Поделиться через


Разработка политики защиты от потери данных

По истечении времени на разработку политики перед ее реализацией вы сможете быстрее получить нужные результаты, с меньшим количеством непреднамеренных проблем, чем ее создание, а затем настройка с помощью проб и ошибок. Задокументированные схемы политик также помогут вам в обмене данными, проверках политик, устранении неполадок и дальнейшей настройке.

Если вы не знакомы с Microsoft Purview DLP, полезно проработать следующие статьи, прежде чем приступать к разработке политики:

Совет

Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, которые вам понадобятся при реализации защиты от потери данных:

  1. Административные единицы
  2. Сведения о защите от потери данных в Microsoft Purview . Эта статья знакомит вас с дисциплиной защиты от потери данных и реализацией защиты от потери данных майкрософт.
  3. Планирование защиты от потери данных (DLP) — работая с этой статьей, вы:
    1. Определение заинтересованных лиц
    2. Описание категорий конфиденциальной информации для защиты
    3. Установка целей и стратегии
  4. Справочник по политике защиты от потери данных . В этой статье рассматриваются все компоненты политики защиты от потери данных и их влияние на поведение политики.
  5. Разработка политики защиты от потери данных . В этой статье (которая сейчас читается) описано, как создать инструкцию о намерениях политики и сопоставить ее с определенной конфигурацией политики.
  6. Создание и развертывание политик защиты от потери данных . В этой статье представлены некоторые распространенные сценарии намерений политики, которые сопоставляются с параметрами конфигурации, а затем приводятся инструкции по настройке этих параметров.
  7. Сведения об изучении оповещений о предотвращении потери данных . В этой статье вы узнаете о жизненном цикле оповещений с момента создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.

Общие сведения о проектировании политики

Разработка политики в основном заключается в четком определении бизнес-потребностей, их документировании в заявлении о намерениях политики, а затем сопоставлении этих потребностей с конфигурацией политики. Вы используете решения, принятые на этапе планирования, для информирования о некоторых решениях по проектированию политики.

Определение намерения для политики

Вы должны иметь возможность суммировать в одном операторе бизнес-намерения для каждой политики. Разработка этого заявления ведет диалоги в вашей организации, и при его полной конкретике это заявление напрямую связывает политику с бизнес-целью и предоставляет стратегию разработки политики. Инструкции, описанные в статье Планирование защиты от потери данных (DLP), помогут вам приступить к работе с заявлением о намерениях политики.

Помните, что, как описано в обзоре конфигурации политики защиты от потери данных, для всех политик защиты от потери данных требуется:

  • Выберите, что вы хотите отслеживать
  • Выберите область политики.
  • Выберите, где вы хотите отслеживать .
  • Выберите условия, которые должны соответствовать для применения политики к элементу.
  • Выберите действие, выполняеме при выполнении условий политики.

Например, ниже приведен вымышленный первый проект заявления о намерении, в котором содержатся ответы на все пять вопросов:

"Мы — организация, базирующаяся в США, и нам нужно обнаруживать документы Office, содержащие конфиденциальные медицинские сведения, хранящиеся в OneDrive/SharePoint, и защищать от этой информации в сообщениях чатов и каналов Teams, а также запретить всем предоставлять доступ к ним неавторизованным третьим лицам".

При разработке структуры политики вы, скорее всего, измените и расширите инструкцию.

Сопоставление бизнес-потребностей с конфигурацией политики

Давайте разберем пример инструкции черновика и сопоставим его с точками конфигурации политики защиты от потери данных. В этом примере предполагается, что вы используете неограниченную учетную запись администратора защиты от потери данных и что административные единицы не настроены.

Важно!

Убедитесь, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице , прочитайте статью Административные единицы , прежде чем начинать работу.

Statement Ответы на вопрос о конфигурации и сопоставление конфигурации
"Мы находимся в США, и нам нужно обнаруживать документы Office, которые содержат конфиденциальную информацию о здравоохранении, на которую распространяется HIPAA... - Что отслеживать: документы Office, используйте шаблон
- Закона о медицинском страховании США (HIPAA)Условия для соответствия: (предварительно настроенные, но редактируемые) - элемент содержит номер SSN и Агентства по борьбе с наркотиками США (DEA), Международная классификация заболеваний (ICD-9-CM), Международная классификация заболеваний (ICD-10-CM), содержимое предоставляется людям за пределами моей организации
. Ведет беседы, чтобы уточнить пороговое значение триггера для обнаружения, например,уровни достоверности и количество экземпляров (называется допуском утечки).
... которые хранятся в OneDrive или SharePoint и защищают от передачи этой информации в сообщениях чата и канала Teams... - Где отслеживать: определение области расположения путем включения или исключения сайтов OneDrive и SharePoint, а также учетных записей чатов и каналов Teams или групп рассылки. Область политики (предварительная версия): полный каталог
... и запретить всем пользователям делиться этими элементами с несанкционированными третьими лицами". - Действия для выполнения. Вы добавляетеограничение доступа или шифруете содержимое в расположениях
Microsoft 365. Ведет диалог о действиях, которые следует предпринять при активации политики, включая защитные действия, такие как ограничения общего доступа, действия по информированию, такие как уведомления и оповещения, и действия по расширению прав пользователей, такие как разрешить пользователям переопределения блокирующего действия.

