Organizacije morajo zaradi skladnosti s poslovnimi standardi in industrijskimi predpisi zaščititi občutljive informacije in preprečiti nenamerno razkritje. Primeri občutljivih podatkov, ki jih morda želite preprečiti, da bi zunaj organizacije izdajali podatke, vključujejo finančne podatke ali osebne podatke (PII), kot so številke kreditnih kartic, številke socialnega varovanja ali nacionalne identifikacijske številke. S pravilnikom o preprečitvi izgube podatkov (DLP) v strežniku SharePoint Server 2016 lahko prepoznate, nadzorujete in samodejno zaščitite občutljive informacije v zbirkah mest.
S preprečim izgube podatkov lahko:
-
Ustvarite poizvedbo za preprečitev izgube podatkov, da določite, katere občutljive informacije so zdaj na voljo v zbirkah mest. Preden ustvarite pravilnike o preprečitvijo izgube podatkov, je pogosto koristno, če si ogledate, s katerimi vrstami občutljivih informacij delajo osebe v vaši organizaciji in katere zbirke mest vsebujejo te občutljive informacije. S poizvedbo za preprečitev izgube podatkov lahko poiščete občutljive informacije, za katere veljajo skupni industrijski predpisi, bolje razumete vaša tveganja in določite, katere in kje so občutljive informacije, ki jih morajo zaščititi vaši pravilniki o preprečinju izgube podatkov.
-
Ustvarite pravilnik o preprečitvi izgube podatkov za nadzor in samodejno zaščito občutljivih informacij v zbirkah mest. Nastavite lahko na primer pravilnik, ki uporabnikom prikaže namig pravilnika, če shranijo dokumente, ki vsebujejo podatke, ki omogočajo identifikacijo uporabnika. Poleg tega lahko pravilnik samodejno blokira dostop do teh dokumentov za vse uporabnike, razen za lastnika mesta, lastnika vsebine in osebe, ki je nazadnje spremenil dokument. In nazadnje, ker ne želite, da bi pravilniki o preprečitvi izgube podatkov drugim preprečili, da bi opravili svoje delo, lahko namig pravilnika preglasi blokiranje, tako da lahko uporabniki še naprej delajo z dokumenti, če imajo poslovno utemeljitev.
Predloge preprečiv izgube podatkov
Ko ustvarite poizvedbo za preprečitev izgube podatkov ali pravilnik o preprečitvi izgube podatkov, lahko izbirate med seznami predlog za preprečitev izgube podatkov, ki ustrezajo splošnim zakonskim zahtevam. Vsaka predloga preprečiv izgube podatkov prepozna določene vrste občutljivih informacij, na primer predlogo, imenovano »Osebni podatki, ki omogočajo identifikacijo posameznika« (PII), prepozna vsebino, ki vsebuje številke potnih listov ZDA in Zda, številke posameznih identifikacijskih številk davkoplačevalcev (ITIN) ali ameriške številke socialnega varnosti (SSN).
Vrste občutljivih podatkov
Pravilnik o preprečitvi izgube podatkov pomaga zaščititi občutljive informacije, ki so opredeljene kot vrste občutljivih informacij. SharePoint Server 2016 vključuje definicije za številne pogoste vrste občutljivih podatkov, ki jih lahko uporabite, kot so številka kreditne kartice, številke bančnih računov, nacionalne osebne izkaznice in številke potnega lista.
Ko pravilnik o preprečitvi izgube podatkov poišče občutljivo vrsto podatkov, na primer številko kreditne kartice, ne poišče le 16-mestne številke. Vsaka vrsta občutljive informacije je opredeljena in zaznana s kombinacijo:
-
Ključne besede
-
Notranje funkcije za preverjanje potrditvenih vsot ali sestave
-
Vrednotenje regularnih izrazov za iskanje ujemanj z vzorcem
-
Drugo pregledovanje vsebine
Zaznavanje preprečiv izgube podatkov tako doseže visoko stopnjo natančnosti, hkrati pa zmanjša število napačnih pozitivnih prepoznav, ki lahko prekinejo delo oseb.
