Alla organisationer som vill följa företagsstandarder och branschföreskrifter måste kunna skydda känslig information och vidta åtgärder för att informationen inte ska röjas oavsiktligen. Exempel på känslig information som inte får läcka ut är ekonomisk information eller personligt identifierbar information, t.ex kreditkortsnummer, personnummer eller nationella ID-nummer. Du kan använda dataförlustskydd i form av en DLP-princip i SharePoint Server 2016 för att identifiera, övervaka och automatiskt skydda känslig information i webbplatssamlingar.
Med DLP kan du göra följande:
-
Skapa en DLP-fråga för att identifiera vilken känslig information som nu finns i dina webbplatssamlingar. Innan du skapar DLP-principer är det ofta bra att se vilka typer av känslig information som personer i organisationen arbetar med och vilka webbplatssamlingar som innehåller den här känsliga informationen. Med en DLP-fråga kan du söka efter känslig information som omfattas av vanliga branschföreskrifter, bättre förstå dina risker och avgöra vad och var den känsliga information som DLP-principerna måste skydda finns.
-
Skapa en DLP-princip för att automatiskt övervaka och skydda känslig information i webbplatssamlingar. Du kan t.ex. konfigurera en princip som visar ett principtips för användarna om de sparar dokument som innehåller personligt identifierbar information. Dessutom kan principen blockera åtkomst till dokumenten i fråga för alla utom webbplatsägaren, innehållsägaren och den som senast ändrade dokumentet. Och slutligen, eftersom ingen vill att DLP-principerna ska hindra användarna från att utföra sina arbetsuppgifter har principtipset ett alternativ för att åsidosätta blockeringen, så att användarna kan fortsätta arbeta med dokument om de har en affärsrelaterad motivering till detta.
DLP-mallar
När du skapar en DLP-fråga eller en DLP-princip kan välja du från en lista med DLP-mallar som motsvarar vanliga efterlevnadskrav. Varje DLP-mall identifierar en specifik typ av känslig information – mallen U.S. Personally Identifiable Information (PII) Data identifierar t.ex. innehåll som innehåller amerikanska och brittiska passnummer, Individual Taxpayer Identification Numbers (ITIN) eller amerikanska Social Security Numbers (SSN).
Typer av känslig information
En DLP-princip hjälper dig att skydda känslig information som definierats som olika typer av känslig information. SharePoint Server 2016 innehåller definitioner av vanliga typer av känslig information som är färdiga att använda, t.ex kreditkortsnummer, bankkontonummer, nationella ID-nummer och passnummer.
När en DLP-princip söker efter en typ av känslig information som exempelvis kreditkortsnummer, söker den inte bara efter ett nummer bestående av 16 siffror. Varje typ av känslig information definieras och identifieras genom en kombination av följande:
-
Nyckelord
-
Interna funktioner för att validera kontrollsummor eller sammansättning
-
Utvärdering av reguljära uttryck för att hitta mönstermatchningar
-
Andra innehållsgranskningar
Med hjälp av detta uppnås en hög grad av precision vid identifieringen samtidigt som antalet felaktiga resultat minskar, och därmed också antalet faktorer som fördröjer och påverkar det dagliga arbetet negativt.
Varje DLP-mall söker efter en eller flera typer av känslig information. Mer information om hur varje typ av känslig information fungerar finns i Vilka typer av känslig information letar SharePoint Server 2016 efter.
|
Den här DLP-mallen ... |
Söker efter följande typer av känslig information ... |
|---|---|
|
U.S. Personally Identifiable Information (PII) Data |
U.S. / U.K. Passport Number U.S. Individual Taxpayer Identification Number (ITIN) U.S. Social Security Number (SSN) |
|
U.S. Gramm-Leach-Bliley Act (GLBA) |
Kreditkortsnummer U.S. Bank Account Number U.S. Individual Taxpayer Identification Number (ITIN) U.S. Social Security Number (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Kreditkortsnummer |
|
U.K. Financial Data |
Kreditkortsnummer Betalkortsnummer (EU) SWIFT-kod |
|
U.S. Financial Data |
ABA-routningsnummer Kreditkortsnummer U.S. Bank Account Number |
|
U.K. Personally Identifiable Information (PII) Data |
U.K. National Insurance Number (NINO) U.S. / U.K. Passport Number |
|
U.K. Data Protection Act |
SWIFT-kod U.K. National Insurance Number (NINO) U.S. / U.K. Passport Number |
|
U.K. Privacy and Electronic Communications Regulations |
SWIFT-kod |
|
U.S. State Social Security Number Confidentiality Laws |
U.S. Social Security Number (SSN) |
|
U.S. State Breach Notification Laws |
Kreditkortsnummer U.S. Bank Account Number U.S. Driver's License Number U.S. Social Security Number (SSN) |
DLP-frågor
Innan du skapar några DLP-principer bör du kontrollera vilka typer av känslig information som redan finns i dina webbplatssamlingar. Gör detta genom att skapa och köra DLP-frågor i eDiscovery Center.
