Na zabezpečenie súladu s obchodnými normami a nariadeniami v odvetví musia organizácie chrániť citlivé informácie a zabrániť ich neúmyselným zverejneniu. Príkladom citlivých informácií, ktoré môžu zabrániť úniku údajov mimo vašej organizácie, sú finančné údaje alebo osobné údaje, akými sú čísla kreditných kariet, rodné čísla alebo národné identifikačné čísla. Pomocou politiky ochrany pred stratou údajov (DLP) v SharePoint Serveri 2016 môžete identifikovať, monitorovať a automaticky chrániť citlivé informácie vo všetkých kolekciách lokalít.
Pomocou politiky DLP môžete:
-
Vytvorte dotaz DLP a zistite, aké citlivé informácie už v kolekciách lokalít existujú. Pred vytvorením politík DLP je často užitočné zistiť, s ktorými typmi citlivých informácií vo vašej organizácii pracujú a s ktorými kolekciami lokalít sa tieto citlivé informácie nachádzajú. Pomocou dotazu DLP môžete nájsť citlivé informácie, na ktoré sa vzťahujú bežné nariadenia v odvetví, lepšie porozumieť rizikám a určiť, čo a kde sú citlivé informácie potrebné v rámci politík DLP chrániť.
-
Vytvorte politiku DLP na monitorovanie a automatickú ochranu citlivých informácií v kolekciách lokalít. Môžete napríklad nastaviť politiku, ktorá pre používateľov zobrazí tip na možné politiky, ak uložia dokumenty, ktoré obsahujú informácie umožňujúce osobnú identifikáciu. Politika môže okrem toho automaticky zablokovať prístup k týmto dokumentom každému, ale vlastníkovi lokality, vlastníkovi obsahu a osoby, ktorá dokument naposledy upravila. A na koniec, pretože nechcete, aby politiky DLP zabránili ľuďom vykonať svoju prácu, policy tip má možnosť prepísať akciu blokovania, aby ľudia mohli pokračovať v práci s dokumentmi, ak majú podnikové odôvodnenie.
Šablóny DLP
Pri vytváraní dotazu DLP alebo politiky DLP si môžete vybrať zo zoznamu šablón DLP, ktoré zodpovedajú bežným regulačným požiadavkám. Každá šablóna DLP identifikuje konkrétne typy citlivých informácií – napríklad šablónu s názvom USA. Osobné údaje (PII) Identifikujú obsah, ktorý obsahuje USA a USA- čísla pasu, USA, identifikačné čísla individuálneho platca (ITIN) alebo USA. Čísla sociálneho zabezpečenia (SSN).
Typy citlivých informácií
Politika DLP pomáha chrániť citlivé informácie, ktoré sú definované ako typ citlivých informácií. SharePoint Server 2016 obsahuje definície pre mnohé bežné typy citlivých informácií, ktoré môžete použiť, ako napríklad číslo kreditnej karty, čísla bankových účtov, národné identifikačné čísla a čísla pasu.
Ak politika DLP hľadá typ citlivých informácií, ako je napríklad číslo kreditnej karty, nevyhľadá iba 16-miestne číslo. Každý typ citlivej informácie sa definuje a zistí pomocou kombinácie:
-
Kľúčové slová
-
Interné funkcie na overenie kontrolného súčtu alebo kompozitu
-
Vyhodnotenie výrazov na vyhľadanie zhody so vzormi
-
Obsah, ktorý sa češne umi
To pomáha zisťovaniu DLP dosiahnuť vysoký stupeň presnosti a zároveň znížiť počet nesprávne pozitívnych údajov, ktoré môžu prerušiť prácu osôb.
Každá šablóna DLP vyhľadá jeden alebo viacero typov citlivých informácií. Ďalšie informácie o tom, ako fungujú jednotlivé typy citlivých informácií, nájdete v téme Čo sú typy citlivých informácií v SharePoint Serveri 2016.
