Обзор политик защиты от потери данных

Чтобы соблюдать бизнес-стандарты и отраслевые нормы, организациям необходимо защищать конфиденциальные данные от непреднамеренного разглашения. Такими конфиденциальными данными являются финансовые или личные сведения, например номера кредитных карт, номера социального страхования или медицинские записи. Политика защиты от потери данных (DLP) в Центр безопасности и соответствия требованиям Office 365 позволяет определять, отслеживать и автоматически защищать конфиденциальную информацию в Office 365.

Политика защиты от потери данных предоставляет следующие возможности:

  • Поиск конфиденциальных сведений в различных местах, таких как Exchange Online, SharePoint Online и OneDrive для бизнеса.

    Например, вы можете находить все документы с номерами кредитных карт, которые хранятся на любом сайте OneDrive для бизнеса, или же отслеживать только сайты OneDrive определенных пользователей.

  • Предотвращение случайного разглашения конфиденциальных данных

    Например, вы можете находить документы с данными медицинских карт, доступ к которым был предоставлен пользователям за пределами вашей организации, а потом автоматически блокировать к ним доступ или запрещать отправку соответствующих писем электронной почты.

  • Мониторинг и защита конфиденциальных данных в классических версиях Excel 2016, PowerPoint 2016 и Word 2016.

    Эти классические приложения Office 2016 поддерживают те же функции поиска конфиденциальных данных и применения политик защиты от потери данных (DLP), что и Exchange Online, SharePoint Online и OneDrive для бизнеса. Средства DLP ведут непрерывный мониторинг, когда пользователи предоставляют доступ к контенту в этих приложениях Office 2016.

  • Соблюдение пользователями нормативных требований, не требующее изменения рабочего процесса

    Вы можете рассказать пользователям о политиках защиты от потери данных и о том, что соответствие требованиям не будет мешать их работе. Например, если пользователь пытается предоставить доступ к документу, содержащему конфиденциальные сведения, политика защиты от потери данных может как отправить ему уведомление по электронной почте, так и вывести в контексте библиотеки документов подсказку, которая позволяет переопределить политику при наличии веской деловой причины. Такие же подсказки политики отображаются и в Outlook в Интернете, Outlook 2013 и более поздних версиях, Excel 2016, PowerPoint 2016 и Word 2016.

  • Просмотр отчетов DLP, где указывается контент, нарушающий ваши политики защиты от потери данных

    Чтобы оценить степень соответствия организации политике защиты от потери данных, можно изучить количество нарушений каждой политики и каждого правила за определенный период. Если политика DLP позволяет пользователю игнорировать подсказку и пометить ее как ложное срабатывание, вы также можете отслеживать соответствующие действия пользователей.

Для создания политик и управлениями ими используется страница "Защита от потери данных" в Центре безопасности и соответствия требованиям Office 365.

Страница "Защита от потери данных" в Центре безопасности и соответствия требованиям Office 365

Содержимое

Содержимое политики защиты от потери данных

Политика защиты от потери данных определяет следующее:

  • где нужно защищать контент (расположения, например сайты Exchange Online, SharePoint Online и OneDrive для бизнеса);

  • когда и как защищать данные с помощью правил, состоящих из следующих элементов:

    • условия применения правила к контенту (например, поиск только контента с номерами социального страхования, доступ к которому открыт для пользователей не из вашей организации);

    • действия, которые правило автоматически применяет при обнаружении контента, соответствующего заданным условиям (например, блокировка доступа к документу и отправка электронного уведомления пользователю и сотруднику, ответственному за обеспечение соответствия требованиям).

Вы можете использовать правило для соблюдения определенного требования защиты, а затем применить политику защиты от потери данных, чтобы сгруппировать распространенные требования к защите, например все правила, необходимые для соблюдения того или иного норматива.

Например, можно создать политику защиты от потери данных, которая помогает находить информацию, попадающую под действие акта о передаче и защите данных учреждений здравоохранения (HIPAA). Эта политика поможет защитить данные HIPAA на всех сайтах SharePoint Online и OneDrive для бизнеса (расположение), выявляя все документы с подобной конфиденциальной информацией, доступ к которым предоставлен пользователям не из вашей организации (условия), а затем блокируя доступ к этому документу и отправляя уведомление (действия). Эти требования хранятся в виде отдельных правил и группируются в политику защиты от потери данных, чтобы упростить управление и создание отчетов.

