For at overholde forretningsstandarder og branchebestemmelser skal organisationer beskytte følsomme oplysninger og forhindre utilsigtet videregivelse. Eksempler på følsomme oplysninger, som du måske gerne vil forhindre i at komme ud af en lækage uden for organisationen, omfatter finansielle data eller personidentificerbare oplysninger som f.eks. kreditkortnumre, personnumre eller nationale id-numre. Med en politik til forebyggelse af datatab (DLP) i SharePoint Server 2016 kan du identificere, overvåge og automatisk beskytte følsomme oplysninger på tværs af dine grupper af websteder.
Med DLP kan du:
-
Opret en DLP-forespørgsel for at identificere, hvilke følsomme oplysninger der nu findes i din gruppe af websteder. Før du opretter DLP-politikker, er det ofte nyttigt at se på, hvilke typer af følsomme oplysninger, som personer i din organisationen arbejder med, og hvilke grupper af websteder der indeholder disse følsomme oplysninger. Med en DLP-forespørgsel kan du finde følsomme oplysninger, som er underlagt fælles branchebestemmelser, bedre forstå dine risici og fastslå, hvilke følsomme oplysninger, der skal beskyttes af dine DLP-politikker, og hvor de er.
-
Opret en DLP-politik for at overvåge og automatisk beskytte følsomme oplysninger i dine grupper af websteder. Du kan f.eks. konfigurere en politik, der viser et politiktip til brugerne, hvis de gemmer dokumenter, der indeholder personlige oplysninger. Desuden kan politikken automatisk blokere adgangen til disse dokumenter for alle andre end ejeren af webstedet, ejeren af indholdet og den person, der senest har ændret dokumentet. Og endelig, fordi du ikke vil have dine DLP-politikker til at forhindre folk i at få deres arbejde udført, har politiktippen mulighed for at tilsidesætte blokeringen, så folk fortsat kan arbejde med dokumenter, hvis de har en forretningsmæssig begrundelse.
DLP-skabeloner
Når du opretter en DLP-forespørgsel eller en DLP-politik, kan du vælge på en liste over DLP-skabeloner, der svarer til almindelige lovmæssige krav. Hver DLP-skabelon identificerer bestemte typer af følsomme oplysninger – f.eks. den skabelon, der hedder USA Personidentificerbare oplysninger (PII) identificerer indhold, der indeholder amerikanske og britiske pasnumre, amerikanske id-numre (ITIN) eller amerikanske CPR-numre (SSN).
Typer af følsomme oplysninger
En DLP-politik hjælper med at beskytte følsomme oplysninger, der er defineret som en følsom oplysningstype. SharePoint Server 2016 indeholder definitioner på mange almindelige typer af følsomme oplysninger, der er klar til brug, f.eks. et kreditkortnummer, bankkontonumre, nationale id-numre og pasnumre.
Når en DLP-politik søger efter en type af følsomme oplysninger, f.eks. et kreditkortnummer, søger den ikke blot efter et 16-cifret nummer. Hver type af følsomme oplysninger defineres og registreres ved hjælp af en kombination af:
-
Nøgleord
-
Interne funktioner til at validere kontrolsummer eller sammensætning
-
Evaluering af regulære udtryk til at finde mønstre
-
Anden undersøgelse af indhold
Dette hjælper DLP-registrering med at opnå en høj grad af nøjagtighed, mens antallet af falske positive, der kan forhindre personers arbejde, reduceres.
Hver DLP-skabelon søger efter en eller flere typer af følsomme oplysninger. Du kan finde flere oplysninger om, hvordan hver type af følsomme oplysninger virker, under Hvad typerne af følsomme oplysninger i SharePoint Server 2016 søger efter.
