Щоб дотримуватись галузевих стандартів і галузевих нормативних вимог, організації повинні захистити чутливу інформацію та запобігти її ненавмисно розголошенню. Приклади приватних відомостей, які можуть завадити витоку поза межами організації, включають фінансові дані або особисті дані, такі як номери кредитних карток, номери соціального страхування або національні ідентифікаційні номери. Завдяки політиці захисту від втрати даних (DLP) у SharePoint Server 2016 можна визначати, відстежувати та автоматично захищати особисті відомості в колекціях сайтів.
За допомогою DLP можна:
-
Створіть запит DLP, щоб визначити, які особисті відомості тепер існують у ваших колекціях сайтів. Перш ніж створювати політики DLP, часто корисно дізнатися, з якими типами особистих відомостей працюють користувачі у вашій організації, а які колекції сайтів містять ці особисті відомості. За допомогою запиту DLP ви можете знайти особисті відомості, що регулюють загальні галузеві нормативно-правові акти, краще розуміти свої ризики, а також визначити, що саме та де розташовано потрібні політики захисту від втрати даних.
-
Створіть політику DLP, щоб відстежувати та автоматично захищати в колекціях сайтів певні відомості. Наприклад, ви можете налаштувати політику, яка відображатиме підказку політики для користувачів, якщо вони збережуть документи з особистими даними. Крім того, політика може автоматично блокувати доступ до цих документів для всіх, крім власника сайту, власника вмісту та тих, хто востаннє змінив документ. І нарешті, оскільки ви не хочете, щоб політики DLP заборонили користувачам виконувати свою роботу, підказка політики може змінити дію блокування, щоб користувачі й надалі продовжили працювати з документами, якщо вони мають ділове підґрунтя.
Шаблони DLP
Створюючи запит DLP або політику DLP, ви можете вибрати шаблон зі списку шаблонів DLP, які відповідають поширеним нормативним вимогам. Кожен шаблон DLP визначає певні типи приватних відомостей, наприклад шаблон під назвою "Особисті дані США" (PII) ідентифікує вміст, який містить номери паспорта сша та сполученого Королівства Сша, ідентифікаційні номери окремих платників податків (ITIN) або номери соціального захисту (SSN), США.
Типи відомостей, що чутливі
Політика захисту від захисту від даних захищає особисті відомості, які визначається як тип делікаційної інформації. SharePoint Server 2016 містить визначення для багатьох поширених типів особистих відомостей, які можна використовувати, наприклад номер кредитної картки, номери банківських рахунків, національні ідентифікаційні номери та номери паспортів.
Коли політика DLP виявляє тип конфіденційності, як-от номер кредитної картки, вона не просто шукає 16-цифрний номер. Кожен тип особистої інформації визначається та виявляється поєднанням:
-
Ключові слова
-
Внутрішні функції для перевірки контрольних точок або складу
-
Обчислення регулярних виразів для пошуку відповідності шаблонів
-
Інша перевірка вмісту
Це допомагає виявити захист від захистом від даних, щоб досягти високої точності, зменшуючи кількість хибних позитивних результатів, які можуть переривати роботу працівників.
Кожен шаблон DLP шукає один або кілька типів чутливої інформації. Докладні відомості про те, як працює кожен тип особистої інформації, див. в статті Визначення типу SharePoint Server 2016.
|
Цей шаблон DLP... |
Виявляє такі типи відомостей: |
|---|---|
|
Особисті дані (PII) в США |
Номер паспорта, США та Сполучене Королівство Індивідуальний податковий номер (ITIN), США Номер соціального страхування (SSN), США |
|
Грем-Леах-Блілі (GLBA), США |
Номер кредитної картки Номер банківського рахунку, США Індивідуальний податковий номер (ITIN), США Номер соціального страхування (SSN), США |
|
Стандарт безпеки даних PCI (PCI DSS) |
Номер кредитної картки |
|
Фінансові дані, сша |
Номер кредитної картки Номер дебетової картки, ЄС Код SWIFT |
|
Фінансові дані, США |
Маршрутний код банку ABA Номер кредитної картки Номер банківського рахунку, США |
|
Дані особистих даних, які можна ідентифікувати в Сполученому Королівстві |
Номер національного страхування (NINO), Сполучене Королівство Номер паспорта, США та Сполучене Королівство |
|
Закон про захист даних у Сполученому Королівстві |
Код SWIFT Номер національного страхування (NINO), Сполучене Королівство Номер паспорта, США та Сполучене Королівство |
|
Правила щодо конфіденційності та електронних комунікацій у Сполученому Королівстві |
Код SWIFT |
|
Закони про конфіденційність номера соціального характеру в США |
Номер соціального страхування (SSN), США |
|
Закони про порушення прав штату США |
Номер кредитної картки Номер банківського рахунку, США Номер посвідчення водія, США Номер соціального страхування (SSN), США |
Запити DLP
Перш ніж створювати політики DLP, можна переглянути наявні в колекції сайтів відомості. Для цього потрібно створити й виконати запити DLP у Центрі витребування електронної інформації.