Схема с политикой защиты от потери данных, которая содержит расположения и правила

Расположения

С помощью политики защиты от потери данных можно искать и защищать конфиденциальные данные в Office 365 независимо от того, где они расположены: в Exchange Online, SharePoint Online или в OneDrive для бизнеса. Вы можете выбрать, что хотите защитить: все сайты SharePoint и учетные записи OneDrive, только определенные сайты и учетные записи или все почтовые ящики. Выбрать почтовые ящики отдельных пользователей пока невозможно.

Объекты, к которым можно применять политики защиты от потери данных

Правила

Правила применяют требования вашей организации к ее контенту. Политика содержит одно или несколько правил, а каждое правило состоит из условий и действий. При соблюдении заданных условий действия правила выполняются автоматически. Правила в каждой политике применяются последовательно, начиная с самых приоритетных.

Правила также позволяют уведомлять пользователей (с помощью подсказок политик и по электронной почте) и администраторов (с помощью отчетов об инцидентах, отправляемых по электронной почте) о том, что тот или иной элемент контента попал под действие правила.

Ниже перечислены и подробно описаны компоненты правила.

Разделы редактора правил DLP

Условия

Условия важны, так как они определяют, какие типы данных вас интересуют и когда следует предпринимать действие. Например, вы можете исключить из поиска элементы контента с номерами паспортов, содержащие десять или менее таких номеров и доступные людям за пределами организации.

Условия связаны с контентом, например с интересующими вас типами конфиденциальной информации, а также контекстом, таким как пользователи, которым предоставлен доступ к документу. С помощью условий можно назначать разные действия для разных уровней риска. Например, обмен конфиденциальными данными внутри организации представляет меньший риск и требует меньше действий, чем предоставление доступа к ним людям за ее пределами.

Список, содержащий доступные условия защиты от потери данных

С помощью доступных теперь условий можно определить следующее:

Типы конфиденциальных данных

Политика защиты от потери данных помогает защитить сведения, которые относятся к одному из типов конфиденциальной информации. Office 365 содержит определения для многих распространенных типов конфиденциальных данных из различных регионов. Эти определения готовы к использованию и включают номера кредитных карт, номера банковских счетов, национальные идентификационные номера и номера паспортов.

Список доступных типов конфиденциальной информации

Когда политика защиты от потери данных ищет конфиденциальные данные, например номер кредитной карты, она не просто ищет 16-значный номер. Каждый тип конфиденциальных данных определяется с помощью перечисленных ниже методов.

  • Ключевые слова

  • Внутренние функции для проверки контрольных сумм или структуры

  • Оценка регулярных выражений для выявления совпадений с шаблонами

  • Анализ прочего содержимого

Это помогает обеспечить высокую точность и снизить количество ложных срабатываний, которые могут помешать работе сотрудников.

Действия

Если содержимое соответствует условию правила, вы можете применить действия, чтобы автоматически защитить контент.

Список доступных действий DLP

В настоящее время доступны перечисленные ниже действия.

  • Блокировка доступа к контенту. В контексте содержимого сайта это означает блокирование доступа к документу для всех пользователей, кроме главного администратора семейства веб-сайтов, владельца документа и пользователя, внесшего последнего изменения. Эти пользователи могут удалить конфиденциальные сведения из документа или выполнить другие действия. Когда документ вновь будет соответствовать требованиям, исходные разрешения будут восстановлены автоматически. При блокировании доступа документ отображается в библиотеке на сайте со специальным значком подсказки политики.

    Подсказка политики, показывающая, что доступ к документу заблокирован

    Для электронной почты это действие запрещает отправку соответствующего сообщения. В зависимости от того, как настроено правило защиты от потери данных, отправитель получит отчет о недоставке либо (если в правиле настроено уведомление) подсказку политики и/или уведомление по электронной почте.

    Предупреждение о том, что из сообщения необходимо удалить неавторизованных получателей

Уведомления и переопределения пользователей

С помощью уведомлений и переопределений вы можете рассказать пользователям о политиках защиты от потери данных и о том, что соответствие требованиям не будет мешать их работе. Например, если пользователь пытается предоставить доступ к документу, содержащему конфиденциальные сведения, политика защиты от потери данных может как отправить ему уведомление по электронной почте, так и вывести в контексте библиотеки документов подсказку, которая позволяет переопределить политику при наличии веской деловой причины.