|
Táto šablóna DLP... |
Vy hľadáte tieto typy citlivých informácií... |
|---|---|
|
USA – osobné údaje |
USA/Spojené Kráľovstvo - číslo pasu USA - identifikačné číslo individuálneho platcu dane (ITIN) USA - číslo sociálneho poistenia (SSN) |
|
USA Gramm-Leach-Bliley Act (GLBA) |
Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA USA - identifikačné číslo individuálneho platcu dane (ITIN) USA - číslo sociálneho poistenia (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Číslo kreditnej karty |
|
Americké finančné údaje |
Číslo kreditnej karty Číslo debetnej karty EU Kód SWIFT |
|
Americké finančné údaje |
ABA smerovacie číslo Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA |
|
U.K. Osobné údaje (PII) |
U.K. - číslo národného poistenia (NINO) USA/Spojené Kráľovstvo - číslo pasu |
|
U.K. Data Protection Act |
Kód SWIFT U.K. - číslo národného poistenia (NINO) USA/Spojené Kráľovstvo - číslo pasu |
|
Usa – nariadenia týkajúce sa ochrany osobných údajov a elektronickej komunikácie |
Kód SWIFT |
|
USA - zákony USA o ochrane dôverných čísel sociálneho zabezpečenia |
USA - číslo sociálneho poistenia (SSN) |
|
Americké zákony týkajúce sa oznámenia o narušení právnych predpisov |
Číslo kreditnej karty USA - číslo bankového účtu vedeného v USA USA - číslo vodičského preukazu USA - číslo sociálneho poistenia (SSN) |
Dotazy DLP
Pred vytvorením politík DLP možno budete chcieť zistiť, aké citlivé informácie už existujú vo vašich kolekciách lokalít. Ak to chcete urobiť, vytvorte a spustite dotazy DLP v Centre eDiscovery.
Dotaz DLP funguje rovnako ako dotaz eDiscovery. Na základe toho, ktorú šablónu DLP vyberiete, je dotaz DLP nakonfigurovaný na vyhľadávanie konkrétnych typov citlivých informácií. Najprv vyberte umiestnenia, v ktoré chcete hľadať, a potom môžete dotaz doladiť, pretože podporuje jazyk kľúčových slov (KQL). Dotaz môžete zúžiť aj výberom rozsahu dátumov, konkrétnych autorov, SharePoint vlastností alebo umiestnení. Podobne ako v prípade dotazu elektronického vyhľadávania môžete zobraziť ukážku, exportovať a stiahnuť výsledky dotazu.
Politiky DLP
Politika DLP vám pomáha identifikovať, monitorovať a automaticky chrániť citlivé informácie, ktoré podliehajú bežným nariadeniam v odvetví. Vy si môžete vybrať typy citlivých informácií, ktoré sa majú chrániť, a aké akcie sa majú prijať pri zistenom obsahu obsahujúcom takéto citlivé informácie. Politika DLP môže informovať pracovníka na zabezpečenie súladu prostredníctvom odoslania správy o incidente, nahlásenia incidentu používateľovi prostredníctvom upozornenia na možné porušenie politiky na lokalite a voliteľne zablokovať prístup k dokumentu všetkým okrem vlastníka lokality, vlastníka obsahu a osoby, ktorá dokument naposledy upravila. Nakoniec sa v tipe k politike zobrazí možnosť prepísať akciu blokovania, aby ľudia mohli pokračovať v práci s dokumentmi v prípade, že majú obchodné odôvodnenie alebo musia nahlásiť nesprávne pozitívne výsledky.
Politiky DLP vytvárate a spravujete v Centre politík dodržiavania súladu. Vytvorenie politiky DLP je proces, ktorý má dva kroky: najprv vytvorte politiku DLP a potom ju priraďte ku kolekcii lokalít.
Krok 1: Vytvorenie politiky DLP
Pri vytváraní politiky DLP vyberiete šablónu DLP, ktorá bude vyhľadávať typy citlivých informácií, ktoré potrebujete identifikovať, monitorovať a automaticky chrániť.
Keď politika DLP nájde obsah, ktorý obsahuje minimálny počet inštancií konkrétneho typu citlivých informácií, ktoré vyberiete ( napríklad päť čísel kreditných kariet alebo jedno číslo sociálneho poistenia – DLP politika dokáže automaticky chrániť citlivé informácie týmito akciami:
-
Odoslanie správy o incidente ľuďom, ktorých vyberiete (napríklad váš pracovník pre dodržiavanie súladu), s podrobnosťami o udalosti. Táto zostava obsahuje podrobnosti o zistenom obsahu, ako je napríklad názov, vlastník dokumentu a informácie o tom, ktoré citlivé informácie sa zistili. Ak chcete odosielať správy o incidentoch, musíte nakonfigurovať nastavenia odchádzajúcich e-mailov v centrálnej správe.
-
Ak sa dokumenty obsahujúce citlivé informácie uložia alebo upravia , používateľovi sa zobrazí upozornenie na možné možné oznámenie. Policy tip vysvetľuje, prečo je dokument v konflikte s politikou DLP, aby ľudia mohli vykonať opravný postup, ako je napríklad odstránenie citlivých informácií z dokumentu. Keď je dokument v súlade s predpismi, tip na možného zabezpečenia zmizne.