|
Denne DLP-skabelon ... |
Søger efter disse typer af følsomme oplysninger ... |
|---|---|
|
USA Personidentificerbare oplysninger (PII)-data |
USA/Storbritannien Pasnummer USA Skatteyderes id-nummer (ITIN) USA CPR-nummer (SSN) |
|
USA Gramm-Leach-Bliley Act (GLBA) |
Kreditkortnummer USA Bankkontonummer USA Skatteyderes id-nummer (ITIN) USA CPR-nummer (SSN) |
|
PCI Datasikkerhedsstandard (PCI DSS) |
Kreditkortnummer |
|
Storbritannien Finansielle data |
Kreditkortnummer EU-debetkortnummer SWIFT-kode |
|
USA Finansielle data |
ABA-registreringsnummer Kreditkortnummer USA Bankkontonummer |
|
Storbritannien Personidentificerbare oplysninger (PII)-data |
Storbritannien Nationalt forsikringsnummer (NINO) USA/Storbritannien Pasnummer |
|
Storbritannien Lov om databeskyttelse |
SWIFT-kode Storbritannien Nationalt forsikringsnummer (NINO) USA/Storbritannien Pasnummer |
|
Storbritannien Regler for beskyttelse af personlige oplysninger og elektronisk kommunikation |
SWIFT-kode |
|
USA Statslige love om hemmeligholdelse af personnummer |
USA CPR-nummer (SSN) |
|
USA Statslige love om meddelelse om sikkerhedsbrud |
Kreditkortnummer USA Bankkontonummer USA Kørekortnummer USA CPR-nummer (SSN) |
DLP-forespørgsler
Før du opretter dine DLP-politikker, ønsker du måske at se, hvilke følsomme oplysninger der allerede findes på tværs af dine grupper af websteder. For at gøre dette skal du oprette og køre DLP-forespørgsler i eDiscovery Center.
En DLP-forespørgsel fungerer på samme måde som en eDiscovery-forespørgsel. Afhængigt af, hvilken DLP-skabelon du vælger, er DLP-forespørgslen konfigureret til at søge efter bestemte typer af følsomme oplysninger. Først skal du vælge de placeringer, du vil søge i, og derefter kan du finjustere forespørgslen, da den understøtter KQL (Sprog til forespørgsel af nøgleord). Du kan desuden indskrænke forespørgslen ved at vælge et datoområde, bestemte forfattere, SharePoint-egenskabsværdier eller placeringer. Og på samme måde som en eDiscovery-forespørgsel kan du få vist et eksempel, eksportere og downloade resultaterne af forespørgslen.
DLP-politikker
En DLP-politik hjælper dig med at identificere, overvåge og automatisk beskytte følsomme oplysninger, der er underlagt fælles branchebestemmelser. Du vælger, hvilke typer følsomme oplysninger, der skal beskyttes, og hvilke handlinger, der skal udføres, når indhold, der inkluderer disse følsomme oplysninger, registreres. En DLP-politik kan underrette compliance officeren ved at sende en hændelsesrapport, informere brugere med en politiktip på webstedet og eventuelt blokere adgangen til dokumentet for alle, undtaget ejeren af webstedet, ejeren af indholdet og vedkommende, der senest har ændret dokumentet. Endelig giver politiktippet mulighed for at tilsidesætte blokeringen, så personer fortsat kan arbejde med dokumenter, hvis de har en forretningsberettigelse eller har brug for at rapportere en falsk positiv.
Du kan oprette og administrere DLP-politikker i Center til overholdelse af politik. Oprettelse af en DLP-politik er en proces i to trin: Først opretter du DLP-politikken, og derefter tildeler du den en gruppe af websteder.
Trin 1: Oprettelse af en DLP-politik
Når du opretter en DLP-politik, kan du vælge en DLP-skabelon, der søger efter typer af følsomme oplysninger, du automatisk vil identificere, overvåge og beskytte.
Når en DLP-politik finder indhold, der indeholder det mindste antal forekomster af en bestemt type af følsomme oplysninger, som du vælger – for eksempel fem kreditkortnumre eller et enkelt CPR-nummer – kan DLP-politikken automatisk beskytte de følsomme oplysninger ved at udføre følgende handlinger:
-
Sende en hændelsesrapport til de personer, du vælger (f.eks. din compliance officer) med oplysninger om begivenheden. Denne rapport indeholder oplysninger om det registrerede indhold, f.eks. titel, dokumentets ejer, og hvilke følsomme oplysninger der blev registreret. Hvis du vil sende hændelsesrapporter, skal du konfigurere indstillingerne for udgående mail i Central administration.
