Da bi se usaglašale sa poslovnim standardima i industrijskim propisima, organizacije treba da zaštite osetljive informacije i spreče njihovo nenamerno otkrivanje. Primeri osetljivih informacija koje možda želite da sprečite da cure izvan organizacije uključuju finansijske podatke ili informacije sa ličnim podacima koji se mogu identifikovati (PII), kao što su brojevi kreditnih kartica, brojevi socijalnog osiguranja ili nacionalni ID brojevi. Uz smernice sprečavanja gubitka podataka (DLP) u sistemu SharePoint Server 2016, možete da identifikujete, nadgledate i automatski zaštitite osetljive informacije u kolekcijama lokacija.
Pomoću DLP-a možete da:
-
Kreirajte DLP upit da biste identifikovali koje osetljive informacije sada postoje u kolekcijama lokacija. Pre nego što kreirate DLP smernice, često je korisno da vidite sa kojim tipovima osetljivih informacija rade ljudi u organizaciji i sa kojim kolekcijama lokacija se nalaze ove osetljive informacije. Pomoću DLP upita možete da pronađete osetljive informacije koje podležu uobičajenim industrijskim propisima, da bolje razumete rizike i utvrdite šta su osetljive informacije koje smernice DLP-a treba da zaštite.
-
Kreirajte DLP smernice za nadgledanje i automatsko zaštitu osetljivih informacija u kolekcijama lokacija. Na primer, možete da podesite smernice koje korisnicima prikazuju savet za smernice ako sačuvaju dokumente koji sadrže informacije sa ličnim podacima koji se mogu identifikovati. Pored toga, smernice mogu automatski da blokiraju pristup tim dokumentima za sve osim za vlasnika lokacije, vlasnika sadržaja i svakoga ko je poslednji put izmenio dokument. Napokon, pošto ne želite DLP smernice da biste sprečili ljude da obavljaju svoj posao, savet u vezi sa smernicama ima opciju da zameni radnju blokiranja, tako da osobe mogu da nastave da rade sa dokumentima ako imaju poslovno opravdanje.
DLP predlošci
Kada kreirate DLP upit ili DLP smernice, možete da odaberete sa liste DLP predložaka koji odgovaraju uobičajenim regulatornim zahtevima. Svaki DLP predložak identifikuje određene tipove osetljivih informacija – na primer, predložak pod imenom "Informacije za ličnu identifikaciju (PII) SAD- a" identifikuju sadržaj koji sadrži brojeve pasoša SAD i Sad, identifikacione brojeve pojedinačnih poreskih obveznika (ITIN) ili brojeve za socijalno osiguranje SAD (SSN).
Osetljivi tipovi informacija
DLP smernica pomaže u zaštiti osetljivih informacija koje su definisane kao osetljivi tip informacija. SharePoint Server 2016 obuhvata definicije za mnoge uobičajene osetljive tipove informacija koje su spremne za korišćenje, kao što su broj kreditne kartice, brojevi računa u banci, nacionalni ID brojevi i brojevi pasoša.
Kada smernice DLP traže osetljiv tip informacija kao što je broj kreditne kartice, ne traži samo 16-cifreni broj. Svaki osetljivi tip informacija se definiše i otkriva pomoću kombinacije:
-
Ključne reči
-
Unutrašnje funkcije za proveru provere ili sastavljanja
-
Procena regularnih izraza za pronalaženje podudaranja obrazaca
-
Drugi pregled sadržaja
To pomaže dLP otkrivanju da postigne visok stepen tačnosti, a da pri tom smanji broj potvrđenih potvrđenih podataka koji mogu da ometaju rad ljudi.
Svaki DLP predložak traži neke tipove osetljivih informacija. Više informacija o tome kako funkcioniše svaki osetljivi tip informacija potražite u članku Šta traže osetljivi tipovi informacija u sistemu SharePoint Server 2016.
