Щоб дотримуватися стандартів бізнесу та галузевих норм, організаціям потрібно захистити конфіденційну інформацію та запобігти її ненавмисному розголошенню. Приклади конфіденційних відомостей, які можуть запобігати витоку за межами організації, включають фінансові дані або особисті дані (PII), наприклад номери кредитних карток, номери соціального страхування або національні ідентифікаційні номери. За допомогою політики захисту від втрати даних (DLP) на сервері SharePoint Server 2016 можна визначати, відстежувати та автоматично захищати конфіденційну інформацію в колекціях сайтів.
За допомогою DLP можна:
-
Створіть запит DLP, щоб визначити, які конфіденційні відомості тепер існують у ваших колекціях сайтів. Перш ніж створювати політики DLP, часто корисно дізнатися, з якими типами конфіденційної інформації працюють люди у вашій організації та які колекції сайтів містять цю конфіденційну інформацію. За допомогою запиту DLP можна знайти конфіденційну інформацію, яка підпадає під дію загальних галузевих правил, краще зрозуміти ризики та визначити, яку конфіденційну інформацію потрібно захистити політикам DLP.
-
Створіть політику DLP для відстеження та автоматичного захисту конфіденційної інформації в колекціях сайтів. Наприклад, ви можете налаштувати політику, яка відображає підказку політики для користувачів, якщо вони зберігають документи з особистою інформацією. Крім того, політика може автоматично заблокувати доступ до цих документів для всіх, крім власника сайту, власника вмісту та того, хто востаннє змінив документ. І, нарешті, оскільки ви не хочете, щоб ваші політики DLP заважали користувачам виконувати свою роботу, підказка політики може скасувати дію блокування, щоб користувачі могли продовжувати працювати з документами, якщо вони мають обґрунтування для бізнесу.
Шаблони DLP
Створюючи запит DLP або політику захисту від втрати даних, можна вибрати зі списку шаблонів DLP, які відповідають загальним нормативним вимогам. Кожен шаблон DLP визначає певні типи конфіденційної інформації, наприклад, шаблон з ім'ям Особисті дані корпорації США (PII) визначає вміст, який містить номери паспортів США та Великобританії, ідентифікаційні номери індивідуальних платників податків США (ITIN) або номери соціального страхування (SSN) США.
Типи конфіденційної інформації
Політика захисту від втрати даних допомагає захистити конфіденційну інформацію, яка визначається як конфіденційна інформація. SharePoint Server 2016 містить визначення багатьох поширених типів конфіденційної інформації, які можна використовувати, наприклад номер кредитної картки, номер банківського рахунку, національні ідентифікаційні номери та номери паспортів.
Коли політика DLP шукає конфіденційну інформацію, наприклад номер кредитної картки, вона не просто шукає 16-значний номер. Кожен тип конфіденційної інформації визначається та виявляється за допомогою комбінації:
-
Ключові слова
-
Внутрішні функції для перевірки контрольних сум або складу
-
Обчислення регулярних виразів для пошуку збігів шаблону
-
Перевірка іншого вмісту
Це допомагає виявити DLP, щоб досягти високого ступеня точності, зменшуючи кількість помилкових результатів, які можуть переривати роботу людей.
Кожен шаблон DLP шукає одну або кілька типів конфіденційної інформації. Докладні відомості про те, як працює кожен тип конфіденційної інформації, див. в статті Пошук типів конфіденційної інформації в SharePoint Server 2016.