-
Underrette brugeren med et politiktip, når dokumenter, der indeholder følsomme oplysninger, gemmes eller redigeres. Politiktippet forklarer, hvorfor dokumentet er i konflikt med en DLP-politik, så folk kan gøre noget mod det ved f.eks. at fjerne de følsomme oplysninger fra dokumentet. Når dokumentet er i overensstemmelse med reglerne, forsvinder politiktip.
-
Blokere adgang til indholdet for alle, undtaget ejeren af webstedet, ejeren af dokumentet og den person, der senest har ændret dokumentet. Disse personer kan fjerne følsomme oplysninger fra dokumentet eller gøre noget andet ved det. Når dokumentet er i overensstemmelse med reglerne, gendannes de oprindelige tilladelser automatisk. Det er vigtigt at forstå, at politiktippet giver brugerne mulighed for at tilsidesætte blokeringen. Politiktippet kan således hjælpe med at informere brugerne om dine DLP-politikker og gennemtvinge dem uden at forhindre folk i at udføre deres arbejde.
Trin 2: Tildeling af en DLP-politik
Når du opretter en DLP-politik, skal du tildele den en eller flere grupper af websteder, hvor den kan begynde at hjælpe med at beskytte følsomme oplysninger på disse placeringer. En enkelt politik kan tildeles mange grupper af websteder, men de enkelte tildelinger skal oprettes en ad gangen.
Politiktip
Du ønsker, at de personer i din virksomhed, som arbejder med følsomme oplysninger, skal forblive i overensstemmelse med dine DLP-politikker, men du ønsker ikke at hindre dem unødigt i at udføre deres arbejde. Her kan politiktip hjælpe.
Et politiktip er en meddelelse eller en advarsel, der vises, når en person arbejder med indhold, som er i konflikt med en DLP-politik – såsom en Excel-projektmappe, der indeholder personidentificerbare oplysninger (PII), og som er gemt på et websted.
Du kan bruge politiktip til at skabe opmærksomhed og hjælpe med at informere personer om virksomhedens politikker. Politiktip giver også personer mulighed for at tilsidesætte politikken, så de ikke blokeres, hvis de har et begrundet forretningsbehov, eller hvis politikken registrerer en falsk positiv.
Visning eller tilsidesættelse af en politiktip
Hvis du vil reagere på et dokument ved f.eks. at tilsidesætte en DLP-politik eller rapportere en falsk positiv, kan du vælge menuen Åbn... for elementet > politiktip.
Politiktippet viser en liste over problemer med indholdet, og du kan vælge Løs og derefter tilsidesætte politiktippet eller rapportere en falsk positiv.
Oplysninger om, hvordan politiktip fungerer
Bemærk, at indhold kan matche mere end én DLP-politik, men kun politiktip fra den mest restriktive politik med højeste prioritet vises. Eksempelvis vises et politiktip fra en DLP-politik, der blokerer adgang til indhold, over et politiktip fra en regel, der blot giver brugeren besked. Dette forhindrer brugere i at se en kaskade af politiktip. Hvis politiktip i den mest restriktive politik tillader, at man tilsidesætter politikken, tilsidesætter tilsidesættelse af denne politik også andre politikker, som indholdet har matchet.
DLP-politikker er synkroniserede med websteder, og indhold evalueres mod dem med jævne mellemrum og asynkront (se næste afsnit), så der kan være en kort forsinkelse mellem det tidspunkt, du opretter DLP-politikken, og det tidspunkt, du kan begynde at se politiktip.
Sådan fungerer DLP-politikker
DLP registrerer følsomme oplysninger ved hjælp af omfattende analyse af indholdet (ikke kun en enkel tekstscanning). Denne omfattende indholdsanalyse bruger forekomster af nøgleord, evaluering af almindelige udtryk, interne funktioner og andre metoder til at registrere indhold, der svarer til dine DLP-politikker. Potentielt betragtes kun en lille procentdel af dine data som følsomme. En DLP-politik kan identificere, overvåge og automatisk udelukkende beskytte disse data uden at forhindre eller påvirke personer, som arbejder med resten af indholdet.