Запит DLP працює так само, як запит на витребування електронної даних. Залежно від вибраного шаблону DLP запит DLP налаштовано на пошук певних типів чутливих відомостей. Спочатку виберіть розташування, у яких потрібно виконати пошук, а потім можна точно настроїти запит, оскільки він підтримує мову запитів за ключовими словами (KQL). Крім того, запит можна звузити, вибравши діапазон дат, певних авторів, SharePoint значення властивостей або розташування. Так само, як і запит витребування електронної пошти, ви можете переглянути, експортувати та завантажити результати запиту.
Політики захисту від зламів даних
Політика захисту від захисту від даних допомагає визначати, відстежувати та автоматично захищати чутливу інформацію, що регулюється загальними галузевими нормами. Ви вибираєте типи чутливих відомостей для захисту та дії, які виконуватимуться, коли вміст, який містить таку особисту інформацію, виявляється. Політика DLP може сповістити відділу відповідності, надішліть звіт про інцидент, повідомити користувача підказку політики на сайті та за потреби заблокувати доступ до документа для всіх користувачів, крім власника сайту, власника вмісту та останнього користувача, який востаннє змінив документ. Зрештою, підказка політики може змінити дію блокування, щоб користувачі продовжили працювати з документами, якщо в них є ділове підґрунтя, або якщо їм потрібно повідомити про хибні результати.
Політики DLP можна створювати й керувати в Центрі політики відповідності. Процес створення політики DLP триває два кроки: спочатку потрібно створити політику DLP, а потім призначити політику колекції сайтів.
Крок 1. Створення політики DLP
Під час створення політики DLP вибираєте шаблон DLP, який шукає типи особистих відомостей, які потрібно визначити, відстежувати та автоматично захищати.
Коли політика захисту від даних знаходить вміст, який містить мінімальну кількість екземплярів певного типу вибраної вами особистої інформації (наприклад, п'ять номерів кредитних карток або єдиний номер соціального захисту), політика захисту від загроз може автоматично захистити особисті відомості, виконавши такі дії:
-
Надсилання звіту про інцидент вибраним користувачам (наприклад, адміністратору з перевірки відповідності) з докладними інформацією про подію. Цей звіт містить відомості про виявлений вміст, як-от назву, власника документа та виявлені особисті відомості. Щоб надсилати звіти про інциденти, потрібно настроїти параметри вихідної електронної пошти в Центрі адміністрування.
-
Сповіщати користувача з підказком політики про те, що документи, які містять особисті відомості, зберігаються або редагуються. Підказка політики пояснює, чому цей документ конфліктує з політикою DLP, щоб користувачі вжили заходів, зокрема видаливши з документа конфіденційні відомості. Якщо документ відповідає вимогам, зникнуть підказки політики.
-
Блокування доступу до вмісту для всіх користувачів , крім власника сайту, власника документа та особи, яка востаннє змінила документ. Ці користувачі можуть видалити конфіденційні відомості з документа або виконати інші засоби правового захисту. Якщо документ відповідає вимогам, вихідні дозволи відновлюються автоматично. Важливо розуміти, що підказка політики дає користувачам можливість змінити дію блокування. Завдяки порадам політики користувачі можуть навчати користувачів про політики DLP і примусити їх до виконання, не забороняють користувачам виконувати свою роботу.
Крок 2. Призначення політики DLP
Після створення політики DLP її потрібно призначити одній або книжковій колекції сайтів, де вона може почати захищати в цих розташуваннях. Одній політиці можна призначати багатьом колекціям сайтів, але кожне завдання потрібно створювати по одній.
Підказки політики
Ви хочете, щоб користувачі у вашій організації, які працюють з чутливими відомостями, залишатися відповідними, дотримувався політик DLP, але ви не хочете блокувати їх без потреби, щоб вони не видалили свою роботу. Тут можуть допомогти підказки політики.
Підказка політики – це сповіщення або попередження, яке з'являється, коли хтось працює із вмістом, який конфліктує з політикою DLP, наприклад вмістом, наприклад книгою Excel, яка містить особисті дані (PII) і зберігається на сайті.
Щоб підвищити обізнаність і навчиться користувачів про політики організації, можна скористатися порадами щодо політики. Підказки політики також дають користувачам можливість змінити політику, щоб вони не блокувалися, якщо вони мають дійсні ділові потреби або якщо політика виявляє хибні результати.
Перегляд або перезаписування підказки політики
Щоб виконати дію з документом, наприклад змінити політику DLP або повідомити про хибність, можна вибрати меню Відкрити ... для елемента > Переглянути підказку політики.
Підказка політики містить список проблем із вмістом, ви можете вибрати Вирішити, а потім змінити підказку політики або Повідомити про хибність.
Докладні відомості про принцип роботи підказок політики
Зверніть увагу, що вміст можна використовувати відповідно до кількох політик DLP, але відображатиметься лише підказка політики з найбільш обмежувальної політики з найвищим пріоритетом. Наприклад, підказка політики політики DLP, яка блокує доступ до вмісту, відображатиметься в підказці політики з правила, яке просто повідомляє користувача. У такому випадку користувачі не побачать каскадні підказки політики. Крім того, якщо підказки політики в найбільш обмеженій політиці дають змогу користувачам перевизначати політику, перезаписування цієї політики також перевизначає будь-які інші політики, які відповідають такій політиці.