-
Blokovanie prístupu k obsahu pre všetkých okrem vlastníka lokality, vlastníka dokumentu a osoby, ktorá dokument naposledy upravila. Tieto osoby môžu z dokumentu odstrániť citlivé informácie alebo vykonať iné akcie na oprave. Keď je dokument v súlade s predpismi, pôvodné povolenia sa automaticky obnovia. Je dôležité vedieť, že upozornenie na možné blokovanie poskytuje ľuďom možnosť prepísať akciu blokovania. Tipy k politike preto môžu pomôcť poučiť používateľov o vašich politikách DLP a vynútiť ich bez toho, aby zabránili ľuďom robiť ich prácu.
Krok 2: Priradenie politiky DLP
Po vytvorení politiky DLP je potrebné ju priradiť do jednej alebo viacerých kolekcií lokalít, kde sa môže začať chrániť citlivé informácie v týchto umiestneniach. K mnohým kolekciám lokalít možno priradiť jednu politiku, ale každé priradenie je potrebné vytvoriť po jednom.
Tipy k politike
Chcete, aby ľudia vo vašej organizácii, ktorí pracujú s citlivými informáciami, chceli zostať v súlade s vašimi politikami DLP, ale nechcete ich zbytočne zablokovať a pracovať na nich. Tu vám môžu pomôcť tipy k politike.
Upozornenie na možné riešenie je upozornenie alebo upozornenie, ktoré sa zobrazí, keď niekto pracuje s obsahom, ktorý je v konflikte s politikou DLP – napríklad obsah ako zošit spoločnosti Excel obsahujúci informácie umožňujúce osobnú identifikáciu (PII) a ktorý je uložený na lokalite.
Tipy k politike môžete použiť na zvýšenie informovanosti a informovanie ľudí o politikách organizácie. Tipy k politike tiež poskytujú ľuďom možnosť prepísať politiku, aby ju nezablokovali, ak majú platnú obchodnú potrebu alebo ak politika zistí nesprávne pozitívny výsledok.
Zobrazenie alebo prepísanie tipu na politiku
Ak chcete s dokumentom urobiť akciu, ako je napríklad prepísanie politiky DLP alebo nahlasovanie nesprávne pozitívneho názoru, môžete pre položku vybrať ponuku Otvoriť ... a potom > Zobraziť tip politiky.
Tip na možné problémy s obsahom obsahuje zoznam problémov, môžete vybrať položku Vyriešiť a potom prepísať policy tip alebo Nahlásiť nesprávne pozitívny výsledok.
Podrobnosti o tom, ako fungujú tipy k politike
Všimnite si, že obsah sa môže zhodovať s viac ako jednou politikou DLP, ale zobrazí sa len upozornenie na možné upozornenie na politiku s najvyššou prioritou, ktorá obsahuje najviac obmedzení. Upozornenie na možné porušenie politiky DLP, ktoré blokuje prístup k obsahu, sa napríklad zobrazí nad upozornenie na možné porušenie politiky od pravidla, ktoré používateľa jednoducho upozorní. Zabránite tak používateľom v zobraziť kaskádové tipy k politike. Okrem toho, ak tipy politiky v najsúbenejších politikách umožňujú ľuďom prepísať politiku, potom sa prepíšu aj všetky ostatné politiky, s ktorými sa obsah zhoduje.
Politiky DLP sa synchronizujú na lokality a obsah sa im vyhodnocuje pravidelne a asynchrónne (pozri ďalšiu časť), takže môže byť medzi časom vytvorenia politiky DLP a časom, kedy sa začnú zobraziť tipy k politike, krátke oneskorenie.
Ako fungujú politiky DLP
DLP zisťuje citlivé informácie podrobnou analýzou obsahu (nielen pomocou jednoduchého skenovania textu). Táto hlboká analýza obsahu používa zhody kľúčových slov, vyhodnotenie výrazov, interných funkcií a ďalších metód na zistenie obsahu, ktorý zodpovedá vašim politikám DLP. Za citlivé sa potenciálne považuje len malé percento vašich údajov. Politika DLP dokáže identifikovať, monitorovať a automaticky chrániť len tieto údaje bez toho, aby to ovplyvnilo alebo ovplyvnilo ľudí, ktorí pracujú so zvyšným obsahom.
