V súlade s podnikovými štandardmi a predpismi v danom odvetví musia organizácie chrániť citlivé informácie a zabrániť ich neúmyselnému zverejneniu. Príkladmi úniku citlivých informácií, ktorých únikom mimo organizáciu by ste mohli predísť, sú napríklad finančné údaje alebo osobné údaje, ako sú čísla kreditných kariet, rodné čísla alebo identifikačné čísla. Pomocou politiky ochrany pred únikom údajov (DLP) v SharePoint Serveri 2016 môžete identifikovať, monitorovať a automaticky chrániť citlivé informácie v rámci kolekcií lokalít.
S politikou DLP môžete:
- Vytvorením DLP dotazu určíte, ktoré citlivé informácie sa v súčasnosti nachádzajú vo vašich kolekciách lokalít. Pred vytvorením politík DLP je často užitočné zistiť, s akým typom citlivých informácií pracujú ľudia vo vašej organizácii a ktoré kolekcie lokalít tieto citlivé informácie obsahujú. Pomocou DLP dotazu môžete nájsť citlivé informácie, na ktoré sa vzťahujú bežné predpisy v danom odvetví, lepšie porozumieť rizikám a určiť, ktoré a kde sú citlivé informácie, ktoré musia byť vaše politiky DLP chránené.
- Vytvorte politiku DLP na monitorovanie a automatickú ochranu citlivých informácií v kolekciách lokalít. Môžete napríklad nastaviť politiku, ktorá používateľom zobrazí upozornenie na možné porušenie politiky vtedy, keď ukladajú dokumenty obsahujúce osobné údaje. Okrem toho môže politika automaticky blokovať prístup k týmto dokumentom pre všetkých okrem vlastníka lokality, vlastníka obsahu a tých, ktorí dokument upravili ako poslední. A nakoniec, keďže nechcete, aby vaše politiky DLP bránili používateľom v práci, tip k politike obsahuje možnosť prepísať akciu blokovania, aby ľudia mohli naďalej pracovať s dokumentmi, ak majú na to obchodné zdôvodnenie.
Šablóny DLP
Pri vytváraní DLP dotazu alebo DLP politiky si môžete vybrať zo zoznamu DLP šablón, ktoré zodpovedajú bežným regulačným požiadavkám. Každá šablóna DLP identifikuje špecifické typy citlivých informácií. Napríklad šablóna s názvom Údaje umožňujúce identifikáciu osoby identifikuje obsah, ktorý obsahuje čísla pasov USA a Spojeného kráľovstva, identifikačné čísla individuálnych daňových poplatníkov (ITIN) alebo americké čísla sociálneho poistenia (SSN).
Typy citlivých informácií
Politika DLP pomáha chrániť citlivé informácie, ktoré sú definované ako typ citlivých informácií. SharePoint Server 2016 obsahuje definície pre mnohé bežné typy citlivých informácií, ktoré môžete použiť, ako sú napríklad čísla kreditných kariet, čísla bankových účtov, identifikačné čísla a čísla pasov.
Keď politika DLP hľadá typ citlivej informácie, ako je napríklad číslo kreditnej karty, nehľadá len 16-miestne číslo. Každý typ citlivej informácie sa definuje a zisťuje pomocou kombinácie nasledujúcich typov:
- Kľúčové slová
- Interné funkcie na overovanie kontrolných súčtov alebo zloženia
- Vyhodnotenie regulárnych výrazov na nájdenie zhodných so vzorkami
- Skúmanie iného obsahu
Detekcia DLP tak dosahuje vysoký stupeň presnosti a zároveň znižuje počet nesprávne pozitívnych výsledkov, ktoré môžu prerušiť prácu ľudí.
V každej šablóne DLP sa hľadá jeden alebo viac typov citlivých informácií. Ďalšie informácie o fungovaní jednotlivých typov citlivých informácií nájdete v téme Vyhľadávanie typov citlivých informácií v SharePoint Serveri 2016.
