Návrh zásad ochrany před únikem informací

Když si uděláte čas na návrh zásady, než ji implementujete, dostanete se k požadovaným výsledkům rychleji a s menším počtem nezamýšlených problémů, než když ji vytvoříte a pak vyladíte jen pomocí pokusů a omylů. Zdokumentování návrhů zásad vám také pomůže při komunikaci, kontrolách zásad, řešení potíží a dalším ladění.

Pokud s Microsoft Purview DLP teprve začínáte, je užitečné si před zahájením návrhu zásad projít tyto články:

Tip

Pokud nejste zákazníkem E5, využijte 90denní zkušební verzi řešení Microsoft Purview a zjistěte, jak můžou další funkce purview pomoci vaší organizaci spravovat požadavky na zabezpečení dat a dodržování předpisů. Začněte hned v centru zkušebních verzí Portál dodržování předpisů Microsoft Purview. Přečtěte si podrobnosti o podmínkách registrace a zkušebních verzích.

Než začnete

Pokud s Microsoft Purview DLP začínáte, tady je seznam základních článků, které budete při implementaci ochrany před únikem informací potřebovat:

1. Jednotky pro správu (Preview)
2. Informace o Ochrana před únikem informací Microsoft Purview – tento článek vás seznámí s disciplínou ochrany před únikem informací a implementací ochrany před únikem informací od Microsoftu
3. Plánování ochrany před únikem informací (DLP) – když projdete tento článek, budete:
   1. Identifikace zúčastněných stran
   2. Popis kategorií citlivých informací, které se mají chránit
   3. Nastavení cílů a strategie
4. Referenční informace k zásadám ochrany před únikem informací – tento článek představuje všechny komponenty zásad ochrany před únikem informací a způsob, jakým každá z nich ovlivňuje chování zásad.
5. Návrh zásad ochrany před únikem informací – tento článek vás teď provede vytvořením prohlášení o záměru zásady a jeho mapováním na konkrétní konfiguraci zásad.
6. Vytvoření a nasazení zásad ochrany před únikem informací – Tento článek obsahuje některé běžné scénáře záměrů zásad, které namapujete na možnosti konfigurace, a pak vás provede konfigurací těchto možností.

Přehled návrhu zásad

Návrh zásad většinou spočívá v jasném definování obchodních potřeb, jejich zdokumentování v prohlášení o záměru zásad a následném mapování těchto potřeb na konfiguraci zásad. Rozhodnutí, která jste udělali ve fázi plánování, použijete k tomu, abyste informovali některá rozhodnutí o návrhu zásad.

Definování záměru pro zásadu

Měli byste být schopni shrnout obchodní záměr pro každou zásadu, kterou máte, v jednom prohlášení. Vývoj tohoto prohlášení povede k konverzacím ve vaší organizaci, a pokud je toto prohlášení plně vymyšlení, přímo propojuje zásady s obchodním účelem a poskytuje plán návrhu zásad. Kroky v článku Plánování ochrany před únikem informací vám pomůžou začít s prohlášením o záměru zásad.

V přehledu konfigurace zásad ochrany před únikem informací si pamatujte, že všechny zásady ochrany před únikem informací vyžadují, abyste:

• Zvolte, co chcete monitorovat.
• Zvolte rozsah zásad (Preview)
• Zvolte, kde chcete monitorovat.
• Zvolte podmínky, které se musí shodovat, aby se zásady použily na položku.
• Zvolte akci, která se má provést při splnění podmínek zásad.

Tady je například fiktivní první koncept prohlášení o záměru, který poskytuje odpovědi na všechny čtyři otázky:

"Jsme organizace se sídlem v USA a potřebujeme detekovat dokumenty Office, které obsahují citlivé informace o zdravotní péči, na které se vztahuje HIPPA a které jsou uložené na OneDrivu nebo SharePointu, chránit před sdílením informací ve zprávách chatu a kanálu Teams a omezit jejich sdílení s neoprávněnými třetími stranami."

Při vývoji návrhu zásad budete pravděpodobně příkaz upravovat a rozšiřovat.

Mapování obchodních potřeb na konfiguraci zásad

Pojďme si ukázkový koncept příkazu rozepsat a namapovat ho na body konfigurace zásad ochrany před únikem informací. Tento příklad předpokládá, že používáte neomezený účet správce ochrany před únikem informací a že nejsou nakonfigurované jednotky pro správu.

Důležité

Než začnete, ujistěte se, že rozumíte rozdílu mezi neomezeným správcem a jednotkami pro správu s omezeným přístupem (Preview).

Prohlášení	Zodpovězená otázka týkající se konfigurace a mapování konfigurace
"Jsme organizace se sídlem v USA a potřebujeme detekovat dokumenty Office, které obsahují citlivé informace o zdravotní péči, na které se vztahuje HIPAA...	- Co monitorovat: Dokumenty Office, použití šablony - HIPAA (Health Insurance Act)pro shodu: (předkonfigurované, ale upravitelné) – položka obsahuje číslo AMERICKÉho SSN a Úřadu pro prosazování drog (DEA), mezinárodní klasifikaci nemocí (ICD-9-CM), mezinárodní klasifikaci nemocí (ICD-10-CM), obsah se sdílí s lidmi mimo moji organizaci – vede konverzace k objasnění prahové hodnoty aktivace pro detekci, jako je úrovně spolehlivosti a počet instancí (označované jako tolerance úniku).
... které jsou uložené na OneDrivu nebo SharePointu a chrání před sdílením informací v chatu a kanálech Teams...	- Kde monitorovat: Určení polohy zahrnutím nebo vyloučením webů OneDrivu a SharePointu a účtů chatu, kanálů nebo distribučních skupin Teams Rozsah zásad (Preview): Úplný adresář
... a všem uživatelům zakázat sdílení těchto položek s neoprávněnými třetími stranami."	- Akce, které je třeba provést: Přidáteomezení přístupu nebo šifrování obsahu v umístěních Microsoft 365 – vede k konverzaci o tom, jaké akce se mají provést při aktivaci zásad, včetně ochranných akcí, jako jsou omezení sdílení, akce pro zvýšení povědomí, jako jsou oznámení a upozornění, a akcí posílení oprávnění uživatelů, jako je povolení přepsání blokující akce uživatele.

