Na dosiahnutie súladu s obchodnými normami a odvetvovými predpismi musia organizácie chrániť citlivé informácie a zabrániť ich neúmyselnému zverejneniu. Medzi citlivé informácie, ktoré možno budete chcieť zabrániť úniku informácií mimo vašej organizácie, patria finančné údaje alebo informácie umožňujúce osobnú identifikáciu (PII), ako sú čísla kreditných kariet, čísla sociálneho zabezpečenia alebo národné identifikačné čísla. Pomocou politiky ochrany pred únikom údajov (DLP) v SharePoint Serveri 2016 môžete identifikovať, monitorovať a automaticky chrániť citlivé informácie v rámci kolekcií lokalít.
S DLP môžete:
-
Vytvorte dotaz DLP na identifikáciu citlivých informácií, ktoré sa teraz nachádzajú v kolekciách lokalít. Pred vytvorením politík ochrany pred únikom údajov je často užitočné zistiť, s akými typmi citlivých informácií ľudia vo vašej organizácii pracujú a s ktorými kolekciami lokalít tieto citlivé informácie obsahujú. Pomocou dotazu DLP môžete nájsť citlivé informácie, na ktoré sa vzťahujú bežné priemyselné predpisy, lepšie porozumieť rizikám a určiť, aké a kde sú citlivé informácie, ktoré musia vaše politiky ochrany pred únikom údajov chrániť.
-
Vytvorte politiku ochrany pred únikom údajov na monitorovanie a automatickú ochranu citlivých informácií v kolekciách lokalít. Môžete napríklad nastaviť politiku, ktorá používateľom zobrazí upozornenia na možné porušenie politiky, ak uložia dokumenty obsahujúce informácie umožňujúce osobnú identifikáciu. Okrem toho politika môže automaticky blokovať prístup k týmto dokumentom pre všetkých okrem vlastníka lokality, vlastníka obsahu a osoby, ktorá dokument naposledy upravila. A napokon, keďže nechcete, aby politiky ochrany pred únikom údajov zabránili ľuďom vo svojej práci, upozornenie na možné porušenie politiky má možnosť prepísať akciu blokovania, aby ľudia mohli naďalej pracovať s dokumentmi, ak majú obchodné odôvodnenie.
Šablóny DLP
Pri vytváraní dotazu DLP alebo politiky ochrany pred únikom údajov si môžete vybrať zo zoznamu šablón DLP, ktoré zodpovedajú spoločným regulačným požiadavkám. Každá šablóna DLP identifikuje konkrétne typy citlivých informácií – napríklad šablóna s názvom Údaje identifikovateľné americkými osobnými údajmi (PII) identifikuje obsah, ktorý obsahuje čísla pasov USA a Veľkej Británie, identifikačné čísla jednotlivých amerických daňových poplatníkov (ITIN) alebo americké čísla sociálneho zabezpečenia (SSN).
Typy citlivých informácií
Politika DLP pomáha chrániť citlivé informácie, ktoré sú definované ako typ citlivých informácií. SharePoint Server 2016 obsahuje definície mnohých bežných typov citlivých informácií, ktoré sú pripravené na použitie, ako napríklad číslo kreditnej karty, čísla bankových účtov, identifikačné čísla členských štátov a čísla pasov.
Keď politika DLP vyhľadá typ citlivých informácií, ako je napríklad číslo kreditnej karty, nevyhľadá iba 16-miestne číslo. Každý typ citlivých informácií je definovaný a zistený pomocou kombinácie:
-
Kľúčové slová
-
Interné funkcie na overenie kontrolných súčtov alebo zloženia
-
Vyhodnotenie regulárnych výrazov na vyhľadanie zhody vzorov
-
Iné preskúmanie obsahu
To pomáha detekcii DLP dosiahnuť vysoký stupeň presnosti a zároveň znížiť počet falošne pozitívnych, čo môže prerušiť prácu ľudí.
Každá šablóna DLP vyhľadá jeden alebo viac typov citlivých informácií. Ďalšie informácie o fungovaní jednotlivých typov citlivých informácií nájdete v téme Typy citlivých informácií v SharePoint Serveri 2016.