| Táto DLP šablóna... | Vyhľadajú sa tieto typy citlivých informácií... |
|---|---|
| Údaje o osobnej identifikácii v USA | USA/Spojené Kráľovstvo - číslo pasu USA - identifikačné číslo individuálneho platcu dane (ITIN) USA - číslo sociálneho poistenia (SSN) |
| Americký zákon Gramm-Leach-Bliley Act (GLBA) | Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA USA - identifikačné číslo individuálneho platcu dane (ITIN) USA - číslo sociálneho poistenia (SSN) |
| PCI Data Security Standard (PCI DSS) | Číslo kreditnej karty |
| Finančné údaje Spojeného kráľovstva | Číslo kreditnej karty Číslo debetnej karty EU Kód SWIFT |
| Finančné údaje USA | ABA smerovacie číslo Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA |
| Údaje umožňujúce osobnú identifikáciu v Spojenom kráľovstve | U.K. - číslo národného poistenia (NINO) USA/Spojené Kráľovstvo - číslo pasu |
| Zákon Spojeného kráľovstva o ochrane údajov | Kód SWIFT U.K. - číslo národného poistenia (NINO) USA/Spojené Kráľovstvo - číslo pasu |
| Nariadenia Spojeného kráľovstva o ochrane osobných údajov a elektronických komunikáciách | Kód SWIFT |
| Zákony o dôvernosti čísel sociálneho poistenia v jednotlivých štátoch USA | USA - číslo sociálneho poistenia (SSN) |
| Zákony USA o oznamovaní porušenia | Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA USA - číslo vodičského preukazu USA - číslo sociálneho poistenia (SSN) |
DLP dotazy
Pred vytvorením politík DLP môžete zistiť, aké citlivé informácie už existujú v rámci vašich kolekcií lokalít. Na tento účel treba vytvoriť a spustiť DLP dotazy v Centre eDiscovery.
Dotaz DLP funguje rovnako ako dotaz eDiscovery. Na základe toho, ktorú šablónu DLP vyberiete, sa DLP dotaz nakonfiguruje na vyhľadávanie konkrétnych typov citlivých informácií. Najprv vyberte umiestnenia, ktoré chcete vyhľadať, a potom môžete dotaz doladiť, pretože podporuje jazyk KeyQL (Keyword Query Language) (KQL). Okrem toho môžete zúžiť rozsah dotazu výberom rozsahu dátumov, konkrétnych autorov, hodnôt vlastností SharePointu alebo umiestnení. Rovnako ako pri dotaze elektronického vyhľadávania môžete zobraziť ukážku, exportovať a stiahnuť výsledky dotazu.
Politiky DLP
Politika DLP vám pomáha identifikovať, monitorovať a automaticky chrániť citlivé informácie, ktoré podliehajú bežným predpisom v danom odvetví. Vy vyberáte, ktoré typy citlivých informácií chcete chrániť, a aké kroky podniknete v prípade zistenia obsahu obsahujúceho takéto citlivé informácie. Politika DLP môže informovať pracovníka zodpovedného za dodržiavanie súladu odoslaním hlásenia o incidente, informovať používateľa upozornením na politiku na lokalite a voliteľne blokovať prístup k dokumentu pre všetkých okrem vlastníka lokality, vlastníka obsahu a tých, ktorí dokument upravili ako poslední. Upozornenie na možné porušenie politiky obsahuje tiež možnosť prepísať akciu blokovania, aby ľudia mohli pokračovať v práci s dokumentmi, ak majú odôvodnenie z obchodného hľadiska alebo potrebujú nahlásiť nesprávne pozitívny výsledok.
Politiky DLP môžete vytvárať a spravovať v Centre politiky dodržiavania súladu. Vytvorenie politiky DLP je dvojfázový proces: najprv vytvoríte politiku DLP a potom ju priradíte ku kolekcii lokalít.
Krok 1: Vytvorenie politiky DLP
Pri vytváraní politiky DLP si vyberiete šablónu DLP, ktorá vyhľadáva typy citlivých informácií, ktoré je potrebné identifikovať, monitorovať a automaticky chrániť.
Keď politika DLP nájde obsah, ktorý obsahuje minimálny počet výskytov konkrétneho typu citlivých informácií, ktoré vyberiete, napríklad päť čísel kreditných kariet alebo jedno rodné číslo, môže politika DLP tieto citlivé informácie automaticky chrániť vykonaním týchto krokov:
- Odoslanie hlásenia o incidente vybratým ľuďom (napríklad vyšetrovateľovi pre dodržiavanie súladu) s podrobnosťami o udalosti. Táto správa obsahuje podrobnosti o zistenom obsahu, ako sú napríklad názov, vlastník dokumentu a aké citlivé informácie boli zistené. Na odosielanie hlásení incidentov je potrebné nakonfigurovať nastavenia odchádzajúcich e-mailov v centrálnej správe.
- Upozornenie používateľa upozornením na možné porušenie politiky pri ukladaní alebo úprave dokumentov obsahujúcich citlivé informácie. Upozornenie na možné porušenie politiky vysvetľuje, prečo je dokument v konflikte s politikou DLP, aby ľudia mohli vykonať nápravné opatrenia, ako napríklad odstrániť citlivé informácie z dokumentu. Keď dokument spĺňa súlad, upozornenie na možné porušenie politiky zmizne.