|
Цей шаблон DLP... |
Пошук таких типів конфіденційної інформації... |
|---|---|
|
Особисті дані (PII) США |
Номер паспорта, США та Сполучене Королівство Індивідуальний податковий номер (ITIN), США Номер соціального страхування (SSN), США |
|
Закон США "Грам-Ліч-Блілі" (GLBA) |
Номер кредитної картки Номер банківського рахунку, США Індивідуальний податковий номер (ITIN), США Номер соціального страхування (SSN), США |
|
Стандарт безпеки даних PCI (PCI DSS) |
Номер кредитної картки |
|
Фінансові дані Сполученого Сполученого Королівство |
Номер кредитної картки Номер дебетової картки, ЄС Код SWIFT |
|
Фінансові дані США |
Маршрутний код банку ABA Номер кредитної картки Номер банківського рахунку, США |
|
Особисті дані (PII) Великобританії |
Номер національного страхування (NINO), Сполучене Королівство Номер паспорта, США та Сполучене Королівство |
|
Закон Сполученого Сполученого Штату про захист даних |
Код SWIFT Номер національного страхування (NINO), Сполучене Королівство Номер паспорта, США та Сполучене Королівство |
|
Правила щодо конфіденційності та електронних повідомлень у Сполученому Королівство |
Код SWIFT |
|
Закони США про конфіденційність номера соціального страхування |
Номер соціального страхування (SSN), США |
|
Закони США про сповіщення про порушення |
Номер кредитної картки Номер банківського рахунку, США Номер посвідчення водія, США Номер соціального страхування (SSN), США |
Запити DLP
Перш ніж створювати політики захисту від втрати даних, можна побачити, які конфіденційні відомості вже існують у ваших колекціях сайтів. Для цього потрібно створити та запустити запити DLP у Центрі витребування електронної інформації.
Запит DLP працює так само, як запит витребування електронної інформації. Залежно від того, який шаблон DLP вибрано, запит DLP настроєно на пошук певних типів конфіденційної інформації. Спочатку виберіть розташування, у якому потрібно виконати пошук, а потім можна настроїти запит, оскільки він підтримує мову запитів ключових слів (KQL). Крім того, ви можете звузити запит, вибравши діапазон дат, певних авторів, значення властивостей SharePoint або розташування. Так само, як і запит витребування електронної інформації, можна переглянути, експортувати та завантажити результати запиту.
Політики захисту від втрати даних
Політика захисту від втрати даних допомагає виявляти, відстежувати та автоматично захищати конфіденційну інформацію, яка регулюється загальними галузевими правилами. Ви вибираєте типи конфіденційної інформації для захисту та дії, які потрібно виконати, коли виявляється вміст із такою конфіденційною інформацією. Політика захисту від втрати даних може сповістити про це працівника служби відповідності, надіславши звіт про інцидент, сповістити користувача порадою щодо політики на сайті та за потреби заблокувати доступ до документа для всіх, крім власника сайту, власника вмісту та того, хто востаннє змінив документ. Нарешті, підказка політики має можливість скасувати дію блокування, щоб користувачі могли продовжувати працювати з документами, якщо мають ділове обґрунтування або повинні повідомити про помилковий результат.
Ви створюєте політики DLP і керуєте ними в Центрі політики відповідності. Створення політики DLP – це двоетапний процес: спочатку потрібно створити політику DLP, а потім призначити політику колекції сайтів.
Крок 1. Створення політики захисту від втрати даних
Створюючи політику DLP, ви вибираєте шаблон DLP, який шукатиме типи конфіденційної інформації, які потрібно ідентифікувати, відстежувати та автоматично захищати.
Коли політика DLP знаходить вміст, який містить мінімальну кількість екземплярів певної інформації, яку ви вибираєте ( наприклад, п'ять номерів кредитних карток або один номер соціального страхування), політика DLP може автоматично захистити конфіденційну інформацію, виконавши такі дії:
-
Надсилання звіту про інцидент вибраним людям (наприклад, вашому співробітнику з дотримання вимог) з відомостями про подію. Цей звіт містить відомості про виявлений вміст, наприклад заголовок, власника документа, а також важливі відомості. Щоб надсилати звіти про інциденти, потрібно настроїти параметри вихідної електронної пошти в Центрі адміністрування.