|
Táto šablóna DLP... |
Vyhľadajú sa tieto typy citlivých informácií... |
|---|---|
|
Údaje identifikovateľné v USA |
USA/Spojené Kráľovstvo - číslo pasu USA - identifikačné číslo individuálneho platcu dane (ITIN) USA - číslo sociálneho poistenia (SSN) |
|
Americký zákon Gramm-Leach-Bliley (GLBA) |
Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA USA - identifikačné číslo individuálneho platcu dane (ITIN) USA - číslo sociálneho poistenia (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Číslo kreditnej karty |
|
Finančné údaje Vo Británii |
Číslo kreditnej karty Číslo debetnej karty EU Kód SWIFT |
|
Americké finančné údaje |
ABA smerovacie číslo Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA |
|
Údaje identifikovateľné v Británii (PII) |
U.K. - číslo národného poistenia (NINO) USA/Spojené Kráľovstvo - číslo pasu |
|
Zákon o ochrane údajov v Británii |
Kód SWIFT U.K. - číslo národného poistenia (NINO) USA/Spojené Kráľovstvo - číslo pasu |
|
Nariadenia o ochrane osobných údajov a elektronických komunikáciách vo Británii |
Kód SWIFT |
|
USA Štátnej sociálneho zabezpečenia číslo dôverné zákony |
USA - číslo sociálneho poistenia (SSN) |
|
Zákony o oznámení o porušení právnych predpisov štátu USA |
Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA USA - číslo vodičského preukazu USA - číslo sociálneho poistenia (SSN) |
Dotazy DLP
Pred vytvorením politík ochrany pred únikom údajov možno budete chcieť zistiť, aké citlivé informácie už existujú vo vašich kolekciách lokalít. Ak to chcete urobiť, vytvárate a spúšťate dotazy DLP v Centre eDiscovery.
Dotaz DLP funguje rovnako ako dotaz eDiscovery. Na základe toho, ktorú šablónu DLP vyberiete, je dotaz DLP nakonfigurovaný na vyhľadávanie konkrétnych typov citlivých informácií. Najprv vyberte umiestnenia, ktoré chcete vyhľadať, a potom môžete dotaz doladiť, pretože podporuje jazyk dotazu kľúčových slov (KQL). Okrem toho môžete dotaz zúžiť výberom rozsahu dátumov, konkrétnych autorov, hodnôt vlastností SharePointu alebo umiestnení. Rovnako ako dotaz eDiscovery môžete zobraziť ukážku, exportovať a stiahnuť výsledky dotazu.
Politiky ochrany pred únikom údajov
Politika ochrany pred únikom údajov vám pomáha identifikovať, monitorovať a automaticky chrániť citlivé informácie, na ktoré sa vzťahujú bežné priemyselné predpisy. Môžete vybrať typy citlivých informácií, ktoré sa majú chrániť, a akcie, ktoré sa majú vykonať pri zistení obsahu obsahujúceho takéto citlivé informácie. Politika ochrany pred únikom údajov môže informovať správcu dodržiavania súladu odoslaním správy o incidente, upozornení používateľovi s upozornením na možné porušenie politiky na lokalite a voliteľne zablokovať prístup k dokumentu pre každého okrem vlastníka lokality, vlastníka obsahu a osoby, ktorá dokument naposledy upravila. Nakoniec, tip politiky má možnosť prepísať akciu blokovania, aby ľudia mohli naďalej pracovať s dokumentmi, ak majú obchodné odôvodnenie alebo potrebujú nahlásiť falošne pozitívny výsledok.
Politiky ochrany pred únikom údajov môžete vytvárať a spravovať v Centre politík dodržiavania súladu. Vytvorenie politiky DLP je proces s dvoma krokmi: najprv vytvoríte politiku ochrany pred únikom údajov a potom politiku priradíte ku kolekcii lokalít.
Krok 1: Vytvorenie politiky ochrany pred únikom údajov
Pri vytváraní politiky ochrany pred únikom údajov vyberiete šablónu DLP, ktorá vyhľadá typy citlivých informácií, ktoré potrebujete identifikovať, monitorovať a automaticky chrániť.
Keď politika ochrany pred únikom údajov nájde obsah, ktorý obsahuje minimálny počet inštancií konkrétneho typu citlivých informácií, ktoré si vyberiete – napríklad päť čísel kreditných kariet alebo jedno číslo sociálneho zabezpečenia – politika DLP môže automaticky chrániť citlivé informácie vykonaním týchto krokov:
-
Odošle sa správa o incidente vami vybratému používateľovi (napríklad vášmu dôstojníkovi pre dodržiavanie súladu) s podrobnosťami o udalosti. Táto zostava obsahuje podrobnosti o zistenom obsahu, ako je napríklad názov, vlastník dokumentu a informácie o tom, aké citlivé informácie sa zistili. Ak chcete odosielať správy o incidentoch, musíte nakonfigurovať nastavenia odchádzajúcich e-mailov v centrálnej správe.
-
Upozornenie používateľa na upozornenie na možné porušenie politiky pri ukladaní alebo úprave dokumentov obsahujúcich citlivé informácie. V tomto tipe sa vysvetľuje, prečo je dokument v konflikte s politikou ochrany pred únikom údajov, aby ľudia mohli vykonať nápravu, ako je napríklad odstránenie citlivých informácií z dokumentu. Keď je dokument v súlade, upozornenie na možné porušenie politiky zmizne.