-
Blokuje prístup k obsahu pre všetkých okrem vlastníka lokality, vlastníka dokumentu a osoby, ktorá dokument naposledy upravila. Títo ľudia môžu z dokumentu odstrániť citlivé informácie alebo vykonať iné nápravné kroky. Keď dokument spĺňa súlad, pôvodné povolenia sa automaticky obnovia. Je dôležité vedieť, že upozornenie na možné porušenie politiky dáva ľuďom možnosť prepísať akciu blokovania. Upozornenia na možné porušenie politiky môžu pomôcť používateľom poučiť sa o politikách DLP a uplatňovať ich bez toho, aby sa ľuďom bránilo v ich práci.
Krok 2: Priradenie politiky DLP
Po vytvorení politiky DLP musíte túto politiku priradiť k jednej alebo viacerým kolekciám lokalít, kde môže začať chrániť citlivé informácie v týchto umiestneniach. K mnohým kolekciám lokalít možno priradiť jednu politiku, ale každé priradenie je potrebné vytvoriť samostatne.
Tipy k politike
Chcete, aby ľudia vo vašej organizácii, ktorí pracujú s citlivými informáciami, zachovávali dodržiavanie vašich politík DLP, ale nechcete im zbytočne blokovať v práci. V takýchto prípadoch môžu pomôcť upozornenia na možné porušenie politiky.
Upozornenie na možné porušenie politiky je oznámenie alebo upozornenie, ktoré sa zobrazí, keď niekto pracuje s obsahom, ktorý je v konflikte s politikou DLP, ako je napríklad excelový zošit, ktorý obsahuje informácie umožňujúce osobnú identifikáciu a ktorý je uložený na lokalite.
Upozornenia na možné porušenie politiky môžete použiť na zvýšenie povedomia a vzdelávanie ľudí o politikách organizácie. Upozornenia na možné porušenie politiky tiež poskytujú používateľom možnosť prepísať politiku, aby nedošlo k zablokovaniu, ak majú platnú obchodnú potrebu alebo ak politika zistí nesprávne pozitívny výsledok.
Zobrazenie alebo prepísanie upozornenia na možné porušenie politiky
Ak chcete s dokumentom vykonať akciu, ako je napríklad prepísanie politiky DLP alebo nahlásenie nesprávne pozitívneho výsledku, môžete vybrať ponuku Otvoriť... pre položku >Zobraziť tip na možné porušenie politiky.
V upozornení na možné porušenie politiky sú uvedené problémy s obsahom a môžete vybrať položku Vyriešiť a potom upozornenie na možné porušenie politiky prepísať alebo Nahlásiť nesprávne pozitívny výsledok.
Podrobnosti o fungovaní upozornení na možné porušenie politiky
Upozorňujeme, že je možné, že obsah zodpovedá viac ako jednej politike DLP, ale zobrazí sa len upozornenie na najprísnejšie politiky s najvyššou prioritou. Napríklad upozornenie na možné porušenie politiky z politiky DLP, ktoré blokuje prístup k obsahu, sa zobrazí nad upozornením na porušenie politiky z pravidla, ktoré jednoducho upozorňuje používateľa. Zabránite tak používateľom zobraziť kaskádu upozornení na možné porušenie politiky. Ak upozornenia na najreštriktívnejšiu politiku umožňujú ľuďom politiku prepísať, prepísaním tejto politiky sa prepíše aj všetky ostatné politiky, s ktorými daný obsah zodpovedá danému obsahu.
Politiky DLP sa synchronizujú s lokalitami a obsah sa voči nim pravidelne a asynchrónne vyhodnocuje (pozrite si nasledujúcu časť), takže medzi vytvorením politiky DLP a časom, kedy sa vám začnú zobrazovať upozornenia na možné porušenie politiky, môže byť krátky časový odstup.
Ako fungujú politiky DLP
Funkcia DLP zisťuje citlivé informácie pomocou hĺbkovej analýzy obsahu (nielen jednoduchého skenovania textu). Táto hĺbková analýza obsahu používa zhody kľúčových slov, vyhodnotenie regulárnych výrazov, interné funkcie a ďalšie metódy na zistenie obsahu, ktorý zodpovedá vašim politikám DLP. Potenciálne len malé percento údajov sa považuje za citlivé. Politika DLP dokáže identifikovať, monitorovať a automaticky chrániť len dané údaje bez toho, aby bránila alebo ovplyvňovala ľudí, ktorí pracujú na zvyšku obsahu.