Політики DLP періодично та асинхронно (див. наступний розділ), тому створення політики DLP може бути короткою затримкою між датою створення політики DLP та часом, коли почнуть з'явитися підказки політики.
Принцип роботи політик DLP
Технологія DLP виявляє в ньому певні відомості за допомогою глибокого аналізу вмісту (а не просто сканування тексту). У цьому глибокому аналізі вмісту використовуються збіги за ключовими словами, обчислення регулярних виразів, внутрішніх функцій та інших методів для виявлення вмісту, який відповідає політикам DLP. Потенційно лише невеликий відсоток даних вважається чутливим. Політика захисту від зв'язку може визначати, відстежувати та автоматично захищати лише ті дані, не впливаючи на користувачів, які працюють з рештою вашого вмісту.
Коли ви створите політику DLP у Центрі політики відповідності, вона зберігається як визначення політики на цьому сайті. Потім, коли ви призначате політику іншим колекціям сайтів, політика синхронізується з цими розташуваннями, де вона починає оцінювати вміст і примусово виконувати дії, наприклад надсилати звіти про інциденти, підказки політики та блокувати доступ.
Оцінювання політики на сайтах
У всіх колекціях сайтів документи постійно змінюються– вони постійно створюються, редагуються, спільно використовується тощо. Це означає, що документи можуть конфліктувати або дотримуватись політики DLP в будь-який час. Наприклад, користувач може передати документ, який не містить особистих відомостей на сайт групи, але згодом інший користувач може відредагувати той самий документ і додати до нього особисті відомості.
Тому політики DLP часто перевіряти документи на відповідність політикам у фоновому режимі. Це можна уявити як асинхронне обчислення політики.
Ось як це працює. Коли користувачі додають або змінюються документи на своїх сайтах, пошукова система сканує вміст, щоб його можна було знайти пізніше. Поки це відбувається, вміст також перевіряється на наявність чутливих відомостей. Усі чутливі відомості, що зберігаються в індексі пошуку, надійно зберігаються в індексі пошуку, щоб отримати до неї доступ лише команда, яка відповідає вимогам, але не типових користувачів. Кожна політика захисту від даних, яку ви ввімкнули, запускається у фоновому режимі (асинхронно), часто перевіряє наявність вмісту, який відповідає політиці, і застосовує дії, щоб захистити його від ненавмисного витоку.
Зрештою, документи можуть конфліктувати з політикою DLP, але вони також можуть дотримуватись політики DLP. Наприклад, якщо користувач додає номери кредитних карток до документа, політику DLP може блокувати автоматичний доступ до документа. Але якщо згодом користувач видаляє певні додаткові відомості, дія (у цьому випадку блокується) автоматично снайдено під час наступного обчислення документа відносно політики.
Служба DLP оцінює будь-який вміст, який можна проіндексувати. Докладні відомості про те, які типи файлів обходяться за замовчуванням, див. в описі Стандартні розширення імен обійменів і проаналіовані типи файлів.
Перегляд подій DLP у журналах використання
Переглянути дію політики DLP можна в журналах використання на сервері, на якому SharePoint Server 2016. Наприклад, можна переглянути текст, введений користувачами, коли вони перевизначають підказку політики або повідомляють про хибність додатного значення.
Спочатку потрібно ввімкнути параметр у Центрі адміністрування (моніторинг > настроювання збирання даних про справність і використання > подій за допомогою простих журналів Data_SPUnifiedAuditEntry). Докладні відомості про журналювання використання див. в сторінці Настроювання збирання даних про справність і використання.
Увімкнувши цю функцію, ви можете відкривати звіти про використання на сервері та переглядати підстави, надані користувачами для перезаписування підказок політики DLP, а також інші події DLP.
Перед початком роботи з DLP
У цій статті перелічено деякі функції, від яких залежить функція DLP. Деякі з цих можливостей наведено нижче.
-
Щоб виявляти та класифікувати певні відомості в колекціях сайтів, запустіть службу пошуку та визначте графік обходу для свого вмісту.
-
Увімкніть шахрайську електронну пошту.
-
Щоб переглянути перевизначені користувачем та інші події DLP, увімкніть звіт про використання.
-
Створення колекцій сайтів.
-
Для запитів DLP створіть колекцію сайтів Центру витребування електронної інформації.
-
Для політик DLP створіть колекцію сайтів Центру політик відповідності.
-
-
Створіть групу безпеки для групи відповідності, а потім додайте групу безпеки до групи "Власники" в Центрі витребування електронної інформації або Центрі політики відповідності.
-
Щоб виконати запити DLP, для всього вмісту, який виконуватиме запит, необхідні дозволи на перегляд. Докладні відомості див. в статті Створення запиту на SharePoint Server 2016.