-
Blokovanie prístupu k obsahu pre všetkých okrem vlastníka lokality, vlastníka dokumentu a osoby, ktorá dokument naposledy upravila. Títo ľudia môžu z dokumentu odstrániť citlivé informácie alebo vykonať inú nápravu. Keď je dokument v súlade, pôvodné povolenia sa automaticky obnovia. Je dôležité pochopiť, že politika tip dáva ľuďom možnosť prepísať blokovanie akcie. Tipy pre politiky tak môžu pomôcť vzdelávať používateľov o vašich politikách ochrany pred únikom údajov a presadzovať ich bez toho, aby ľuďom bránili v práci.
Krok 2: Priradenie politiky ochrany pred únikom údajov
Po vytvorení politiky ochrany pred únikom údajov ju musíte priradiť k jednej alebo viacerým kolekciám lokalít, kde môže začať chrániť citlivé informácie v týchto umiestneniach. K mnohým kolekciám lokalít je možné priradiť jednu politiku, ale každé priradenie je potrebné vytvoriť po jednom.
Tipy k politike
Chcete, aby ľudia vo vašej organizácii, ktorí pracujú s citlivými informáciami, zostali v súlade s vašimi politikami ochrany pred únikom údajov, ale nechcete im zbytočne blokovať prácu. Tu vám môžu pomôcť tipy na politiky.
Tip na možné porušenie politiky je oznámenie alebo upozornenie, ktoré sa zobrazí, keď niekto pracuje s obsahom, ktorý je v konflikte s politikou ochrany pred únikom údajov – napríklad obsah, napríklad excelový zošit, ktorý obsahuje osobné údaje (PII) a ktorý je uložený na lokalite.
Pomocou tipov na možné porušenie politiky môžete zvýšiť povedomie a informovať ľudí o politikách vašej organizácie. Tipy k politike ľuďom tiež poskytujú možnosť prepísať politiku tak, aby sa neblokovali, ak majú platnú obchodnú potrebu alebo ak politika zisťuje falošne pozitívny výsledok.
Zobrazenie alebo prepisovanie tipu politiky
Ak chcete vykonať akciu v dokumente, napríklad prepísanie politiky DLP alebo nahlasovanie nesprávne pozitívneho, môžete vybrať ponuku Otvoriť ... pre položku > Zobraziť tip politiky.
V tipe k politike sú uvedené problémy s obsahom a môžete vybrať možnosť Vyriešiť a potom prepísať tip politiky alebo nahlásiť nesprávne pozitívny výsledok.
Podrobnosti o fungovaní upozornení na možné porušenie politiky
Všimnite si, že obsah sa môže zhodovať s viac ako jednou politikou ochrany pred únikom údajov, ale zobrazí sa len tip politiky z najprísnejšej politiky s najvyššou prioritou. Napríklad tip politiky z politiky ochrany pred únikom údajov, ktorý blokuje prístup k obsahu, sa zobrazí prostredníctvom upozornenia na možné porušenie politiky z pravidla, ktoré používateľovi jednoducho oznámi. Zabránite tak tomu, aby sa ľuďom zobrazovala kaskáda tipov na možné porušenie politiky. Ak tiež upozornenia na možné porušenie politiky v najprísnejšej politike umožňujú ľuďom politiku prepísať, prepísanie tejto politiky tiež prepíše všetky ostatné politiky, ktoré obsahu zodpovedali.
Politiky ochrany pred únikom údajov sa synchronizujú s lokalitami a obsah sa s nimi pravidelne a asynchrónne vyhodnocuje (pozri nasledujúcu časť), takže môže dôjsť k krátkemu oneskoreniu medzi časom vytvorenia politiky DLP a časom, kedy sa vám začnú zobrazovať upozornenia na možné politiky.
Ako fungujú politiky ochrany pred únikom údajov
Funkcia DLP zisťuje citlivé informácie pomocou hĺbkovej analýzy obsahu (nielen pomocou jednoduchého skenovania textu). Táto hĺbková analýza obsahu používa zhody kľúčových slov, hodnotenie regulárnych výrazov, interné funkcie a ďalšie metódy na zisťovanie obsahu, ktorý zodpovedá vašim politikám DLP. Potenciálne sa len malé percento údajov považuje za citlivé. Politika DLP dokáže identifikovať, monitorovať a automaticky chrániť len tieto údaje bez toho, aby to ovplyvnilo alebo ovplyvnilo ľudí, ktorí pracujú so zvyškom obsahu.
Po vytvorení politiky ochrany pred únikom údajov v Centre politík dodržiavania súladu sa politika uloží ako definícia politiky na danej lokalite. Keď potom priradíte politiku k rôznym kolekciám lokalít, politika sa synchronizuje s týmito umiestneniami, kde sa začne hodnotiť obsah a vynútiť akcie, ako je odosielanie zostáv incidentov, zobrazovanie tipov na možné porušenie politiky a blokovanie prístupu.