Po vytvorení politiky DLP v centre politík dodržiavania súladu sa politika uloží ako definícia politiky na danej lokalite. Po priradení politiky k iným kolekciám lokalít sa politika synchronizuje s týmito umiestneniami, kde sa začne vyhodnocovať obsah a presadzovať akcie, ako je napríklad odosielanie správ o incidentoch, zobrazovanie upozornení na možné porušenie politiky a blokovanie prístupu.
Hodnotenie politík na lokalitách
Dokumenty vo všetkých kolekciách lokalít sa neustále menia – neustále sa vytvárajú, upravujú, zdieľajú a podobne. To znamená, že dokumenty môžu byť kedykoľvek v konflikte alebo môžu byť v súlade s politikou DLP. Napríklad osoba môže na tímovú lokalitu nahrať dokument, ktorý neobsahuje žiadne citlivé informácie, ale neskôr môže iná osoba ten istý dokument upraviť a pridať do neho citlivé informácie.
Z tohto dôvodu politiky DLP často na pozadí kontrolujú zhody s politikami v dokumentoch. Môžete si to predstaviť ako asynchrónne vyhodnotenie politiky.
Funguje to takto. Keď ľudia pridávajú alebo menia dokumenty na svojich lokalitách, vyhľadávací nástroj kontroluje obsah, aby ste ho mohli neskôr vyhľadať. Kým sa to deje, obsah sa tiež kontroluje na vyhľadávanie citlivých informácií. Všetky nájdené citlivé informácie sú bezpečne uložené v indexe vyhľadávania, takže k nim má prístup len tím dodržiavania súladu, ale nie bežní používatelia. Každá politika DLP, ktorú ste zapli, sa spúšťa na pozadí (asynchrónne), pričom často kontroluje vyhľadávanie obsahu, ktorý sa zhoduje s politikou, a využíva akcie na ochranu pred neúmyselnými pretečeniami.
Dokumenty môžu byť napokon v konflikte s politikou DLP, ale môžu byť aj v súlade s politikou DLP. Ak napríklad osoba pridá do dokumentu čísla kreditných kariet, môže to spôsobiť, že politika DLP automaticky zablokuje prístup k dokumentu. Ak však používateľ neskôr citlivé informácie odstráni, akcia (v tomto prípade zablokovanie) sa automaticky vráti späť pri ďalšom vyhodnocovaní dokumentu podľa politiky.
Funkcia DLP vyhodnocuje všetok obsah, ktorý je možné indexovať. Ďalšie informácie o tom, ktoré typy súborov sa predvolene prehľadávajú, nájdete v téme Predvolené názvy prípon súboru na prehľadávanie obsahu a typy analyzovaného súboru.
Zobrazenie udalostí DLP v denníkoch používania
Aktivitu politiky DLP môžete zobraziť v denníkoch používania na serveri, na ktorom je spustený SharePoint Server 2016. Môžete napríklad zobraziť text zadaný používateľmi, keď prepíšu upozornenie na možné porušenie politiky alebo nahlásia nesprávne pozitívny výsledok.
Najskôr je potrebné zapnúť túto možnosť v centrálnej správe (Monitorovanie>, Konfigurácia, zhromažďovanie> údajov o používaní a stave, Jednoduché denník a Používanie udalostí Data_SPUnifiedAuditEntry). Ďalšie informácie o zapisovaní do denníka používania nájdete v téme Konfigurácia zhromažďovania údajov o používaní a stave.
Po zapnutí tejto funkcie môžete otvoriť zostavy o používaní na serveri a zobraziť odôvodnenia používateľov pre prepísanie upozornenia na politiku DLP, ako aj ďalšie udalosti DLP.
Skôr než začnete s politikou DLP
V tejto téme sú uvedené niektoré funkcie, na ktorých závisí DLP. Patria sem:
Ak chcete zistiť a klasifikovať citlivé informácie v kolekciách lokalít, spustite vyhľadávaciu službu a definujte plán prehľadávania obsahu.
Zapnite odchádzajúce e-maily.
Ak chcete zobraziť prepísania používateľov a ďalšie udalosti DLP, zapnite zostavu používania.
Vytvorenie kolekcií lokalít:
- V prípade DLP dotazov vytvorte kolekciu lokalít Centra eDiscovery.
- V prípade politík DLP vytvorte kolekciu lokalít Centrum politík dodržiavania súladu.
Vytvorte skupinu zabezpečenia pre tím dodržiavania súladu a potom pridajte skupinu zabezpečenia do skupiny vlastníkov v Centre eDiscovery alebo centre politiky dodržiavania súladu.
Na spustenie DLP dotazov sa vyžadujú povolenia na zobrazenie pre všetok obsah, ktorý bude dotaz prehľadávať. Ďalšie informácie nájdete v téme Vytvorenie DLP dotazu na SharePoint Serveri 2016.