Разделы уведомлений и переопределений пользователей в редакторе правил DLP

Сообщение электронной почты может содержать уведомление для пользователя, который отправил контент, поделился им или внес в него последние изменения. Если речь идет о содержимом сайта, уведомление также может быть отправлено главному администратору семейства веб-сайтов и владельцу документа. Кроме того, вы можете добавить в уведомление электронной почты нужных получателей или удалить их оттуда.

Помимо отправки сообщения по электронной почте, уведомление пользователя сопровождается подсказкой политики:

  • в Outlook 2013 и более поздних версиях, а также в Outlook в Интернете;

  • для документов на сайте SharePoint Online или OneDrive для бизнеса;

  • в Excel 2016, PowerPoint 2016 и Word 2016, если документ хранится на сайте, подпадающем под действие политики защиты от потери данных.

В уведомлении, отправляемом по электронной почте, и подсказке политики объясняется, почему указанный элемент контента нарушает политику защиты от потери данных. Вы можете сделать так, чтобы уведомления и подсказки политики разрешали пользователям переопределить правило, сообщив о ложном срабатывании или указав обоснование. Это поможет вам рассказать пользователям о политиках защиты от потери данных и применять их, не мешая сотрудникам выполнять свою работу. Сведения об обходах политики и ложных срабатываниях также сохраняются для отчетов (см. раздел, посвященный отчетам DLP, ниже) и включаются в отчеты об инцидентах (см. следующий раздел), чтобы ответственный сотрудник регулярно мог просматривать эти данные.

Вот как выглядит подсказка политики в учетной записи OneDrive для бизнеса:

Подсказка политики для документа в учетной записи OneDrive

Отчеты об инцидентах

В случае совпадения с правилом вы можете отправить отчет с подробными сведениями об инциденте лицу, ответственному за соответствие требованиям (или любому другому пользователю). Отчет содержит информацию об объекте, попавшем под действие правила, фактическом элементе контента, а также имени пользователя, которым последним вносил в него изменения. Для сообщений электронной почты отчет также содержит в виде вложения исходное сообщение, для которого сработала политика защиты от потери данных.

Страница для настройки отчетов об инциденте

Группировка и логические операторы

Требования политик защиты от потери данных часто совсем просты: например, иногда достаточно защитить все данные, содержащие номера социального страхования. В других случаях данные, которые нужно защитить, определяются гораздо шире.

Например, для отбора данных, попадающих под действие акта о передаче и защите данных учреждений здравоохранения HIPAA (США), нужно найти:

  • данные, которые содержат определенные типы конфиденциальной информации, например номера социального страхования (SSN) или номера Управления по борьбе с наркотиками США (DEA);

    И

  • данные, которые определить сложнее, например записи об уходе за пациентом или описания оказанных медицинских услуг. Чтобы отобрать такие данные, потребуется выполнить поиск по большим спискам ключевых слов, например "Международной классификации болезней" (МКБ-9-КМ или МКБ-10-КМ).

Группировки и логические операторы (И, ИЛИ) помогают отобрать такие широко определяемые данные. При создании политики защиты от потери данных можно:

  • сгруппировать типы конфиденциальной информации;

  • выбрать логические операторы, применяемые к типам конфиденциальной информации внутри группы и к самим группам.

Выбор внутригруппового оператора

Для группы можно указать, должны ли быть выполнены все условия, чтобы правило сработало, или достаточно выполнения хотя бы одного из них.

Внутригрупповые операторы

Добавление группы

Вы легко можете добавить группу, содержащую собственные условия и внутригрупповые операторы.

Кнопка "Добавить группу"

Выбор межгруппового оператора

Для нескольких групп вы можете указать, должны ли выполняться условия во всех группах или только в одной из них, чтобы правило применялось к контенту.

Например, в стандартной политике акта HIPAA есть правило, в котором между группами используется оператор И. С его помощью отбираются данные, которые:

  • относятся к группе Идентификаторы личных сведений (содержат хотя бы один SSN ИЛИ номер DEA)

    И

  • к группе Медицинские термины (содержат хотя бы одно ключевое слово из МКБ-9-КМ ИЛИ МКБ-10-КМ).