Vsaka predloga preprečiv izgube podatkov poišče eno ali več vrst občutljivih informacij. Če želite več informacij o tem, kako deluje posamezna vrsta občutljivih informacij, glejte Kaj so občutljive vrste informacij v strežniku SharePoint Server 2016.
|
Ta predloga preprečiv izgube podatkov ... |
Poišče te vrste občutljivih podatkov ... |
|---|---|
|
Podatki o podatkih, ki omogočajo identifikacijo ZDA |
ZDA/Združeno kraljestvo Številka potnega lista ZDA Identifikacijska številka posameznega davkoplačevalca (ITIN) ZDA Social Security Number (SSN) |
|
Ameriški zakon Gramm-Leach-Bliley (GLBA) |
Številka kreditne kartice ZDA Številka bančnega računa ZDA Identifikacijska številka posameznega davkoplačevalca (ITIN) ZDA Social Security Number (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Številka kreditne kartice |
|
U.K. Financial Data |
Številka kreditne kartice Številka debetne kartice v EU Koda SWIFT |
|
Ameriški finančni podatki |
Identifikacijska številka banke Številka kreditne kartice ZDA Številka bančnega računa |
|
Podatki o podatkih, ki omogočajo osebno identifikacijo (PII) |
Združeno kraljestvo National Insurance Number (NINO) ZDA/Združeno kraljestvo Številka potnega lista |
|
U.K. Data Protection Act |
Koda SWIFT Združeno kraljestvo National Insurance Number (NINO) ZDA/Združeno kraljestvo Številka potnega lista |
|
Predpisi o zasebnosti in elektronskih komunikacijah v Zda |
Koda SWIFT |
|
Ameriški zakon o zaupnosti številk socialnega varovanja |
ZDA Social Security Number (SSN) |
|
Ameriški zakoni o obvestilih o kršitvi zvezne države |
Številka kreditne kartice ZDA Številka bančnega računa ZDA Številka vozniškega dovoljenja ZDA Social Security Number (SSN) |
Poizvedbe dLP
Preden ustvarite pravilnike o preprečitvijo izgube podatkov, si boste morda želeli ogledati, kateri občutljivi podatki že obstajajo v zbirkah mest. To naredite tako, da ustvarite in zaženete poizvedbe za preprečitev izgube podatkov v središču za e-odkrivanje.
Poizvedba za preprečitev izgube podatkov deluje enako kot poizvedba za e-odkrivanje. Glede na to, katero predlogo prepreči izgube podatkov izberete, je poizvedba za preprečitev izgube podatkov konfigurirana za iskanje določenih vrst občutljivih informacij. Najprej izberite mesta, ki jih želite poiskati, nato pa lahko podrobneje nastavite poizvedbo, ker podpira jezik KQL (Keyword Query Language). Poizvedbo lahko natančneje opredelite tudi tako, da izberete datumski obseg, določene avtorje, SharePointove vrednosti lastnosti ali mesta. Tako kot poizvedba za e-odkrivanje si lahko ogledate predogled, izvozite in prenesete rezultate poizvedbe.
Pravilniki o preprečii izgube podatkov
S pravilnikom o preprečitvi izgube podatkov lahko prepoznate, nadzorujete in samodejno zaščitite občutljive informacije, za katere veljajo skupni predpisi panoge. Izberete, katere vrste občutljivih podatkov želite zaščititi in katera dejanja morate izvesti, ko je zaznana vsebina s tako občutljivimi informacijami. Pravilnik o preprečitvi izgube podatkov lahko obvesti uradnika za skladnost s predpisi tako, da pošlje poročilo o dogodku, obvesti uporabnika z namigom pravilnika na mestu in po želji blokira dostop do dokumenta za vse uporabnike, razen lastnika mesta, lastnika vsebine in osebe, ki je nazadnje spreminjala dokument. Na koncu ima namig pravilnika možnost, da preglasi blokiranje, tako da lahko ljudje še naprej delajo z dokumenti, če imajo poslovno utemeljitev ali morajo prijaviti napačno pozitivno vrednost.