|
Ovaj DLP predložak... |
Traži ove osetljive tipove informacija... |
|---|---|
|
Podaci sa informacijama sa ličnim podacima koji se mogu identifikovati (PII) |
Broj pasoša Sad/ Britanije Identifikacioni broj za pojedinačne poreske obveznice (ITIN) SAD Američki broj socijalnog osiguranja (SSN) |
|
Američki čin gramatike -Leach-Bliley (GLBA) |
Broj kreditne kartice Broj bankovnog računa u SAD Identifikacioni broj za pojedinačne poreske obveznice (ITIN) SAD Američki broj socijalnog osiguranja (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Broj kreditne kartice |
|
Finansijski podaci u Britaniji |
Broj kreditne kartice Broj debitne kartice EU SWIFT kôd |
|
Američki finansijski podaci |
ABA broj usmeravanja Broj kreditne kartice Broj bankovnog računa u SAD |
|
Podaci sa informacijama sa ličnim podacima koji se mogu identifikovati (PII) |
Nacionalni broj osiguranja (NINO) Britanije Broj pasoša Sad/ Britanije |
|
Zakon o zaštiti podataka UK |
SWIFT kôd Nacionalni broj osiguranja (NINO) Britanije Broj pasoša Sad/ Britanije |
|
Propisi o privatnosti i elektronskim komunikacijama |
SWIFT kôd |
|
Zakoni o poverljivosti brojeva socijalnog osiguranja |
Američki broj socijalnog osiguranja (SSN) |
|
Zakoni o kršenju obaveštenja o kršenju državnih propisa |
Broj kreditne kartice Broj bankovnog računa u SAD Broj vozačke dozvola u SAD Američki broj socijalnog osiguranja (SSN) |
DLP upiti
Pre nego što kreirate DLP smernice, možda ćete želeti da vidite koje osetljive informacije već postoje u kolekcijama lokacija. Da biste to uradili, kreirajte i pokrenite DLP upite u centru za e-otkrivanje.
DLP upit funkcioniše na isti način kao upit e-otkrivanja. Na osnovu toga koji DLP predložak odaberete, DLP upit je konfigurisan da traži određene tipove osetljivih informacija. Prvo odaberite lokacije koje želite da pretražite, a zatim možete precizno da podesite upit jer podržava jezik upita ključnih reči (KQL). Pored toga, možete suziti upit izborom opsega datuma, određenih autora, vrednosti SharePoint svojstava ili lokacija. Kao i upit za e-otkrivanje, možete da pregledate, izvezete i preuzmete rezultate upita.
DLP smernice
DLP smernice vam pomažu da identifikujete, nadgledate i automatski zaštitite osetljive informacije koje podležu uobičajenim industrijskim propisima. Vi birate tipove osetljivih informacija koje želite da zaštitite i koje radnje treba izvršiti kada se otkrije sadržaj koji sadrži tako osetljive informacije. Smernice DLP mogu da obaveštavaju službenika za usaglašenost tako što će poslati izveštaj o incidentu, obavestiti korisnika savetom o smernicama na lokaciji i opcionalno blokirati pristup dokumentu za sve osim vlasnika sajta, vlasnika sadržaja i svakoga ko je poslednji izmenio dokument. Na kraju, savet u vezi sa smernicama ima opciju da poništi radnju blokiranja, tako da osobe mogu da nastave da rade sa dokumentima ako imaju poslovno opravdanje ili moraju prijaviti potvrđenu grešku.
Smernice za DLP kreirate i upravljate smernicama u centru za smernice za usaglašenost. Kreiranje DLP smernica je proces iz dva koraka: prvo kreirajte DLP smernice, a zatim smernice dodeljujete kolekciji lokacija.
1. korak: Kreiranje DLP smernica
Kada kreirate DLP smernice, birate DLP predložak koji traži tipove osetljivih informacija koje su vam potrebne za identifikovanje, nadgledanje i automatsko zaštitu.
Kada smernica DLP pronađe sadržaj koji uključuje minimalan broj instanci određenog tipa osetljivih informacija koje odaberete – na primer, pet brojeva kreditnih kartica ili jedan broj socijalnog osiguranja – smernice DLP mogu automatski da zaštite osetljive informacije tako što će izvršiti sledeće radnje:
-
Slanje izveštaja o incidentu osobama koje odaberete (kao što je službenik za usaglašenost) sa detaljima događaja. Ovaj izveštaj sadrži detalje o otkrivenom sadržaju kao što su naslov, vlasnik dokumenta i osetljive informacije koje su otkrivene. Da biste poslali izveštaje o incidentima, morate da konfigurišete postavke odlazne e-pošte u centralnoj administraciji.
-
Obaveštavanje korisnika pomoću saveta za smernice kada se sačuvaju ili urede dokumenti koji sadrže osetljive informacije. Savet u vezi sa smernicama objašnjava zašto je taj dokument neusaglašen sa DLP smernicama, tako da osobe mogu da preduzimaju remedijalne radnje, kao što je uklanjanje osetljivih informacija iz dokumenta. Kada je dokument usaglašan, savet u vezi sa smernicama nestaje.
