Aby zapewnić zgodność ze standardami biznesowymi i przepisami branżowymi, organizacje muszą chronić informacje poufne i zapobiegać ich niezamierzonemu ujawnianiu. Przykłady informacji poufnych, które mogą zapobiegać wyciekom poza twoją organizacją, to dane finansowe lub dane umożliwiające identyfikację użytkownika, takie jak numery kart kredytowych, numery PESEL lub numery identyfikatorów krajowych. Dzięki zasadom ochrony przed utratą danych (DLP) w programie SharePoint Server 2016 możesz identyfikować, monitorować i automatycznie chronić poufne informacje w zbiorach witryn.
Dzięki zasadom DLP możesz:
-
Utwórz zapytanie DLP, aby określić, jakie poufne informacje teraz istnieją w zbiorach witryn. Przed utworzeniem zasad DLP warto sprawdzić, z jakiego typu informacjami poufnymi pracują osoby w organizacji i które zbiory witryn zawierają te informacje poufne. Zapytanie DLP pozwala znaleźć informacje poufne, które podlegają wspólnym regulacjom branżowym, lepiej zrozumieć czynniki ryzyka oraz określić, co i gdzie są poufne informacje, które zasady ochrony przed nimi muszą chronić.
-
Utwórz zasady DLP, aby monitorować i automatycznie chronić poufne informacje w zbiorach witryn. Na przykład możesz skonfigurować zasady, które będą wyświetlać poradę dla użytkowników dotyczących zasad, jeśli zapisują dokumenty zawierające dane umożliwiające identyfikację użytkownika. Ponadto zasady mogą automatycznie blokować dostęp do tych dokumentów dla wszystkich oprócz właściciela witryny, właściciela zawartości i osoby, która jako ostatnia zmodyfikował dokument. I wreszcie, ponieważ nie chcesz, aby zasady DLP uniemożliwiały innym osobom pracę, porada o zasadach może zastąpić akcję blokowania, dzięki czemu inne osoby będą nadal mogą pracować z dokumentami, jeśli będą mieć uzasadnienie biznesowe.
Szablony DLP
Tworząc zapytanie DLP lub zasady DLP, możesz wybrać szablon z listy szablonów ochrony przed zasadami ochrony przed prywatnością, które odpowiadają wspólnym wymogom prawa. Każdy szablon DLP identyfikuje określone typy informacji poufnych, na przykład szablon o nazwie Dane umożliwiające identyfikację użytkownika (PII) informacji osobistych Stanów Zjednoczonych identyfikujący zawartość, która zawiera numery paszportów Stanów Zjednoczonych i Wielkiej Brytanii, numery identyfikacyjne identyfikacji podatkowej (ITIN) lub numery peselowe Stanów Zjednoczonych.
Typy informacji poufnych
Zasady DLP pomagają chronić informacje poufne, zdefiniowane jako typ informacji poufnych. SharePoint Server 2016 zawiera definicje wielu popularnych typów informacji poufnych, gotowych do użycia, takich jak numer karty kredytowej, numery kont bankowych, numery identyfikacyjne kraju czy numery paszportu.
Gdy zasady DLP wyszukuje poufny typ informacji, na przykład numer karty kredytowej, nie po prostu wyszukuje numeru 16-cyfrowego. Każdy typ informacji poufnych jest definiowany i wykrywany przy użyciu kombinacji:
-
Słowa kluczowe
-
Funkcje wewnętrzne do sprawdzania poprawności testów lub układu
-
Ocena wyrażeń regularnych w celu znalezienia dopasowania do wzorców
-
Inne treści
Ułatwia to wykrywanie ochrony przed zagrożeniami DLP w celu uzyskania wysokiej dokładności przy jednoczesnym ograniczeniu liczby wyników fałszywie dodatnich, które mogą przerwać pracę innych osób.
Każdy szablon zasad DLP wyszukuje co najmniej jeden typ informacji poufnych. Aby uzyskać więcej informacji na temat działania poszczególnych typów informacji poufnych, zobacz Typy informacji poufnych w programie SharePoint Server 2016.