-
Сповіщення користувача підказкою політики під час збереження або редагування документів, які містять конфіденційну інформацію. У підказці політики пояснюється, чому цей документ конфліктує з політикою DLP, щоб користувачі могли виконати додаткові дії, наприклад видалити конфіденційну інформацію з документа. Коли документ відповідає вимогам, підказка політики зникає.
-
Блокування доступу до вмісту для всіх користувачів, крім власника сайту, власника документа та особи, яка востаннє змінила документ. Ці користувачі можуть видалити конфіденційну інформацію з документа або виконати інші дії, що виправляють. Коли документ відповідає вимогам, вихідні дозволи буде автоматично відновлено. Важливо розуміти, що підказка політики дає змогу перевизначити дію блокування. Завдяки підказкам політики користувачі можуть навчати користувачів про політики захисту від втрати даних і застосовувати їх, не забороняючи користувачам виконувати свою роботу.
Крок 2. Призначення політики захисту від втрати даних
Створивши політику DLP, потрібно призначити її одній або кількох колекціям сайтів, де вона може почати захищати конфіденційну інформацію в цих розташуваннях. Одній політиці можна призначити багато колекцій сайтів, але кожне завдання потрібно створити по одному.
Підказки політики
Ви хочете, щоб користувачі у вашій організації, які працюють з конфіденційною інформацією, відповідали вашим політикам захисту від втрати даних, але ви не хочете заборонити їм виконувати роботу. Тут можуть допомогти підказки політики.
Підказка політики – це сповіщення або попередження, яке з'являється, коли хтось працює з вмістом, який конфліктує з політикою DLP, наприклад вміст, наприклад книга Excel, яка містить особисті дані (PII), збережені на сайті.
За допомогою підказок політики можна підвищити рівень обізнаності та навчити користувачів політиці вашої організації. Поради з політики також дають змогу перевизначити політику, щоб вони не блокувалися, якщо в них є дійсні ділові потреби або якщо політика виявляє помилковий результат.
Перегляд або перевизначення підказки політики
Щоб виконати дії з документом, наприклад перевизначення політики DLP або надсилання помилкових результатів, можна вибрати меню Відкрити ... для елемента > Переглянути підказку політики.
У пораді політики перелічено проблеми з вмістом, і ви можете натиснути кнопку Вирішити, а потім перевизначити підказку політики або Повідомити про помилкове додатне значення.
Відомості про роботу підказок політики
Зверніть увагу, що вміст може відповідати більш ніж одній політиці DLP, але відображатиметься лише підказка політики, яка відповідає найбільш обмежувальній політиці з найвищим пріоритетом. Наприклад, підказка політики політики DLP, яка блокує доступ до вмісту, відображатиметься за порадою політики з правила, яке просто сповіщає користувача. Таким чином користувачі не з'ясують каскад підказок політики. Крім того, якщо поради політики в найбільш обмежувальній політиці дозволяють користувачам перевизначити політику, то перевизначення цієї політики також замінить будь-які інші політики, які відповідають вмісту.
Політики DLP синхронізуються із сайтами, а вміст обчислюється проти них періодично та асинхронно (див. наступний розділ), тому час створення політики DLP може бути короткою затримкою та часом, коли ви починаєте бачити підказки політики.
Принцип роботи політик DLP
Засіб DLP виявляє конфіденційну інформацію за допомогою глибокого аналізу вмісту (а не простого сканування тексту). У цьому глибокому аналізі вмісту використовуються збіги ключових слів, оцінка регулярних виразів, внутрішніх функцій та інших методів для виявлення вмісту, який відповідає політикам DLP. Потенційно лише невеликий відсоток даних вважається конфіденційним. Політика захисту від втрати даних може визначати, відстежувати та автоматично захищати лише ці дані, не перешкоджаючи людям, які працюють з рештою вмісту.