-
Blokiranje pristupa sadržaju za sve osim vlasnika lokacije, vlasnika dokumenta i osobe koja je poslednja izmenila dokument. Ove osobe mogu da uklone osetljive informacije iz dokumenta ili da relativizuju radnju. Kada je dokument usaglašeno, originalne dozvole će automatski biti vraćene u prethodno stanje. Važno je da razumete da savet u vezi sa smernicama pruža ljudima opciju da zamene radnju blokiranja. Saveti za smernice mogu da vam pomognu da edukujte korisnike o smernicama DLP-a i da ih nametnete bez sprečavanja ljudi da obavljaju svoj posao.
2. korak: Dodeljivanje DLP smernica
Kada kreirate DLP smernice, morate da ih dodelite jednoj ili više kolekcija lokacija, gde može početi da štiti osetljive informacije na tim lokacijama. Jedna smernica može da se dodeli mnogim kolekcijama lokacija, ali svaki zadatak mora da se kreira jedan po jedan.
Saveti za smernice
Želite da osobe u organizaciji koje rade sa osetljivim informacijama ostanu usaglašene sa DLP smernicama, ali ne želite da ih nepotrebno blokirate da završe posao. Ovde vam mogu pomoći saveti za smernice.
Savet u vezi sa smernicama je obaveštenje ili upozorenje koje se pojavljuje kada neko radi sa sadržajem koji nije usaglašen sa DLP smernicama – na primer, sadržaj kao što je Excel radna sveska koja sadrži informacije sa ličnim podacima koji se mogu identifikovati (PII) i koji je sačuvan na lokaciji.
Savete za smernice možete da koristite da biste povećali svest i pomogli da edukujte osobe o smernicama organizacije. Saveti za smernice takođe pružaju ljudima opciju da zamene smernice tako da nisu blokirani ako imaju važeću poslovnu potrebu ili ako smernice otkrivaju potvrđenu grešku.
Prikazivanje ili zamena saveta u vezi sa smernicama
Da biste izvršili neku radnju na dokumentu, kao što je zamena smernica DLP-a ili izveštavanje o potvrđenim greškama, možete da izaberete meni Otvori ... za stavku > prikaži savet u smernicama.
Savet u vezi sa smernicama navodi probleme sa sadržajem i možete da odaberete stavku Reši, a zatim zamenite savet u vezi sa smernicama ili Prijavite potvrđene greške.
Detalji o tome kako rade saveti za smernice
Imajte na umu da je moguće da se sadržaj podudara sa više smernica DLP, ali će se prikazati samo savet u vezi sa smernicama najlošijih smernica najvišeg prioriteta. Na primer, savet u vezi sa smernicama DLP smernica koje blokiraju pristup sadržaju prikazaće se preko saveta u vezi sa smernicama pravila koje jednostavno obaveštava korisnika. To sprečava osobe da vide kaskadne savete u vezi sa smernicama. Takođe, ako saveti u vezi sa smernicama u najkonstruktivnijim smernicama omogućavaju ljudima da zamene smernice, zamena ove smernice takođe zamenjuje sve druge smernice sa kojima se sadržaj podudara.
DLP smernice se sinhronizuju sa lokacijama, a sadržaj se procenjuje protiv njih periodično i asinhrono (pogledajte sledeći odeljak), tako da može da postoji kratak period između vremena kreiranja smernica DLP i vremena kada počnete da vidite savete za smernice.
Kako rade smernice za DLP
DLP otkriva osetljive informacije pomoću duboke analize sadržaja (ne samo jednostavnog skeniranja teksta). Ova duboka analiza sadržaja koristi podudaranja ključnih reči, procenu regularnih izraza, unutrašnjih funkcija i druge metode za otkrivanje sadržaja koji se podudara sa DLP smernicama. Potencijalno se samo mali procenat podataka smatra osetljivim. Smernice DLP mogu da identifikuju, nadgledaju i automatski zaštite samo te podatke, bez ugrožavanja ili uticaja na osobe koje rade sa ostatkom sadržaja.
Kada kreirate DLP smernice u centru za smernice za usaglašenost, skladište se kao definicija smernica na toj lokaciji. Zatim, dok dodeljujete smernice različitim kolekcijama lokacija, smernice se sinhronizuju sa tim lokacijama, gde počinje da procenjuje sadržaj i nameće radnje kao što su slanje izveštaja o incidentima, prikazivanje saveta o smernicama i blokiranje pristupa.