Po vytvorení politiky DLP v Centre politiky dodržiavania súladu sa táto politika uloží ako definícia politiky na tejto lokalite. Keď potom priradíte politiku k rôznym kolekciám lokalít, politika sa synchronizuje s týmito umiestneniami, kde sa začne vyhodnotiť obsah a vynútiť akcie, ako je napríklad odosielanie správ o incidentoch, zobrazovanie tipov k politike a blokovanie prístupu.
Hodnotenie politík na lokalitách
Vo všetkých kolekciách lokalít sa dokumenty neustále menia a neustále sa vytvárajú, upravujú, zdieľajú a tak ďalej. Dokumenty môžu byť preto kedykoľvek v konflikte alebo v súlade s politikou DLP. Osoba môže napríklad nahrať dokument, ktorý na tímovú lokalitu neobsahuje žiadne citlivé informácie, ale neskôr môže ten istý dokument upraviť a pridať do neho citlivé informácie.
Z tohto dôvodu politiky DLP často kontrolujú, či sa politika zhoduje s politikami na pozadí. Môžete si to premyslieť ako asynchrónne vyhodnotenie politiky.
Funguje to takto. Keď ľudia pridávajú alebo menia dokumenty na svojich lokalitách, vyhľadávací nástroj preverí obsah, aby ste ho mohli neskôr vyhľadať. Počas toho sa v obsahu skenujú aj citlivé informácie. Všetky nájdené citlivé informácie sa bezpečne uložia do indexu vyhľadávania, aby k nim mohol získať prístup iba tím na zabezpečenie súladu, nie však typickí používatelia. Každá politika DLP, ktorú ste zapli, sa spúšťa na pozadí (asynchrónne), kontroluje často vyhľadávania obsahu, ktorý zodpovedá politike, a používa akcie na ochranu pred neúmyselných pretekaním.
Dokumenty môžu byť v konflikte s politikou DLP, ale môžu tiež byť kompatibilné s politikou DLP. Ak napríklad osoba do dokumentu pridá čísla kreditných kariet, môže to spôsobiť, že politika DLP automaticky zablokuje prístup k dokumentu. Ak však táto osoba neskôr odstráni citlivé informácie, akcia (v tomto prípade blokovanie) sa automaticky vráti späť pri ďalšom vyhodnotení dokumentu podľa politiky.
DLP vyhodnotí každý obsah, ktorý je možné indexovať. Ďalšie informácie o typoch súborov, ktoré sa prehľadávajú predvolene, nájdete v téme Predvolené prehľadávané prípony súborov a typy prehľadávaných súborov.
Zobrazenie udalostí DLP v denníkoch používania
Aktivitu politiky DLP môžete zobraziť v denníkoch o používaní na serveri, na SharePoint Serveri 2016. Môžete napríklad zobraziť text zadaný používateľmi, keď prepíšu policy tip alebo nahlásiť nesprávne pozitívny výsledok.
Najskôr je potrebné zapnúť možnosť v centrálnej správe (Monitorovanie > Konfigurovať zhromažďovanie údajov o používaní a stave > používanie udalostí jednoduchého denníka Data_SPUnifiedAuditEntry). Ďalšie informácie o zapisovanie do denníka používania nájdete v téme Konfigurácia zhromažďovania údajov o používaní a stave.
Po zapnutí tejto funkcie môžete otvoriť zostavy používania na serveri a zobraziť odôvodnenie, ktoré používatelia poskytli na prepisovanie policy tipu DLP spolu s ďalšími udalosťami DLP.
Skôr než začnete používať DLP
V tejto téme sú uvedené niektoré funkcie, od ktorých funkcia DLP závisí. Patria sem:
-
Ak chcete zistiť a klasifikovať citlivé informácie v kolekciách lokalít, spustite vyhľadávacej služby a definujte plán prehľadávania obsahu.
-
Zapnite si e-mail, na ktorý nezadáte.
-
Ak chcete zobraziť prepísania používateľmi a iné udalosti DLP, zapnite zostavu používania.
-
Vytvorenie kolekcií lokalít:
-
V prípade dotazov DLP vytvorte kolekciu lokalít Centra eDiscovery.
-
Pre politiky DLP vytvorte kolekciu lokalít Centrum politík dodržiavania súladu.
-
-
Vytvorte skupinu zabezpečenia pre tím dodržiavania súladu a potom pridajte skupinu zabezpečenia do skupiny Vlastníci v Centre eDiscovery alebo v Centre politiky dodržiavania súladu.
-
Na spustenie dotazov DLP sa vyžadujú povolenia na zobrazenie pre všetok obsah, ktorý dotaz vyhľadá – ďalšie informácie nájdete v téme Vytvorenie dotazu DLP v programe SharePoint Server 2016.