Межгрупповые операторы

Приоритет обработки правил

При создании правил политики им назначается приоритет в порядке создания: первое правило получает наивысший приоритет, второе — второй и т. д. Приоритет правила можно изменить только путем его удаления и повторного создания.

Правила в порядке приоритета

При определении того, соответствует ли контент правилам, правила обрабатываются в порядке приоритета. Если содержимое соответствует нескольким правилам, применяется правило с самым строгим действием и самым высоким приоритетом. Например, если контент соответствует всем перечисленным ниже правилам, применяется правило 3, так как оно имеет наибольший приоритет из самых строгих правил:

  • Правило 1: только уведомляет пользователей

  • Правило 2: уведомляет пользователей, ограничивает доступ и разрешает переопределения

  • Правило 3: уведомляет пользователей, ограничивает доступ и не разрешает переопределения

  • Правило 4: только уведомляет пользователей

  • Правило 5: ограничивает доступ

  • Правило 6: уведомляет пользователей, ограничивает доступ и не разрешает переопределения

Обратите внимание на то, что все соответствия правилам регистрируются в журналах аудита и указываются в отчетах защиты от потери данных, хотя применяется только самое строгое правило.

Что касается подсказок политик, необходимо помнить следующее:

  • Будет показана только подсказка политики для самого строгого правила с самым высоким приоритетом. Например, подсказка политики для правила, блокирующего доступ к контенту, будет показана вместо подсказки для правила, которое только отправляет уведомление. Это позволяет избежать вывода сразу нескольких подсказок политики.

  • Если подсказки политики самого строгого правила разрешают пользователям обойти его, то при этом также будут переопределены все остальные правила, которым соответствует контент.

Настройка более или менее строгих правил

После создания и включения политик защиты от потери данных иногда могут возникать следующие проблемы:

  • Правилам соответствует слишком много содержимого, не являющегося конфиденциальным, то есть возникает слишком много ложных срабатываний.

  • Слишком мало содержимого, которое является конфиденциальным, соответствует правилам, то есть конфиденциальные сведения не защищаются.

Чтобы решить эти проблемы, вы можете настроить правила, изменив количество экземпляров и точность совпадений. Эти параметры можно задать для каждого типа конфиденциальной информации, который используется в правиле.

Число экземпляров

Это количество экземпляров конфиденциальной информации определенного типа, которые должны присутствовать в содержимом. Например, указанное ниже правило сработает, если в документе будет найдено от 1 до 9 уникальных номеров паспортов США или Соединенного Королевства.

Обратите внимание, что число экземпляров включает только уникальные совпадения типов конфиденциальной информации и ключевых слов. Например, если в сообщении электронной почты 10 раз упоминается один номер кредитной карты, это будет считаться одним совпадением.

Настроить количество экземпляров очень просто:

  • Чтобы правило было менее строгим, уменьшите минимум или увеличьте максимум. Вы также можете задать для параметра максимум значение любое, удалив число.

  • Чтобы сделать правило более строгим, увеличьте минимум.

Обычно для правил с небольшим количеством экземпляров (например, 1–9) используются менее строгие действия, такие как отправка уведомлений пользователям. Более строгие действия, например ограничение доступа к контенту без возможности переопределения, применяются для правил с большим количеством экземпляров (например, от 10).

Число экземпляров в редакторе правил

Точность совпадения

Как говорилось выше, каждый тип конфиденциальных данных определяется на основе свидетельств различного типа. Как правило, тип конфиденциальной информации определяется несколькими такими сочетаниями, которые называются шаблонами. Шаблон, который требует меньше свидетельств, имеет более низкую точность совпадения (вероятность), чем шаблон, требующий больше свидетельств. Дополнительные сведения о шаблонах и вероятностях, которые применяются для каждого из типов конфиденциальной информации, см. в статье Что позволяют искать типы конфиденциальной информации.

Например, тип конфиденциальной информации для номеров кредитных карт определяется двумя шаблонами:

  • Шаблон с вероятностью 65%, для которого требуются:

    • Число в формате номера кредитной карты.

    • Число, соответствующее контрольной сумме.

  • Шаблон с вероятностью 85%, для которого требуются:

    • Число в формате номера кредитной карты.

    • Число, соответствующее контрольной сумме.