Procena smernica na lokacijama
U svim kolekcijama lokacija dokumenti se konstantno menjaju – neprestano se kreiraju, uređuju, dele i tako dalje. To znači da dokumenti mogu da se neusaglašenosti ili postanu usaglašeni sa smernicama DLP-a u bilo kom trenutku. Na primer, osoba može da otpremi dokument koji ne sadrži osetljive informacije na lokaciju tima, ali kasnije druga osoba može da uredi isti dokument i doda osetljive informacije na njega.
Iz ovog razloga, smernice za DLP proveravaju da li u dokumentima postoje smernice koje se često podudaraju u pozadini. Ovo moћeљ da misliљ kao asinhronu procenu politike.
Evo kako to funkcioniše. Kako osobe dodaju ili menjaju dokumente na svojim lokacijama, pretraživač skenira sadržaj, tako da kasnije možete da ga pretražite. Dok se to dešava, sadržaj se takođe skenira u vezi sa osetljivim informacijama. Sve osetljive informacije koje su pronađene bezbedno se skladište u indeksu pretrage, tako da samo tim za usaglašenost može da mu pristupi, ali ne i tipični korisnici. Sve DLP smernice koje ste uključili pokreću se u pozadini (asinhrono), često proveravaju da li postoje sadržaji koji se podudaraju sa smernicama i primena radnji da biste ga zaštitili od nenamernih curenja.
Na kraju, dokumenti mogu biti neusaglašeni sa DLP smernicama, ali mogu i da postanu usaglašeni sa DLP smernicama. Na primer, ako osoba doda brojeve kreditnih kartica u dokument, to može dovesti do toga da smernice DLP blokiraju pristup dokumentu automatski. Međutim, ako osoba kasnije ukloni osetljive informacije, radnja (u ovom slučaju blokiranje) automatski se opoziva sledeći put kada se dokument proceni u odnosu na smernice.
DLP procenjuje sav sadržaj koji se može indeksirati. Više informacija o tome koji tipovi datoteka se podrazumevano popisuju potražite u člancima Podrazumevane popisane oznake tipa datoteke i raščlanjeni tipovi datoteka.
Prikaz DLP događaja u evidencijama upotrebe
Aktivnost smernica DLP možete da prikažete u evidencijama upotrebe na serveru na kojem je pokrenut SharePoint Server 2016. Na primer, možete da prikažete tekst koji su uneli korisnici kada zamene savet u smernicama ili prijavite potvrđenu grešku.
Prvo morate da uključite opciju u centralnoj administraciji (nadgledanje > Konfigurisanje prikupljanja podataka o upotrebi i valjanosti > Jednostavna evidencija upotrebe događaja Data_SPUnifiedAuditEntry). Više informacija o evidentiranju upotrebe potražite u članku Konfigurisanje prikupljanja podataka o upotrebi i valjanosti.
Kada uključite ovu funkciju, možete da otvorite izveštaje o upotrebi na serveru i prikažete opravdanja koja su pružili korisnici za izmenu saveta u vezi sa smernicama DLP- a, kao i druge događaje u DLP-u.
Pre nego što počnete da radite sa DLP-om
Ova tema prikazuje neke funkcije od kojih zavisi DLP. One obuhvataju:
-
Da biste otkrili i klasifikovali osetljive informacije u kolekcijama lokacija, pokrenite uslugu pretrage i definišite plan popisivanja za sadržaj.
-
Uključite izlaznu e-poštu.
-
Da biste prikazali zamene korisnika i druge DLP događaje, uključite izveštaj o korišćenju.
-
Kreirajte kolekcije lokacija:
-
Za DLP upite kreirajte kolekciju lokacija centra za e-otkrivanje.
-
Za DLP smernice kreirajte kolekciju lokacija centra za smernice za usaglašenost.
-
-
Kreirajte bezbednosnu grupu za tim za usaglašenost, a zatim dodajte bezbednosnu grupu u grupu Vlasnici u centru za e-otkrivanje ili centru za smernice za usaglašenost.
-
Da biste pokrenuli DLP upite, potrebne su dozvole za prikaz za sav sadržaj koji će upit tražiti – više informacija potražite u članku Kreiranje DLP upita u sistemu SharePoint Server 2016.