En DLP-fråga fungerar på samma sätt som en eDiscovery-fråga. DLP-frågan är konfigurerad för att söka efter särskilda typer av känslig information baserat på vilken DLP-mall du väljer. Välj först de platser du vill söka på och sedan kan du finjustera frågan eftersom den har stöd för KQL (Keyword Query Language). Du kan dessutom begränsa frågan genom att välja ett datumintervall, specifika författare, SharePoint värden eller platser. Precis som med en eDiscovery-fråga kan du förhandsgranska, exportera och ladda ned frågeresultaten.
DLP-principer
Med en DLP-princip kan du identifiera, övervaka och automatiskt skydda känslig information som omfattas av vanliga branschföreskrifter. Du väljer vilka typer av känslig information som ska skyddas och vilka åtgärder som ska vidtas när innehåll som innehåller sådan känslig information upptäcks. En DLP-princip kan meddela efterlevnadsombudet genom att skicka en incidentrapport, meddela användaren med ett principtips på webbplatsen och alternativt blockera åtkomst till dokumentet för alla utom webbplatsägaren, innehållsägaren och den som senast ändrade dokumentet. Slutligen har principtipset ett alternativ för att åsidosätta blockeringen, så att personer kan fortsätta att arbeta med dokument om de har en affärsre motivering till eller behöver rapportera en falsk positiv.
Du skapar och hanterar DLP-principer i Center för efterlevnadsprinciper. Att skapa en DLP-princip är en process i två steg: först skapar du DLP-principen och tilldelar sedan principen till en webbplatssamling.
Steg 1: Skapa en DLP-princip
När du skapar en DLP-princip kan välja du en DLP-mall som letar efter de typer av känslig information som vill identifiera, övervaka och skydda automatiskt.
När en DLP-princip hittar innehåll med minsta antalet fördefinierade förekomster av en viss typ av känslig information – du kan t.ex. ange fem kreditkortsnummer eller ett enda Social Security Number – kommer DLP-principen att skydda den känsliga informationen automatiskt genom att vidta följande åtgärder:
-
Skicka en incidentrapport till personer som du har utsett (t.ex ansvarig för uppfyllelse av myndighetskrav) med information om händelsen. Den här rapporten innehåller information om identifierat innehåll, t.ex. titel, dokumentets ägare och vilken typ av känslig information som påträffades. Om du vill skicka incidentrapporter måste du konfigurera inställningar för utgående e-post i Central Administration.
-
Meddela användare med ett principtips när dokument som innehåller känslig information sparas eller redigeras. Principtips innehåller förklaringar till varför dokumentet står i konflikt med en DLP-princip så att rätt personer kan vidta åtgärder, t.ex. stryka känslig information från dokumentet. När dokumentet uppfyller alla regler och föreskrifter försvinner principtipset.
-
Blockera åtkomst till innehållet för alla utom webbplatsägaren, dokumentets ägare och personen som senast ändrade dokumentet. De här personerna får stryka känslig information från dokumentet eller vidta andra åtgärder. När dokumentet uppfyller alla regler och föreskrifter återställs de ursprungliga behörigheterna automatiskt. Det är viktigt att vara medveten om att principtipset faktiskt ger användarna möjlighet att åsidosätta blockeringen. Principtips informerar användarna om DLP-principerna och tillämpar dem utan att detta hindrar personer från att utföra sina arbetsuppgifter.
Steg 2: Tilldela en DLP-princip
När du har skapat en DLP-princip måste du tilldela den till en eller flera webbplatssamlingar, och ange på vilka platser den ska börja skydda känslig information. En enda princip kan tilldelas till många olika webbplatssamlingar, men varje tilldelning måste göras i en separat operation.
Principtips
Självklart vill du att alla organisationen som arbetar med känslig information ska uppfylla reglerna som anges i DLP-principerna, men du vill heller inte skapa onödiga blockeringar som hindrar användarna från att sköta sina arbetsuppgifter. Det är här som principtipsen kommer in.
Ett principtips är ett meddelande eller en varning som visas när någon arbetar med innehåll som står i konflikt med en DLP-princip – t.ex. en Excel-arbetsbok som innehåller personligt identifierbar information och som har sparats på en webbplats.
Du kan använda principtipsen till att öka medvetenheten hos personalen och informera dem om organisationens principer. Principtipsen ger också användarna möjlighet att åsidosätta principer och blockeringar om de har affärsmässiga motiv eller om blockeringen skett på felaktiga grunder.
Visa eller åsidosätta ett principtips
Om du vill vidta åtgärder för ett dokument, t.ex. åsidosätta DLP-principen eller rapportera en felaktighet, kan du välja menyn Öppna... för objektet och sedan Visa principtips.
Principtipset visar alla problem som förknippas med innehållet och du kan då välja Lös och sedan Åsidosätta (för att kringgå begränsningar) eller Rapportera (om begränsningen skett på felaktiga grunder).