Ten szablon zasad DLP... |
Wyszukuje informacje tego typu... |
---|---|
Dane umożliwiające identyfikację użytkownika (PII) |
Numer paszportu obowiązujący w Stanach Zjednoczonych / Zjednoczonym Królestwie Numer identyfikacyjny identyfikacji indywidualnej (ITIN) Stanów Zjednoczonych Numer SSN (U.SSN) |
U.S. Gramm-Leach-Bliley Act (GLBA) |
Numer karty kredytowej Numer konta bankowego w Stanach Zjednoczonych Numer identyfikacyjny identyfikacji indywidualnej (ITIN) Stanów Zjednoczonych Numer SSN (U.SSN) |
PCI Data Security Standard (PCI DSS) |
Numer karty kredytowej |
Dane finansowe w Wielkiej Brytanii |
Numer karty kredytowej Numer karty debetowej UE Kod SWIFT |
Dane finansowe Stanów Zjednoczonych |
Numer routingu ABA Numer karty kredytowej Numer konta bankowego w Stanach Zjednoczonych |
Dane umożliwiające identyfikację użytkownika (PII) w Wielkiej Brytanii |
Numer NINO (National Insurance Number) Wielkiej Brytanii Numer paszportu obowiązujący w Stanach Zjednoczonych / Zjednoczonym Królestwie |
Amerykańska ustawa o ochronie danych |
Kod SWIFT Numer NINO (National Insurance Number) Wielkiej Brytanii Numer paszportu obowiązujący w Stanach Zjednoczonych / Zjednoczonym Królestwie |
Przepisy dotyczące prywatności i komunikacji elektronicznej w Wielkiej Brytanii |
Kod SWIFT |
Przepisy dotyczące poufności informacji dotyczące numeru PE PEŁ STANÓW ZJEDNOCZONYCH |
Numer SSN (U.SSN) |
Przepisy dotyczące powiadomień o naruszeniu zabezpieczeń (UA) |
Numer karty kredytowej Numer konta bankowego w Stanach Zjednoczonych Numer prawa jazdy w Stanach Zjednoczonych Numer SSN (U.SSN) |
Zapytania DLP
Przed utworzeniem zasad DLP warto sprawdzić, jakie informacje poufne już istnieją w zbiorach witryn. W tym celu możesz tworzyć i uruchamiać zapytania DLP w Centrum zbierania elektronicznych materiałów dowodowych.
Zapytanie DLP działa tak samo jak zapytanie zbierania elektronicznych materiałów dowodowych. Na podstawie tego, który szablon DLP wybierzesz, zapytanie DLP jest skonfigurowane do wyszukiwania konkretnych typów informacji poufnych. Najpierw wybierz lokalizacje, które chcesz przeszukać, a następnie możesz precyzyjnie dostosować zapytanie, ponieważ obsługuje ono język KQL (Keyword Query Language). Dodatkowo można zawęzić kwerendę, wybierając zakres dat, konkretnych autorów, SharePoint właściwości lub lokalizacje. Podobnie jak w przypadku kwerendy zbierania elektronicznych materiałów dowodowych, można wyświetlać podgląd, eksportować i pobierać wyniki zapytania.
Zasady DLP
Zasady DLP pomagają identyfikować, monitorować i automatycznie chronić informacje poufne, które podlegają wspólnym przepisom branżowym. Wybierasz typy informacji poufnych do ochrony i czynności, jakie należy podjąć w przypadku wykrycia zawartości zawierającej takie informacje poufne. Zasady DLP mogą powiadamiać inspektora zgodności, wysyłając raport o zdarzeniu, powiadamiać użytkownika o poradach dotyczących zasad w witrynie i opcjonalnie blokować dostęp do dokumentu wszystkim oprócz właściciela witryny, właściciela zawartości i osoby, która go ostatnio zmodyfikuje. Ponadto porada o zasadach zawiera opcję zastępowania akcji blokowania, aby inne osoby nadal mogą pracować z dokumentami, jeśli mają uzasadnienie biznesowe lub muszą zgłaszać wyniki fałszywie dodatnie.
Zasady DLP tworzysz i zarządzasz w Centrum zasad zgodności. Tworzenie zasad DLP jest procesem dwuetapowym: najpierw tworzysz zasady DLP, a następnie przypisujesz je do zbioru witryn.
Krok 1. Tworzenie zasad DLP
Podczas tworzenia zasad DLP wybierasz szablon DLP, który wyszukuje typy informacji poufnych do identyfikowania, monitorowania i automatycznej ochrony.
Gdy zasady DLP wyszukuje zawartość, która zawiera minimalną liczbę wystąpień określonego typu informacji poufnych , na przykład pięć numerów kart kredytowych lub jeden numer PESEL, zasady DLP mogą automatycznie chronić poufne informacje, uruchamiając następujące czynności:
-
Wysłanie raportu o zdarzeniu do osób, które wybierzesz (na przykład twojego inspektora zgodności), ze szczegółami zdarzenia. Ten raport zawiera szczegółowe informacje na temat wykrytej zawartości, takie jak tytuł, właściciel dokumentu i informacje poufne. Aby wysyłać raporty o incydentach, musisz skonfigurować ustawienia wychodzącej poczty e-mail w administracji centralnej.