Tento příklad nepokrývá všechny body konfigurace zásad ochrany před únikem informací, ale je potřeba je rozbalit. Při vývoji vlastních záměrů zásad ochrany před únikem informací by vás to ale mělo přimět přemýšlet správným směrem.

Důležité

Mějte na paměti, že umístění, která vyberete, má vliv na to, jestli můžete použít typy citlivých informací, popisky citlivosti a popisky uchovávání informací a také dostupné akce. Viz Referenční informace k zásadám ochrany před únikem informací.

Návrh komplexního pravidla

Výše uvedený obsah HIPPA na SharePointu a OneDrivu je jednoduchým příkladem zásad ochrany před únikem informací. Tvůrce pravidel ochrany před únikem informací podporuje logickou logiku (AND, OR, NOT) a vnořené skupiny.

Důležité

• Všechny existující výjimky jsou ve vnořené skupině uvnitř podmínek nahrazeny podmínkou NOT.
• Abyste mohli používat více operátorů, jak je znázorněno ve videu, musíte vytvořit skupiny.

Důležité

Pokud akce v desktopových klientských aplikacích Office (Word, Outlook, Excel a PowerPoint) odpovídá zásadám, které používají složité podmínky, zobrazí se uživateli jenom tipy na zásady pro pravidla, která používají podmínku Obsah obsahuje citlivé informace .

Tady je video, které ukazuje, jak byste namapovat dvě složitá prohlášení o záměrech zásad na zásady v tvůrci pravidel.

• Příklad 1: Musíme blokovat e-maily všem příjemcům, kteří obsahují čísla platebních karet, NEBO u kterých je použitý popisek citlivosti "vysoce důvěrné", ale NEblokovat e-mail, pokud je odeslán od někoho z finančního týmu adele.vance@contoso.com

• Příklad 2 Contoso musí blokovat všechny e-maily, které obsahují soubor chráněný heslem nebo příponu souboru zip dokumentu (zip nebo 7z), ale NEblokovat e-mail, pokud je příjemce ve contoso.com doméně nebo fabrikam.com doméně, NEBO je odesílatel členem skupiny Contoso HR.

Důležité

• Použití podmínky NOT ve vnořené skupině nahrazuje funkci Výjimky .
• Abyste mohli používat více operátorů, jak je znázorněno ve videu, musíte vytvořit skupiny.

Důležité

Pokud akce v desktopových klientských aplikacích Office (Word, Outlook, Excel a PowerPoint) odpovídá zásadám, které používají složité podmínky, zobrazí se uživateli jenom tipy na zásady pro pravidla, která používají podmínku Obsah obsahuje citlivé informace .

Proces návrhu zásad

1. Dokončete kroky v tématu Plánování ochrany před únikem informací (DLP) – když projdete tento článek, budete:

   1. Identifikace zúčastněných stran
   2. Popis kategorií citlivých informací, které se mají chránit
   3. Nastavení cílů a strategie
   4. Definování plánu nasazení zásad

2. Seznamte se s referenčními informacemi k zásadám ochrany před únikem informací , abyste porozuměli všem komponentám zásad ochrany před únikem informací a jejich vlivu na chování zásad.

3. Seznamte se s tím , co šablony zásad ochrany před únikem informací obsahují.

4. Spolu s klíčovými účastníky vytvořte prohlášení o záměru zásad. Podívejte se na příklad výše v tomto článku.

5. Určete, jak tato zásada zapadá do vaší celkové strategie zásad ochrany před únikem informací.

Důležité

Zásady se po vytvoření nedají přejmenovat. Pokud musíte zásadu přejmenovat, budete muset vytvořit novou s požadovaným názvem a vyřadit starou. Proto se rozhodněte o struktuře pojmenování, kterou teď budou používat všechny vaše zásady.

6. Namapujte položky v prohlášení o záměru zásad na možnosti konfigurace.

7. Rozhodněte se, ze které šablony zásad začnete, předdefinované nebo vlastní.

8. Před vytvořením zásady si projděte šablonu a sestavte všechny potřebné informace. Je pravděpodobné, že zjistíte, že existují některé body konfigurace, které nejsou v prohlášení o záměru zásad zahrnuty. To je OK. Zpět zúčastněným stranám, aby požadavky na chybějící body konfigurace vyžehlily.

9. Zdokumentujte konfiguraci všech nastavení zásad a zkontrolujte je se zúčastněnými stranami. Můžete znovu použít mapování záměru zásad na body konfigurace, které je teď plně zmasastované.

10. Vytvořte koncept zásady a vraťte se k plánu nasazení zásad .

Viz taky

• Informace o ochraně před únikem informací
• Plánování ochrany před únikem informací (DLP)
• Referenční informace k zásadám ochrany před únikem informací
• Referenční informace k upozornění na možný únik citlivých informací u ochrany před únikem informací
• Vytvoření a nasazení zásad ochrany před únikem informací