Pravilnike o preprečitvi izgube podatkov ustvarjate in upravljate v središču za pravilnik o skladnosti s predpisi. Pravilnik o preprečitvi izgube podatkov ustvarite v dveh korakih: najprej ustvarite pravilnik o preprečitvi izgube podatkov, nato pa pravilnik dodelite zbirki mest.
1. korak: Ustvarjanje pravilnika o preprečitvi izgube podatkov
Ko ustvarite pravilnik o preprečitvi izgube podatkov, izberete predlogo za preprečitev izgube podatkov, ki išče vrste občutljivih informacij, ki jih morate prepoznati, nadzorovati in samodejno zaščititi.
Ko pravilnik o preprečitvi izgube podatkov najde vsebino, ki vključuje najmanjše število primerkov določene vrste občutljivih podatkov, ki jih izberete – na primer pet številk kreditnih kartic ali eno številko socialnega varnosti – lahko pravilnik o preprečitvi izgube podatkov samodejno zaščiti občutljive podatke tako, da izvede naslednje ukrepe:
-
Pošiljanje poročila o dogodku izbranim osebam (na primer vašemu uradniku za skladnost s predpisi) s podrobnostmi o dogodku. To poročilo vključuje podrobnosti o zaznani vsebini, kot so naslov, lastnik dokumenta in zaznane občutljive informacije. Če želite poslati poročila o dogodkih, morate konfigurirati nastavitve odhodne e-pošte v osrednjem skrbništvu.
-
Obveščanje uporabnika z namigom pravilnika o tem, kdaj so dokumenti, ki vsebujejo občutljive informacije, shranjeni ali urejeni. V namigu pravilnika je razloženo, zakaj je dokument v sporu s pravilnikom o preprečitvi izgube podatkov, tako da lahko ljudje ukrepajo za odpravo občutljivih informacij, na primer odstranijo občutljive informacije iz dokumenta. Ko je dokument v skladu s predpisi, namig pravilnika izgine.
-
Blokiranje dostopa do vsebine za vse razen lastnika mesta, lastnika dokumenta in osebe, ki je nazadnje spremenila dokument. Te osebe lahko odstranijo občutljive informacije iz dokumenta ali končate z drugimi sanacijnimi ukrepi. Ko je dokument v skladu s predpisi, bodo izvirna dovoljenja samodejno obnovljena. Pomembno je, da razumete, da namig pravilnika omogoča ljudem možnost, da preglasijo blokiranje. Namigi pravilnika lahko tako pomagajo uporabnike izobraževati o pravilnikih o preprečitvi izgube podatkov in jih vsiliti, ne da bi ljudem preprečili njihovo delo.
2. korak: Dodeljevanje pravilnika o preprečitvi izgube podatkov
Ko ustvarite pravilnik o preprečitvi izgube podatkov, ga morate dodeliti eni ali več zbirkam mest, kjer lahko začne ščititi občutljive informacije na teh mestih. En pravilnik lahko dodelite več zbirkam mest, vendar pa je treba vsako dodelitev ustvariti posamezno.
Namigi pravilnika
Želite, da osebe v vaši organizaciji, ki delajo z občutljivimi podatki, ostanejo v skladu z vašimi pravilniki o preprečii izgube podatkov, ne želite pa jih po nepotrebnem blokirati, da ne bi opravili svojega dela. Tukaj so vam lahko v pomoč namigi pravilnika.
Namig pravilnika je obvestilo ali opozorilo, ki se prikaže, ko nekdo dela z vsebino, ki je v sporu s pravilnikom o preprečitvi izgube podatkov – na primer vsebina, kot je Excelov delovni zvezek, v katerem so podatki, ki omogočajo identifikacijo uporabnika in ki so shranjeni na spletno mesto.
