă persoana respectivă elimină mai târziu informațiile sensibile, acțiunea (în acest caz, blocarea) este anulată automat următoarea dată când documentul este evaluat în raport cu politica.
DLP evaluează orice conținut care poate fi indexat. Pentru mai multe informații despre tipurile de fișiere care sunt accesate cu crawlere în mod implicit, consultați Extensii implicite de nume de fișier accesate cu crawlere și tipuri de fișiere analizate.
Vizualizarea evenimentelor DLP în jurnalele de utilizare
Puteți vizualiza activitatea politicii DLP în jurnalele de utilizare de pe serverul care rulează SharePoint Server 2016. De exemplu, puteți vizualiza textul introdus de utilizatori atunci când înlocuiesc un sfat de politică sau raportează un fals pozitiv.
Mai întâi, trebuie să activați opțiunea din Administrare centrală (monitorizarea > Configurarea colectării datelor de sănătate și utilizare > Data_SPUnifiedAuditEntry Utilizare evenimente jurnal simplu). Pentru mai multe informații despre înregistrarea în jurnal a utilizării, consultați Configurarea colectării datelor despre sănătate și utilizare.
După ce activați această caracteristică, puteți să deschideți rapoartele de utilizare pe server și să vizualizați justificările furnizate de utilizatori pentru înlocuirea unui sfat de politică DLP, împreună cu alte evenimente DLP.
Înainte de a începe lucrul cu DLP
Acest subiect prezintă câteva dintre caracteristicile de care depinde DLP. Printre acestea se numără:
-
Pentru a detecta și clasifica informațiile sensibile din colecțiile de site-uri, porniți serviciul de căutare și definiți un program de accesare cu crawlere pentru conținut.
-
Activați e-mailul în desfășurare.
-
Pentru a vizualiza înlocuirile utilizatorului și alte evenimente DLP, activați raportul de utilizare.
-
Creați colecțiile de site-uri:
-
Pentru interogările DLP, creați colecția de site-uri Centru eDiscovery.
-
Pentru politicile DLP, creați colecția de site-uri Centru de politici de conformitate.
-
-
Creați un grup de securitate pentru echipa de conformitate, apoi adăugați un grup de securitate la grupul Proprietari din Centrul de descoperire a informațiilor electronice sau din Centrul de politici de conformitate.
-
Pentru a rula interogări DLP, sunt necesare permisiuni de vizualizare pentru tot conținutul în care va căuta interogarea - pentru mai multe informații, consultați Crearea unei interogări DLP în SharePoint Server 2016.