-
Powiadamianie użytkownika o poradach dotyczących zasad w przypadku zapisania lub edytowania dokumentów zawierających informacje poufne. Porada z zasadami wyjaśnia, dlaczego dokument powoduje konflikt z zasadami DLP, dzięki czemu można podjąć działania naprawcze, takie jak usunięcie z dokumentu poufnych informacji. Gdy dokument jest zgodny, porada o zasadach zniknie.
-
Blokowanie dostępu do zawartości wszystkim oprócz właściciela witryny, właściciela dokumentu i osoby, która jako ostatnia zmodyfikował dokument. Te osoby mogą usunąć poufne informacje z dokumentu lub podjąć inne działania naprawcze. Gdy dokument będzie zgodny, oryginalne uprawnienia zostaną automatycznie przywrócone. Ważne jest, aby zrozumieć, że porada o zasadach umożliwia użytkownikom zastąpienie akcji blokowania. Porady dotyczące zasad pomagają w edukacji użytkowników w zakresie zasad DLP i wymuszaniu ich bez uniemożliwiania wykonywania pracy przez użytkowników.
Krok 2. Przypisywanie zasad DLP
Po utworzeniu zasad DLP należy je przypisać do jednego lub kilku zbiorów witryn, w których mogą one zacząć chronić poufne informacje w tych lokalizacjach. Pojedyncze zasady można przypisywać do wielu zbiorów witryn, ale każde zadanie musi być tworzone pojedynczo.
Porady dotyczące zasad
Chcesz, aby osoby w Twojej organizacji, które pracują z informacjami poufnymi, zachować zgodność z zasadami DLP, ale nie chcesz, aby niepotrzebnie blokowały ich działania. W tym miejscu mogą pomóc porady dotyczące zasad.
Porada w zakresie zasad to powiadomienie lub ostrzeżenie, które pojawia się, gdy ktoś pracuje z zawartością, która powoduje konflikt z zasadami DLP — na przykład zawartość, na przykład skoroszyt programu Excel zawierający identyfikowalne dane osobowe i który jest zapisywany w witrynie.
Możesz skorzystać z porad dotyczących zasad, aby zwiększyć świadomość i ułatwić pomaganie osobom w edukacji w zakresie zasad organizacji. Porady dotyczące zasad zapewniają również użytkownikom możliwość zastępowania zasad, dzięki czemu nie będą blokowane w przypadku, gdy mają prawidłowe potrzeby biznesowe lub jeśli zasady wykryją wynik fałszywie dodatni.
Wyświetlanie lub zastępowanie porady dotyczącej zasad
Aby podjąć działania dotyczące dokumentu, takie jak zastąpienie zasad DLP lub zgłaszanie wyników fałszywie dodatnich, możesz wybrać menu Otwórz ... dla elementu > Wyświetl poradę o zasadach.
Porada dotyczących zasad zawiera listę problemów z zawartością. Możesz wybrać pozycję Rozwiąż, a następnie pozycję Zastąp poradę zasad lub Zgłoś wynik fałszywie dodatni.
Szczegółowe informacje o tym, jak działają porady dotyczące zasad
Pamiętaj, że zawartość może być dopasowana do więcej niż jednej zasady DLP, ale będzie wyświetlana tylko porada w zakresie zasad z najbardziej restrykcyjnych i o najwyższym priorytecie. Na przykład porada w zakresie zasad DLP, która blokuje dostęp do zawartości, będzie wyświetlana na poradach zasad regułach, które po prostu powiadomią użytkownika. Zapobiega to kaskadowemu tworzeniu się porad dotyczących zasad. Ponadto jeśli porady dotyczące zasad w najbardziej restrykcyjnych zasadach umożliwiają użytkownikom zastępowanie tych zasad, zastąpienie tych zasad zastępuje również wszelkie inne zasady, które pasują do zawartości.
Zasady DLP są synchronizowane z witrynami, a zawartość jest sprawdzana względem nich okresowo i asynchronicznie (zobacz następną sekcję), dlatego może wystąpić krótkie opóźnienie między czasem tworzenia zasad DLP a czasem rozpoczęcia przeglądania porad dotyczących zasad.
Jak działają zasady DLP
Rozwiązanie DLP wykrywa informacje poufne za pomocą szczegółowej analizy zawartości (nie tylko prostego skanowania tekstu). W tej dogłębnej analizie zawartości są używane dopasowania słów kluczowych, oceny wyrażeń regularnych, funkcji wewnętrznych i innych metod wykrywania zawartości, która jest taka, jak w przypadku zasad DLP. Potencjalnie tylko niewielka część danych jest uznawana za poróżnianą. Zasady DLP mogą identyfikować, monitorować i automatycznie chronić te dane bez utrudniania i wpływu na osoby, które pracują z pozostałą zawartością.