Når du har oprettet en DLP-politik i Center til overholdelse af politik, gemmes den som en politikdefinition på det pågældende websted. Når du derefter tildeler politikken til forskellige grupper af websteder, synkroniseres politikken til disse placeringer, hvor den begynder at evaluere indhold og gennemtvinge handlinger som f.eks. at sende hændelsesrapporter, vise politiktip og blokere adgang.
Evaluering af politikker på websteder
På tværs af alle dine grupper af websteder ændrer dokumenter sig hele tiden – de bliver konstant oprettet, redigeret, delt osv. Det betyder, at dokumenter når som helst kan skabe konflikter eller komme i overensstemmelse med en DLP-politik. Eksempelvis kan en person overføre et dokument, der ikke indeholder følsomme oplysninger til teamwebstedet, men senere kan en anden person redigere det samme dokument og føje følsomme oplysninger til det.
Derfor kontrollerer DLP-politikker jævnligt dokumenter for politikoverensstemmelse i baggrunden. Du kan betragte dette som asynkron politikevaluering.
Sådan fungerer det. Når personer tilføjer eller ændrer dokumenter på deres websteder, scanner søgemaskinen indholdet, så du kan søge efter det senere. Mens dette sker, scannes indholdet også for følsomme oplysninger. Alle fundne følsomme oplysninger gemmes sikkert i søgeindekset, så kun compliance-teamet har adgang til dem, men ikke almindelige brugere. Hver DLP-politik, som du har aktiveret, kører i baggrunden (asynkront) og kontrollerer regelmæssigt søgninger for alt indhold, der svarer til en politik, og iværksætter handlinger for at beskytte mod utilsigtede lækager.
Endelig kan dokumenter være i konflikt med en DLP-politik, men de kan også komme i overensstemmelse med en DLP-politik. Hvis en person f.eks. føjer kreditkortnumre til et dokument, kan det medføre, at en DLP-politik blokerer adgangen til dokumentet automatisk. Men hvis personen senere fjerner de følsomme oplysninger, fortrydes handlingen (i dette tilfælde blokeringen) automatisk, næste gang dokumentet evalueres i forhold til politikken.
DLP evaluerer alt indhold, der kan indekseres. Du kan finde flere oplysninger om, hvilke filtyper der registreres som standard i Standard for gennemsøgte filtypenavne og fortolkede filtyper.
Vis DLP-hændelser i statistiklogfiler
Du kan få vist DLP-politikaktivitet i forbrugslogfilerne på den server, der SharePoint Server 2016. Du kan f.eks. få vist den tekst, der er indtastet af brugere, når de tilsidesætter et politiktip eller rapporterer en falsk positiv.
Du skal først aktivere indstillingen i Central administration (Overvågning > Konfigurer indsamling af statistik- og tilstandsoplysninger > Enkel hændelse i statistiklogfil Data_SPUnifiedAuditEntry). Du kan finde flere oplysninger om brug af logføring i Konfigurer indsamling af statistik- og tilstandsoplysninger.
Når du har aktiveret denne funktion, kan du åbne statistikrapporter på serveren og få vist begrundelserne, som angives af brugere for at tilsidesætte et DLP-politiktip sammen med andre DLP-hændelser.
Før du går i gang med DLP
Dette emne beskriver nogle af de funktioner, som DLP afhænger af. Disse omfatter:
-
At registrere og klassificere følsomme oplysninger i dine grupper af websteder, starte søgetjenesten og definere en søgeplan til dit indhold.
-
Aktivér udgående mail.
-
For at få vist brugertilsidesættelser og andre DLP-hændelser skal du aktivere statistikrapporten.
-
Opret grupper af websteder:
-
Opret eDiscovery Center for gruppen af websteder til DLP-forespørgsler.
-
Opret Center til overholdelse af politik for gruppen af websteder til DLP-forespørgsler.
-
-
Opret en sikkerhedsgruppe for dit specialteam i overholdelse af regler og standarder, og føj derefter sikkerhedsgruppe til gruppen Ejere i eDiscovery Center eller Center til overholdelse af politik.
-
Hvis du vil køre DLP-forespørgsler, er det nødvendigt med visningstilladelser for alt indhold, der søges efter med forespørgslen – få mere at vide i Opret en DLP-forespørgsel i SharePoint Server 2016.