Z namigi pravilnika lahko povečate ozaveščenost in izobrazite ljudi o pravilnikih organizacije. Namigi pravilnika omogočajo uporabnikom, da preglasijo pravilnik, tako da niso blokirani, če imajo veljavno poslovno potreba ali če pravilnik zaznava napačno pozitivno prepoznavano vrednost.
Ogled ali prepis namiga pravilnika
Če želite ukrepati v dokumentu, na primer preglasitev pravilnika o preprečitvi izgube podatkov ali poročanje o napačni pozitivni prepoznatvi, lahko za element izberete meni Odpri ... > Ogled namiga pravilnika.
V namigu pravilnika so navedene težave z vsebino, izberete lahko Razreši in nato Preglasite namig pravilnika ali Prijavite napačno pozitivno vrednost.
Podrobnosti o tem, kako delujejo namigi pravilnika
Upoštevajte, da se lahko vsebina ujema z več pravilniki o preprečitvi izgube podatkov, vendar bo prikazan le namig pravilnika iz najbolj omejevalnih pravilnikov z najvišjo prioriteto. Namig pravilnika iz pravilnika o preprečitvi izgube podatkov, ki blokira dostop do vsebine, bo na primer prikazan prek namiga pravilnika iz pravila, ki o tem preprosto obvesti uporabnika. Tako uporabnikom preprečite, da bi videli kaskadni namigi pravilnika. Če namigi pravilnika v najbolj restriktivnem pravilniku osebam omogočajo, da preglasijo pravilnik, preglasijo tudi druge pravilnike, ki se ujemajo z vsebino.
Pravilniki o preprečitvi izgube podatkov se sinhronizirajo s spletnimi mesti, vsebina pa je ocenjena z njimi redno in asinhrono (glejte naslednji razdelek), zato lahko pride do kratke zakasnitve med časom, ko ustvarite pravilnik o preprečitvi izgube podatkov, in časom, ko začnete prikaz namigov pravilnika.
Kako delujejo pravilniki za preprečitev izgube podatkov
Prepreči izgube podatkov zazna občutljive informacije tako, da uporabi globoko analizo vsebine (ne le preprost pregled besedila). Ta analiza globoke vsebine uporablja ujemanja ključnih besed, vrednotenje regularnih izrazov, notranjih funkcij in druge metode za zaznavanje vsebine, ki se ujema z vašimi pravilniki o preprečiti izgube podatkov. Občutljiv je lahko le majhen odstotek vaših podatkov. S pravilnikom o preprečitvi izgube podatkov lahko prepoznate, nadzorujete in samodejno zaščitite le te podatke, ne da bi pri tem vplivali na osebe, ki delajo s preostalo vsebino.
Ko ustvarite pravilnik o preprečitvi izgube podatkov v središču za pravilnik o skladnosti s predpisi, je ta shranjen kot definicija pravilnika na tem mestu. Ko nato pravilnik dodelite različnim zbirkam mest, se pravilnik sinhronizira s temi mesti, kjer začne ocenjevati vsebino in vsiliti dejanja, kot so pošiljanje poročil o dogodkih, prikazovanje namigov pravilnika in blokiranje dostopa.
Vrednotenje pravilnika na mestih
V vseh zbirkah mest se dokumenti nenehno spreminjajo – nenehno se ustvarja, urejajo, delijo in tako naprej. To pomeni, da so lahko dokumenti kadar koli v sporu ali pa postanejo skladni s pravilnikom o preprečitvi izgube podatkov. Oseba lahko na primer prenese dokument, ki ne vsebuje občutljivih informacij, na spletno mesto skupine, pozneje pa lahko druga oseba ureja isti dokument in v njem doda občutljive informacije.
Zato pravilniki o preprečitvi izgube podatkov v dokumentih pogosto preverjajo ujemanja pravilnikov v ozadju. To si lahko predstavljate kot asinhrono vrednotenje pravilnika.