Этот пример не охватывает все точки конфигурации политики защиты от потери данных. его потребуется расширить. Однако он должен заставить вас думать в правильном направлении при разработке собственных заявлений о намерениях политики защиты от потери данных.

Важно!

Помните, что выбранные расположения влияют на возможность использования типов конфиденциальной информации, меток конфиденциальности и меток хранения. Выбранные расположения также влияют на доступные действия. Дополнительные сведения см. в статье Справочник по политике защиты от потери данных .

Сложное проектирование правил

Приведенное выше содержимое HIPAA в SharePoint и OneDrive является простым примером политики защиты от потери данных. Построитель правил защиты от потери данных поддерживает логическую логику (AND, OR, NOT) и вложенные группы.

Важно!

  • Все существующие исключения заменяются условием NOT во вложенной группе внутри условий.
  • Чтобы использовать несколько операторов, необходимо создать группы.

Важно!

Если действие в классических клиентских приложениях Office (Word, Outlook, Excel и PowerPoint) соответствует политике, которая использует сложные условия, пользователь будет видеть только подсказки политики для правил, использующих условие Содержимое содержит конфиденциальную информацию .

  • Пример 1. Необходимо заблокировать сообщения электронной почты всем получателям, содержащим номера кредитных карт, ИЛИ с меткой конфиденциальности, но не блокировать сообщение, если оно отправлено от кого-то из финансовой команды [email protected]

  • В примере 2 компании Contoso необходимо заблокировать все сообщения электронной почты, содержащие защищенный паролем файл или расширение zip-файла ('zip' или '7z'), но не блокировать сообщения электронной почты, если получатель находится в домене contoso.com или домене fabrikam.com или отправитель является членом группы отдела кадров Contoso.

Важно!

  • Использование условия NOT во вложенной группе заменяет функциональные возможности исключений .
  • Чтобы использовать несколько операторов, необходимо создать группы.

Важно!

Если действие в классических клиентских приложениях Office (Word, Outlook, Excel и PowerPoint) соответствует политике, которая использует сложные условия, пользователь будет видеть только советы политик для правил, использующих условие Содержимое содержит конфиденциальную информацию .

Процесс разработки политики

  1. Выполните действия, описанные в статье Планирование защиты от потери данных (DLP). Для этого выполните следующие действия:

    1. Определение заинтересованных лиц
    2. Описание категорий конфиденциальной информации для защиты
    3. Установка целей и стратегии
    4. Определение плана развертывания политики
  2. Ознакомьтесь со справочником по политике защиты от потери данных , чтобы понять все компоненты политики защиты от потери данных и то, как каждая из них влияет на поведение политики.

  3. Ознакомьтесь с шаблонами политики защиты от потери данных.

  4. Разработайте заявление о намерениях политики с ключевыми заинтересованными лицами. См. пример, приведенный выше в этой статье.

  5. Определите, как эта политика вписывается в общую стратегию политики защиты от потери данных.

    Важно!

    Политики нельзя переименовать после их создания. Если необходимо переименовать политику, необходимо создать новую с нужным именем и снять с учета старую. Поэтому с самого начала определите структуру именования, которую будут использовать все политики.

  6. Сопоставьте элементы в инструкции намерения политики с параметрами конфигурации.

  7. Определите, с какого шаблона политики вы будете начинать: с предопределенного или настраиваемого.

  8. Перед созданием политики просмотрите шаблон и соберите все необходимые сведения. Скорее всего, вы обнаружите, что есть некоторые точки конфигурации, которые не охватываются инструкцией о намерениях политики. Порядок. Вернитесь к заинтересованным лицам, чтобы сгладить требования для всех отсутствующих точек конфигурации.

  9. Задокументируйте конфигурацию всех параметров политики и просмотрите их с заинтересованными лицами. Вы можете повторно использовать сопоставление инструкции намерения политики с точками конфигурации, которые теперь полностью конкретичены.

  10. Создайте черновик политики и вернитесь к плану развертывания политики .

См. также