    • Ключевое слово или дата окончания срока действия в правильном формате.

Эти значения вероятности (точности совпадения) можно использовать в правилах. Обычно для правил с низкой точностью совпадения используются менее строгие действия, такие как отправка уведомлений пользователям. Более строгие действия, например ограничение доступа к контенту без возможности переопределения, применяются для правил с высокой точностью совпадения.

Важно понимать, что при нахождении определенного типа конфиденциальной информации, например номера кредитной карты, возвращается только одно значение вероятности:

  • Если все совпадения соответствуют одному шаблону, возвращается его вероятность.

  • Если совпадают несколько шаблонов (т. е. существуют совпадения с разными значениями вероятности), возвращается более высокая вероятность, чем у каждого из шаблонов. На это важно обратить внимание. Например, если для кредитной карты совпали шаблоны с вероятностью 65 и 85%, для этого типа конфиденциальной информации возвращается точность совпадения более 90%, так как чем больше свидетельств, тем точнее определение.

Поэтому если вы хотите создать два взаимоисключающих правила для кредитных карт с точностью 65 и 85%, диапазоны точности совпадения будут такими: Первое правило получает только результаты для шаблона с вероятностью 65%. Второе правило получает по крайней мере один результат с вероятностью 85% и может получить результаты с более низкой вероятностью.

Два правила с разными диапазонами точности совпадения

По этой причине при создании правил с разной точностью совпадения соблюдайте следующие рекомендации:

  • Для самой низкой вероятности обычно используется одинаковое значение для полей минимум и максимум (не диапазон).

  • Для самой высокой вероятности, как правило, используется диапазон от нижнего значения вероятности до 100.

  • Промежуточные уровни вероятности обычно либо чуть выше самой низкой точности определения, либо чуть ниже самой высокой точности.

Использование метки в качестве условия в политике защиты от потери данных

Вы можете создать метку, а затем:

  • опубликовать ее, чтобы пользователи могли увидеть и вручную применить эту метку к контенту;

  • автоматически применить ее к контенту, соответствующему выбранным условиям.

Дополнительные сведения о метках см. в статье Общие сведения о метках.

Созданную метку можно использовать в качестве условия в политиках защиты от потери данных. Это может быть целесообразно в следующих ситуациях.

  • Вы опубликовали метку Конфиденциальная информация, чтобы сотрудники вашей организации могли вручную применять ее к конфиденциальным документам и электронной почте. Используя эту метку в качестве условия в политике защиты от потери данных, можно запретить предоставление доступа к контенту с меткой Конфиденциальная информация пользователям не из вашей организации.

  • Вы создали метку Альпийский дом для проекта с таким именем, а затем автоматически применили ее к контенту, содержащему ключевые слова "Альпийский дом". Используя эту метку в качестве условия в политике защиты от потери данных, можно показывать пользователям подсказку политики при попытке предоставления доступа к этому контенту пользователю не из вашей организации.

  • Вы опубликовали метку Налоговая информация, чтобы делопроизводитель мог вручную применять ее к соответствующему контенту. Используя эту метку в качестве условия в политике защиты от потери данных, можно выполнять поиск контента, который ее содержит, вместе с другими типами конфиденциальной информации, например идентификационными номерами налогоплательщиков (ITIN) или номерами социального страхования (SSN), применять действия защиты для контента с меткой Налоговая информация и получать подробные отчеты о действиях для политики защиты от потери данных на основе отчетов о защите от потери данных и данных журнала аудита.

  • Вы опубликовали метку Руководство высшего звена — конфиденциальная информация для почтовых ящиков Exchange и учетных записей OneDrive группы руководителей. Используя эту метку в качестве условия в политике защиты от потери данных, можно применять действия как хранения, так и защиты для одного подмножества контента и пользователей.

Используя метки в качестве условия в правилах защиты от потери данных, можно выборочно применять действия защиты для определенного набора контента, расположений или пользователей.

Использование меток в качестве условия

Связь с другими функциями

Контент, содержащий конфиденциальную информацию, допускает возможность применения нескольких функций.

  • Автоматическое применение метки и политика хранения могут применять действия хранения для этого контента.

  • Политика защиты от потери данных может применять действия защиты для этого контента. Для применения этих действий политика может требовать выполнения дополнительных условий помимо наличия метки у контента.