Po utworzeniu zasad DLP w Centrum zasad zgodności są one przechowywane jako definicja zasad w tej witrynie. Następnie podczas przypisywania zasad do różnych zbiorów witryn zasady są synchronizowane z tymi lokalizacjami, w których zaczyna ona oceniać zawartość i wymuszać akcje, takie jak wysyłanie raportów o incydentach, wyświetlanie porad dotyczących zasad i blokowanie dostępu.
Ocena zasad w witrynach
We wszystkich zbiorach witryn dokumenty stale się zmieniają — są stale tworzone, edytowane, udostępniane i tak dalej. Oznacza to, że dokumenty mogą być w dowolnym momencie w konflikcie lub być zgodne z zasadami DLP. Na przykład osoba może przekazać do witryny zespołu dokument, który nie zawiera informacji poufnych, ale później inna osoba może edytować ten sam dokument i dodawać do niego informacje poufne.
Z tego powodu zasady DLP często sprawdzają dokumenty pod czyjąś zasadą w tle. Można to powiedzieć jako asynchroniczne ocenianie zasad.
Oto jak to działa. Gdy inne osoby dodają lub zmieniają dokumenty w swoich witrynach, wyszukiwarka skanuje zawartość, aby można było ją później wyszukać. W takim przypadku zawartość jest też skanowana w celu odszukiwnia informacji poufnych. Wszelkie odnalezione informacje poufne są bezpiecznie przechowywane w indeksie wyszukiwania, dzięki czemu tylko zespół zgodności może uzyskać do nich dostęp, ale nie typowy użytkownicy. Wszystkie włączone zasady DLP są uruchamiane w tle (asynchronicznie), a także często wyszukuje zawartość, która jest taka jak zasada, i stosuje akcje w celu ich ochrony przed przypadkowymi wyciekami.
Na koniec dokumenty mogą być w konflikcie z zasadami DLP, ale mogą również być zgodne z zasadami DLP. Jeśli na przykład ktoś doda numery kart kredytowych do dokumentu, może to spowodować, że zasady DLP automatycznie blokują dostęp do dokumentu. Jeśli jednak ta osoba później usunie poufne informacje, akcja (w tym przypadku zablokowanie) zostanie automatycznie cofnięona podczas następnego oceny dokumentu pod względem zasad.
W przypadku zasad DLP jest szacowana dowolna zawartość, która może zostać zindeksowana. Aby uzyskać więcej informacji o domyślnych typach plików, zobacz Domyślne rozszerzenia nazw plików przeszukanych i typy plików analizowanych.
Wyświetlanie zdarzeń DLP w dziennikach użycia
Działanie zasad DLP można wyświetlać w dziennikach użycia na serwerze z uruchomionym SharePoint Server 2016. Można na przykład wyświetlić tekst wprowadzony przez użytkowników, gdy zastępują poradę zasad lub zgłaszają wynik fałszywie dodatni.
Najpierw musisz włączyć opcję Administracja centralna (centrum administracyjne > Konfigurowanie użycia i kondycji danych gromadzenia danych > użyciu zdarzeń prostego dziennika Data_SPUnifiedAuditEntry). Aby uzyskać więcej informacji na temat rejestrowania użycia, zobacz Konfigurowanie zbierania danych dotyczących użycia i kondycji.
Po włączeniu tej funkcji możesz otwierać raporty użycia na serwerze i wyświetlać ich justowania w celu zastępowania porady dotyczącej zasad DLP oraz innych zdarzeń ochrony przed zasadami DLP.
Przed rozpoczęciem pracy z zasadą DLP
W tym temacie przedstawiono niektóre funkcje, od których zależy funkcja DLP. Są to, między innymi:
-
Aby wykrywać i klasyfikować informacje poufne w zbiorach witryn, uruchom usługę wyszukiwania i zdefiniuj harmonogram przeszukiwania zawartości.
-
Włącz wychodzącą pocztę e-mail.
-
Aby wyświetlić zmiany użytkowników i inne zdarzenia DLP, włącz raport użycia.
-
Utwórz zbiory witryn:
-
W przypadku zapytań DLP utwórz zbiór witryn Centrum zbierania elektronicznych materiałów dowodowych.
-
W przypadku zasad DLP utwórz zbiór witryn Centrum zasad zgodności.
-
-
Utwórz grupę zabezpieczeń dla swojego zespołu zgodności, a następnie dodaj grupę zabezpieczeń do grupy Właściciele w Centrum zbierania elektronicznych materiałów dowodowych lub Centrum zasad zgodności.
-
Do uruchamiania zapytań DLP są wymagane uprawnienia do wyświetlania całej zawartości, która będzie wyszukiwana przez zapytanie. Aby uzyskać więcej informacji, zobacz Tworzenie zapytania DLP w programie SharePoint Server 2016.