Hodnotenie politík na lokalitách
Vo všetkých kolekciách lokalít sa dokumenty neustále menia – neustále sa vytvárajú, upravujú, zdieľajú a podobne. Znamená to, že dokumenty môžu byť kedykoľvek v konflikte alebo v súlade s politikou ochrany pred únikom údajov. Osoba môže napríklad nahrať dokument, ktorý na tímovú lokalitu neobsahuje žiadne citlivé informácie, ale neskôr môže iný používateľ upravovať ten istý dokument a pridávať doň citlivé informácie.
Z tohto dôvodu politiky ochrany pred únikom údajov často kontrolujú zhody politík v dokumentoch na pozadí. Môžete si to predstaviť ako asynchrónne hodnotenie politiky.
Tu je návod, ako to funguje. Keď používatelia pridávajú alebo menia dokumenty na svojich lokalitách, vyhľadávací nástroj prehľadá obsah, aby ste ho mohli neskôr vyhľadať. Aj keď sa to deje, obsah sa tiež kontroluje, či sa v obsahu nenachádzajú citlivé informácie. Všetky citlivé informácie, ktoré sa nájdu, sa bezpečne uložia do indexu vyhľadávania, aby k nim mal prístup iba tím pre dodržiavanie súladu, ale nie typickí používatelia. Každá politika DLP, ktorú ste zapli, sa spúšťa na pozadí (asynchrónne), často vyhľadáva všetok obsah, ktorý sa zhoduje s politikou, a akcie na jej ochranu pred neúmyselným únikom informácií.
Dokumenty môžu byť v konflikte s politikou ochrany pred únikom údajov, ale môžu byť aj v súlade s politikou ochrany pred únikom údajov. Ak napríklad osoba pridá do dokumentu čísla kreditných kariet, môže to spôsobiť automatické zablokovanie prístupu k dokumentu politikou DLP. Ak však osoba neskôr odstráni citlivé informácie, akcia (v tomto prípade blokovanie) sa automaticky zruší pri ďalšom vyhodnocovaní dokumentu v rozpore s politikou.
Funkcia DLP vyhodnotí všetok obsah, ktorý možno indexovať. Ďalšie informácie o tom, ktoré typy súborov sa predvolene prehľadávajú, nájdete v téme Predvolené prípony prehľadávaných súborov a analyzované typy súborov.
Zobrazenie udalostí DLP v denníkoch používania
Aktivitu politiky DLP môžete zobraziť v denníkoch používania na serveri so SharePoint Serverom 2016. Môžete napríklad zobraziť text zadaný používateľmi pri prepísaní upozornenia na možné porušenie politiky alebo pri nahlásení nesprávne pozitívneho hlásenia.
Najprv je potrebné zapnúť možnosť v centrálnej správe (Monitorovanie > Konfigurácia zhromažďovania údajov o používaní a stave > Data_SPUnifiedAuditEntry jednoduchého využitia udalostí denníka). Ďalšie informácie o zapisovaní do denníka používania nájdete v téme Konfigurácia zhromažďovania údajov o používaní a stave.
Po zapnutí tejto funkcie môžete otvoriť zostavy používania na serveri a zobraziť odôvodnenia, ktoré používatelia poskytli na prepis upozornenia na možné porušenie politiky ochrany pred únikom údajov, ako aj ďalšie udalosti DLP.
Skôr než začnete s DLP
V tejto téme sú uvedené niektoré funkcie, od ktoré závisí DLP. Patria sem:
-
Ak chcete zistiť a klasifikovať citlivé informácie v kolekciách lokalít, spustite vyhľadávaciu službu a definujte plán prehľadávania obsahu.
-
Zapnite odchádzanie e-mailov.
-
Ak chcete zobraziť prepísania používateľa a iné udalosti DLP, zapnite zostavu používania.
-
Vytvorte kolekcie lokalít:
-
Pre dotazy DLP vytvorte kolekciu lokalít Centra eDiscovery.
-
Pre politiky ochrany pred únikom údajov vytvorte kolekciu lokalít Centra politík dodržiavania súladu.
-
-
Vytvorte skupinu zabezpečenia pre tím dodržiavania súladu a potom pridajte skupinu zabezpečenia do skupiny Vlastníkov v Centre eDiscovery alebo Centre politík dodržiavania súladu.
-
Na spustenie dotazov DLP sa vyžadujú povolenia na zobrazenie všetkého obsahu, ktorý bude dotaz vyhľadávať – ďalšie informácie nájdete v téme Vytvorenie dotazu DLP na SharePoint Serveri 2016.