Information om hur principtips fungerar
Observera att innehållet kan matcha fler än en DLP-princip, men endast principtipset för den högst prioriterade principen visas. Till exempel kommer ett principtips från en DLP-princip som blockerar åtkomst till innehållet att få prioritet över en regel som endast meddelar användaren. Tack vare detta slipper användarna se en störtflod av principtips. Om principtipset i den mest restriktiva principen tillåter att användare får åsidosätta den principen, kommer ett sådant åsidosättande även att åsidosätta alla andra principer som reagerat på innehållet.
DLP-principerna synkroniseras med webbplatser och innehåll, och utvärderas mot dem med jämna mellanrum med en asynkron metod (se nästa avsnitt). Det kan alltså uppstå en kort fördröjning mellan när du skapar DLP-principen och innan principtipsen börjar visas.
Så här fungerar DLP-principer
DLP identifierar känslig information med hjälp av djup innehållsanalys (inte bara en enkel genomsökning av text). Den djupa innehållsanalysen använder matchningar mot nyckelord, utvärdering av reguljära uttryck, interna funktioner och andra metoder för att identifiera innehåll som matchar dina DLP-principer. Potentiellt sett är endast en liten procentandel av all information att betrakta som känslig. En DLP-princip kan automatiskt identifiera, övervaka och skydda endast dessa data, utan att hindra eller påverka personer som arbetar med resten av innehållet.
När du har skapat en DLP-princip i Center för efterlevnadsprinciper lagras den som en principdefinition på webbplatsen. När du tilldelar principen till olika webbplatssamlingar synkroniseras sedan principen med de platserna, där den börjar utvärdera innehåll och tillämpa åtgärder som att skicka incidentrapporter, visa principtips och blockera åtkomst.
Principutvärderingar på webbplatser
I alla webbplatssamlingar ändras är dokumenten i ständig förändring – de skapas, redigeras, delas och så vidare. Det innebär att dokumenten när som helst kan hamna i konflikt med eller bli kompatibla med en DLP-princip. En person kan t.ex. ladda upp ett dokument som inte innehåller någon känslig information på gruppwebbplatsen, men någon annan person kan givetvis redigera samma dokument vid ett senare tillfälle och lägga till känslig information i det.
Av den anledningen genomsöker DLP-principerna oavbrutet dokument i bakgrunden. Tänk på det som en sorts asynkron principutvärdering.
Så här fungerar det. När andra lägger till eller ändrar dokument på sina webbplatser söker sökmotor igenom innehållet så att du kan söka efter det senare. När detta händer genomsöks även innehållet efter känslig information. Känslig information som hittas lagras på ett säkert sätt i sökindexet, så att bara efterlevnadsteamet kan komma åt den, men inte vanliga användare. Varje DLP-princip som du har aktiverat körs i bakgrunden (asynkront), söker ofta efter innehåll som matchar en princip och tillämpar åtgärder för att skydda den från oavsiktliga läckor.
Avslutningsvis ska också nämnas att lika lätt som ett dokument kan hamna i konflikt med en DLP-princip kan det också bli kompatibelt. Om en person lägger till kreditkortsnummer i ett dokument kan det leda till att åtkomsten till dokumentet blockeras automatiskt av DLP-principen. Men om personen senare stryker den känsliga informationen tas begränsningen bort (i det här fallet blockeringen) automatiskt nästa gång dokumentet utvärderas mot principen.
DLP utvärderar allt innehåll som kan indexeras. Mer information om vilka filtyper som crawlas som standard finns i Filnamnstillägg som crawlas som standard och filtyper som analyseras.
Visa DLP-händelser i användningsloggar
Du kan se DLP-principernas aktiviteter i användningsloggarna för den server som kör SharePoint Server 2016. Du kan t.ex. visa den text som matats in av användarna när de har åsidosatt ett principtips eller rapporterat en felaktighet.
Först måste du aktivera alternativet i Central Administration (Övervakning > Konfigurera insamling av diagnostikdata > Simple Log Event Usage Data_SPUnifiedAuditEntry). Mer information om användningsloggning finns i Konfigurera insamling av diagnostikdata.
När du aktiverar den här funktionen kan du öppna användningsrapporter på servern och visa användarnas motiveringar till åsidosättanden av DLP-principtips tillsammans med andra DLP-händelser.
Innan du sätter igång med DLP
I det här avsnittet beskrivs några av de funktioner som DLP använder. De omfattar:
-
Starta söktjänsten och definiera ett crawlschema för innehållet, så att känslig information kan identifieras och klassificeras i webbplatssamlingar.
-
Aktivera utgående e-post.
-
Aktivera användningsrapporter för att kunna visa användarnas åsidosättanden och andra DLP-händelser.
-
Skapa webbplatssamlingar:
-
Skapa webbplatssamlingen eDiscovery Center DLP-frågor.
-
Skapa webbplatssamlingen Center för efterlevnadsprinciper för DLP-principer.
-
-
Skapa en säkerhetsgrupp för kompatibilitetsgruppen och lägg sedan till säkerhetsgruppen i ägargruppen i eDiscovery Center eller Center för efterlevnadsprinciper.
-
Om du vill köra DLP-frågor bör du visa behörigheter som krävs för allt innehåll som frågan genomsöker. Mer information finns i Skapa en DLP-fråga i SharePoint Server 2016.