Схема функций, которые могут применяться к конфиденциальной информации

Обратите внимание: политика защиты от потери данных обеспечивает более широкие возможности для обнаружения, чем метка или политика хранения, примененная к конфиденциальной информации. Политика защиты от потери данных может применять действия защиты к контенту, содержащему конфиденциальную информацию, а в случае удаления конфиденциальной информации из контента отменять эти действия при следующей проверке контента. В то же время применение к контенту, содержащему конфиденциальную информацию, политики хранения или метки является однократным действием, которое не отменяется даже в случае удаления этой информации.

Используя метку в качестве условия в политике защиты от потери данных, к содержащему ее контенту можно применять действия как хранения, так и защиты. Контент, содержащий метку, можно воспринимать точно так же, как контент, содержащий конфиденциальную информацию, поскольку и метка, и тип конфиденциальной информации — это свойства, используемые для классификации контента, чтобы к нему могли применяться действия.

Схема политики защиты от потери данных, использующей метку в качестве условия

Простые и дополнительные параметры

При создании политики от защиты от потери данных можно выбрать простые или дополнительные параметры.

  • С помощью простых параметров можно легко создать простую политику защиты от потери данных, не создавая и не редактируя правила с помощью редактора.

  • С помощью дополнительных параметров можно настроить все аспекты применения политики в редакторе правил.

По сути, простые и дополнительные параметры работают по одному принципу: они применяют правила, состоящие из условий и действий. Разница заключается в том, что при работе с простыми параметрами не отображается редактор правил. Они позволяют быстро создать политику защиты от потери данных.

Простые параметры

Средства защиты от потери данных чаще всего используются для создания политик, которые предохраняют важную информацию от несанкционированного доступа к ней людей за пределами организации и реализуют соответствующие меры безопасности (например, блокируют доступ к контенту для определенных лиц, рассылают уведомления конечным пользователям и администраторам, а также позволяют проводить расследование происшествий). Инструменты защиты от потери данных позволяют исключить непреднамеренное раскрытие важных или конфиденциальных сведений.

Чтобы облегчить эту задачу, при создании политики защиты от потери данных можно использовать простые параметры. В этом режиме вы можете создать политику, в которой есть все необходимое, не прибегая к редактору правил.

Простые и дополнительные параметры DLP

Дополнительные параметры

Если вам необходимы расширенные настройки защиты от потери данных, используйте дополнительные параметры.

В этом режиме вам доступен редактор правил, в котором можно задать для каждого правила все возможные параметры, включая количество вхождений и точность совпадения (вероятность).

Чтобы быстро перейти к нужному разделу, выберите соответствующий элемент на верхней панели навигации редактора.

Меню навигации верхнего уровня редактора правил DLP

Шаблоны политики DLP

При создании политики защиты от потери данных сначала нужно понять, какие данные требуется обезопасить.Вы можете использовать в качестве основы шаблон, чтобы не создавать новый набор правил с нуля и не выяснять, какие типы информации должны быть включены по умолчанию. Затем вы можете добавить или изменить эти требования для точной настройки правила в соответствии с требованиями организации.

Заранее настроенный шаблон политики поможет выявлять определенные типы конфиденциальной информации, такие как данные HIPAA, PCI-DSS, Акта Грэма-Лича-Блили или даже персональные данные для конкретного региона. Чтобы упростить поиск и защиту распространенных типов конфиденциальной информации, включенные в Office 365 шаблоны политик уже содержат самые распространенные типы конфиденциальной информации, необходимые для начала работы.

Список шаблонов для политик защиты от потери данных с выделенным шаблоном для патриотического акта США

У вашей организации также могут быть собственные уникальные требования. В этом случае вы можете создать политику защиты от потери данных с нуля, выбрав параметр Настраиваемая политика. Настраиваемая политика создается с нуля и не содержит никаких готовых правил.

Постепенное внедрение правил защиты от потери данных с помощью тестового режима

При создании политик защиты от потери данных следует внедрять их постепенно, чтобы оценить их влияние и эффективность перед полноценным развертыванием. Например, нежелательно, чтобы новая политика защиты от потери данных случайно заблокировала доступ к тысячам документов, которые нужны пользователям в рабочих целях.