Після створення політики DLP у Центрі політики відповідності вона зберігається як визначення політики на цьому сайті. Після цього, коли ви призначаєте політику для різних колекцій сайтів, політика синхронізується з тими розташуваннями, де починає оцінювати вміст і застосовувати такі дії, як надсилання звітів про інциденти, відображення підказок політики та блокування доступу.
Оцінка політики на сайтах
У всіх колекціях сайтів документи постійно змінюються– вони постійно створюються, редагуються, діляться тощо. Це означає, що документи можуть конфліктувати або відповідати політиці захисту від втрати даних у будь-який час. Наприклад, користувач може передати документ, який не містить конфіденційної інформації, на сайт групи, але пізніше інший користувач може відредагувати той самий документ і додати до нього конфіденційну інформацію.
Тому політики DLP часто перевіряють документи на відповідність політиці у фоновому режимі. Це можна вважати асинхронним оцінюванням політики.
Ось як це працює. Коли користувачі додають або змінюють документи на своїх сайтах, пошукова система сканує вміст, щоб ви могли знайти його пізніше. Поки це відбувається, вміст також перевіряється на наявність конфіденційної інформації. Будь-яка знайдена конфіденційна інформація надійно зберігається в індексі пошуку, щоб отримати доступ до неї може тільки команда відповідності, але не звичайні користувачі. Кожна політика DLP, яку ви ввімкнули, працює у фоновому режимі (асинхронно), часто перевіряє вміст, який відповідає політиці, і застосовує дії, щоб захистити його від випадкових витоків.
Нарешті, документи можуть конфліктувати з політикою DLP, але вони також можуть відповідати політиці DLP. Наприклад, якщо користувач додає номери кредитних карток до документа, це може призвести до автоматичного блокування доступу до документа політикою DLP. Але якщо згодом користувач видалить конфіденційну інформацію, дія (у цьому випадку блокування) автоматично скасовується під час наступного оцінювання документа відповідно до політики.
Функція DLP обчислює будь-який вміст, який можна індексувати. Докладні відомості про типи файлів, які обходиться за замовчуванням, див. в статті Розширення імен файлів, обійдених за промовчанням, і проаналізовані типи файлів.
Перегляд подій DLP у журналах використання
Дії політики DLP можна переглянути в журналах використання на сервері, на якому запущено SharePoint Server 2016. Наприклад, ви можете переглянути текст, введений користувачами, коли вони перевизначають підказку політики або повідомляють про помилковий додатний результат.
Спочатку потрібно ввімкнути параметр Центру адміністрування (моніторинг > Настроїти збирання даних про використання та справність > Data_SPUnifiedAuditEntry використання простих подій журналу). Докладні відомості про журналювання використання див. в статті Настроювання збирання даних про використання та справність.
Після ввімкнення цієї функції можна відкрити звіти про використання на сервері та переглянути обґрунтування, надані користувачами для перевизначення підказки політики DLP разом з іншими подіями DLP.
Перш ніж почати роботу з DLP
У цій статті описано деякі функції, від яких залежить функція DLP. Деякі з цих можливостей наведено нижче.
-
Щоб виявляти й класифікувати конфіденційні відомості в колекціях сайтів, запустіть службу пошуку та визначте розклад обходу для вмісту.
-
Увімкніть вихідну електронну пошту.
-
Щоб переглянути зміни користувачів та інші події DLP, увімкніть звіт про використання.
-
Створення колекцій сайтів:
-
Для запитів DLP створіть колекцію сайтів Центру витребування електронної інформації.
-
Для політик DLP створіть колекцію сайтів Центру політики відповідності.
-
-
Створіть групу безпеки для своєї команди відповідності, а потім додайте групу безпеки до групи "Власники" в Центрі витребування електронної інформації або Центрі політики відповідності.
-
Щоб виконувати запити DLP, потрібні дозволи на перегляд для всього вмісту, який шукатиме запит. Докладні відомості див. в статті Створення запиту DLP на сервері SharePoint Server 2016.