Spodaj je opisano, kako deluje. Ko uporabniki dodajajo ali spreminjajo dokumente na svojih spletnih mestih, mehanizem za iskanje pregleda vsebino, tako da jo lahko pozneje poiščete. Medtem ko se to dogaja, se v vsebini išče tudi občutljive informacije. Vsi najdeni občutljivi podatki so varno shranjeni v kazalo iskanja, tako da lahko do njih dostopa le skupina za skladnost s predpisi, ne more pa dostopati do njih tipičnih uporabnikov. Vsak pravilnik o preprečitvi izgube podatkov, ki ste ga vklopili, se izvaja v ozadju (asinhrono), pogosto preverja vsebino, ki se ujema s pravilnikom, in uporablja dejanja za zaščito pred nenamerilnim puščanjem.
Dokumenti so lahko tudi v sporu s pravilnikom o preprečitvi izgube podatkov, lahko pa postanejo tudi skladni s pravilnikom o preprečitvi izgube podatkov. Če oseba na primer dokumentu doda številke kreditnih kartic, lahko pravilnik o preprečitvi izgube podatkov samodejno blokira dostop do dokumenta. Če pa oseba pozneje odstrani občutljive informacije, se dejanje (v tem primeru blokiranje) samodejno razveljavi, ko je naslednjič dokument ovrednoten glede na pravilnik.
Preprečitev izgube podatkov ovrednoti katero koli vsebino, ki jo je mogoče indeksirati. Če želite več informacij o tem, katere vrste datotek so privzeto preiskane, glejte Privzete preiskane datotečne pripone in razčlenjene vrste datotek.
Ogled dogodkov preprečiv izgube podatkov v dnevnikih uporabe
Dejavnost pravilnika o preprečitvi izgube podatkov si lahko ogledate v dnevnikih uporabe v strežniku, v katerem se izvaja SharePoint Server 2016. Ogledate si lahko na primer besedilo, ki so ga vnesli uporabniki, ko preglasijo namig pravilnika ali prijavijo napačno pozitivno vrednost.
Najprej morate vklopiti možnost v osrednjem skrbništvu (nadzor nad > Konfiguracija uporabe in zbiranja podatkov o zdravju > preprostih dnevnikov Data_SPUnifiedAuditEntry). Če želite več informacij o pisanju dnevnika uporabe, glejte Konfiguracija zbiranja podatkov o uporabi in zdravju.
Ko vklopite to funkcijo, lahko odprete poročila o uporabi v strežniku in si ogledate utemeljitev, ki so jih predložili uporabniki za prepis namiga pravilnika o preprečitvi izgube podatkov, skupaj z drugimi dogodki preprečitvijo izgube podatkov.
Preden začnete uporabljati preprečitev izgube podatkov
V tej temi je oris nekaterih funkcij, od katere je odvisna preprečitev izgube podatkov. To so:
-
Če želite v zbirkah mest zaznati in razvrstiti občutljive informacije, zaženite storitev iskanja in določite urnik iskanja po vsebini.
-
Vklopite odhodno e-pošto.
-
Če si želite ogledati uporabniške preglasitve in druge dogodke preprečitve izgube podatkov, vklopite poročilo o uporabi.
-
Ustvarite zbirke mest:
-
Za poizvedbe preprečiv izgube podatkov ustvarite zbirko mest središča za e-odkrivanje.
-
Za pravilnike o preprečitvi izgube podatkov ustvarite zbirko mest središča za pravilnike o skladnosti s predpisi.
-
-
Ustvarite varnostno skupino za svojo skupino za skladnost s predpisi in nato dodajte varnostno skupino v skupino lastnikov v središču za e-odkrivanje ali središču za pravilnik o skladnosti s predpisi.
-
Če želite zagnati poizvedbe dLP, potrebujete dovoljenja za ogled za vso vsebino, ki jo bo poizvedba iskala – če želite več informacij, glejte Ustvarjanje poizvedbe za preprečitev izgube podatkov v strežniku SharePoint Server 2016.