При создании политик защиты от потери данных с потенциально широким влиянием рекомендуется выполнить следующую последовательность действий:

  1. Начните работу в тестовом режиме без подсказок политики, а затем оцените влияние политики с помощью специальных отчетов защиты от потери данных и других связанных отчетов. В них содержатся сведения о количестве, расположении, типе и серьезности совпадений. Вы можете точнее настроить правила с учетом результатов. В тестовом режиме политики защиты от потери данных не влияют на работу сотрудников организации.

  2. Переключитесь в тестовый режим с уведомлениями и подсказками политики, чтобы начать знакомить пользователей с политиками соответствия требованиям и подготовить их к введению новых правил. На этом этапе можно также попросить пользователей сообщать о ложных срабатываниях, чтобы сделать правила еще точнее.

  3. Начните полное применение политик, чтобы действия в правилах применялись для защиты контента. Продолжайте отслеживать отчеты политики защиты от потери данных и все отчеты об инцидентах или уведомления, чтобы убедиться, что результаты соответствуют вашим потребностям.

Параметры для использования тестового режима и включения политики

Политику защиты от потери данных можно в любой момент отключить. При этом будут отключены все содержащиеся в ней правила. Кроме того, каждое из них можно отключить отдельно, изменив его статус в редакторе.

Параметры для отключения правила в политике

Отчеты политики защиты от потери данных

После создания и включения политик защиты от потери данных вам нужно будет убедиться, что они работают по плану и помогают обеспечивать соответствие требованиям. Отчеты политики защиты от потери данных позволяют быстро просмотреть число совпадений с политиками и правилами, а также количество ложных срабатываний и переопределений. Для каждого отчета можно отфильтровать эти совпадения по расположению, временному интервалу или даже конкретной политике, правилу или действию.

С помощью отчетов защиты от потери данных можно получить важные данные, а также:

  • сосредоточиться на определенных периодах времени и определить причины скачков и тенденций;

  • выявить бизнес-процессы, которые нарушают политики соответствия требованиям вашей организации;

  • определить влияние политик защиты от потери данных на работу вашей организации.

Кроме того, вы можете использовать отчеты для точной настройки применяемых политик защиты от потери данных.

Панель мониторинга отчетов в Центре безопасности и соответствия требованиям

Как работают политики защиты от потери данных

Политика определяет конфиденциальные сведения с помощью глубокого анализа содержимого (а не простого сканирования текста). Для выявления содержимого, нарушающего ваши политики защиты от потери данных, при углубленном анализе применяются ключевые слова, словарные совпадения, оценка регулярных выражений, внутренние функции и другие методы. Ожидается, что лишь небольшой процент данных будет считаться конфиденциальной информацией. Политика защиты от потери данных может выявлять, отслеживать и автоматически защищать только эти данные, не мешая работе пользователей с остальным контентом.

Синхронизация политик

После создания политики защиты от потери данных в Центре безопасности и соответствия требованиям она сохраняется в центральном хранилище политик, а затем синхронизируется с различными источниками контента, включая следующие:

  • Exchange Online, а оттуда — с Outlook в Интернете, а также с Outlook 2013 и более поздними версиями;

  • сайты OneDrive для бизнеса;

  • сайты SharePoint Online;

  • классические программы Office 2016 (Excel 2016, PowerPoint 2016 и Word 2016).

После синхронизации политики с нужными расположениями она начинает оценивать контент и применять действия.

Оценки политик на сайтах OneDrive для бизнеса и SharePoint Online

Документы на всех сайтов SharePoint Online и OneDrive для бизнеса постоянно меняются — их непрерывно создают, редактируют, совместно используют, перемещают и т. д. Это означает, что документы в любой момент могут нарушить политику защиты от потери данных или вновь начать соответствовать ей. Например, пользователь может выложить на сайт группы документ, не содержащий конфиденциальной информации, но затем другой сотрудник может изменить этот файл и добавить в него такие сведения.

По этой причине политики защиты от потери данных регулярно проверяют документы на совпадения с политиками в фоновом режиме. Это можно представить как асинхронную оценку политики.

Вот как это происходит. По мере того как пользователи добавляют или редактируют документы на своих сайтах, поисковая система сканирует содержимое, чтобы его можно было найти позже. В это время содержимое также сканируется на предмет наличия конфиденциальной информации и предоставленного к нему доступа. Все найденные конфиденциальные сведения безопасно хранятся в индексе поиска, чтобы они были доступны только команде соответствия требованиям, а не обычным пользователям. Каждая включенная политика защиты от потери данных работает в фоновом режиме (асинхронно), регулярно проверяя содержимое на совпадения с политикой и применяя действия для защиты этих сведений от непреднамеренного разглашения.

Схема, показывающая, как политика защиты от потери данных асинхронно оценивает содержимое

Наконец, документы могут не только нарушить политику защиты от потери данных, но и вновь начать соответствовать ей. Например, если пользователь добавляет в документ номера кредитных карт, политика защиты от потери данных может автоматически заблокировать доступ к документу. Но если затем пользователь удалит конфиденциальную информацию, примененное ранее действие (в этом случае блокировка) будет отменено при следующей оценки политики.

Политика оценивает любой индексируемый контент. Дополнительные сведения о типах файлов, которые проверяются по умолчанию, см. в статье Расширения имен файлов для обхода и анализируемые типы файлов по умолчанию в SharePoint Server 2013.

Оценка политик в Exchange Online, Outlook 2013 и более поздних версиях, а также Outlook в Интернете

Политика защиты от потери данных, в которой в качестве расположения указан Exchange Online, синхронизируется из Центр безопасности и соответствия требованиям Office 365 с Exchange Online, а затем — из Exchange Online с Outlook в Интернете, а также Outlook 2013 и более поздними версиями.

Когда пользователь создает сообщение в Outlook, его содержимое анализируется на соответствие политикам защиты от потери данных и пользователю предлагаются подсказки. После отправки сообщение сверяется с политиками в рамках обычного потока обработки почты. Кроме того, оно проверяется на соответствие правилам транспорта Exchange и политикам защиты от потери данных, созданным в Центре администрирования Exchange (дополнительные сведения см. в следующем разделе). Политики DLP проверяют как само сообщение, так и все вложения.

Оценка политик в классических приложениях Office 2016

Excel 2016, PowerPoint 2016 и Word 2016 поддерживают те же функции поиска конфиденциальной информации и применения политик защиты от потери данных, что и SharePoint Online и OneDrive для бизнеса. Эти приложения Office 2016 синхронизируют свои политики защиты от потери данных непосредственно из центрального хранилища политик, а затем непрерывно сверяют контент с политиками, когда пользователи работают с документами, открытыми с сайта, включенного в политику.

Оценка политики защиты от потери данных в Office 2016 не влияет на производительность программ и эффективность работы сотрудников с контентом. Если пользователь работает с большим документом или его компьютер занят, подсказка политики может появиться спустя несколько секунд.

Разрешения

Участникам группы обеспечения соответствия требованиям, которые будут создавать политики защиты от потери данных, потребуются разрешения для Центра безопасности и соответствия требованиям. По умолчанию администратор клиента имеет доступ к этому расположение и может предоставлять лицам, ответственным за соблюдение требований, и другим пользователям доступ к Центру, не предоставляя им все разрешения администратора клиента. Для этого рекомендуем сделать следующее:

  1. Создайте группу в Office 365 и добавьте в нее нужных сотрудников.

  2. Создайте группу ролей на странице Разрешения в Центре соответствия требованиям.

  3. Добавьте группу Office 365 в эту группу ролей.

Дополнительные сведения см. в статье Предоставление пользователям доступа к Центру безопасности и соответствия требованиям Office 365.

Эти разрешения необходимы только для создания и применения политики защиты от потери данных. Для применения политики не требуется доступ к контенту.

Командлеты для защиты от потери данных

Для использования большинства командлетов в Центре безопасности и соответствия требованиям нужно:

  1. Подключиться к Центру безопасности и соответствия требованиям Office 365 с помощью удаленной командной оболочки PowerShell.

  2. Использовать командлеты Центра безопасности и соответствия требованиям Office 365.

При этом отчетам защиты от потери данных требуются сведения из Office 365, в том числе из Exchange Online. По этой причине командлеты для этих отчетов доступны в оболочке Powershell Exchange Online, а не в Powershell Центра безопасности и соответствия требованиям. Поэтому для использования таких командлетов нужно:

  1. Подключиться к Exchange Online с помощью удаленной оболочки PowerShell.

  2. Использовать следующие командлеты для отчетов защиты от потери данных:

Дополнительные сведения

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×