Dijeli putem

Uspostavljanje DLP strategije

  • Članak

Pravilnici o sprječavanju gubitka podataka (DLP) djeluju kao zaštitne ograde kako bi spriječile korisnike od nenamjernog izlaganja podataka tvrtke ili ustanove i zaštitile informacijsku sigurnost klijenta. DLP pravilnici nameću pravila o tome koji su poveznici omogućeni za svako okruženje i koji se poveznici mogu zajedno koristiti. Poveznici su klasificirani kao samo poslovni podaci, poslovni podaci nisu dopušteni ili blokirano. Poveznik u grupi samo za poslovne podatke može se koristiti samo s ostalim poveznicima iz te grupe u istoj aplikaciji ili tijeku. Dodatne informacije: Administriranje Microsoft Power Platform: Pravilnici o sprječavanju gubitka podataka

Uspostavljanje DLP pravilnika ići će ruku pod ruku s vašom strategijom okruženja.

Brze činjenice

  • Pravilnici Sprječavanje gubitka podataka (DLP) djeluju kao zaštitne ograde kako bi pomogli spriječiti korisnike da nenamjerno izlažu podatke.
  • DLP pravilnici mogu se obuhvatiti na razini okruženja i na razini klijenta, nudeći fleksibilnost u izradi pravilnika koji su razumni i ne blokiraju visoku produktivnost.
  • DLP politike okruženja ne mogu zamijeniti DLP politike klijenta.
  • Ako je za jedno okruženje konfigurirano više pravilnika, najrestriktivniji se pravilnik primjenjuje na kombinaciju poveznika.
  • Prema zadanim postavkama u klijentu nisu implementirani DLP pravilnici.
  • Pravilnici se ne mogu primijeniti na razini korisnika, samo na razini okruženja ili klijenta.
  • DLP pravilnici uzimaju u obzir poveznike, ali ne kontroliraju veze stvorene pomoću poveznika – drugim riječima, DLP pravilnici ne uzimaju u obzir koristite li poveznik za povezivanje s razvojnim, testnim ili radnim okruženjem.
  • PowerShell i administratorski poveznici mogu upravljati pravilnicima.
  • Korisnici resursa u okruženjima mogu pregledavati pravilnike koji je primjenjuju.

Klasifikacija poveznika

Poslovne i neposlovne klasifikacije povlače granice oko toga koji se poveznici mogu zajedno koristiti u određenoj aplikaciji ili tijeku. Poveznici se mogu klasificirati u sljedeće grupe pomoću DLP pravilnika:

  • Poslovno: Zadani resurs Power App ili Power Automate može koristiti jedan ili više poveznika iz poslovne grupe. Ako resurs Power App ili Power Automate koristi poslovni poveznik, ne može koristiti bilo koji neposlovni poveznik.
  • Neposlovno: Zadani resurs Power App ili Power Automate može koristiti jedan ili više poveznika iz neposlovne grupe. Ako resurs Power App ili Power Automate koristi neposlovni poveznik, ne može koristiti bilo koji poslovni poveznik.
  • Blokirano: Nijedan resurs Power App ili Power Automate ne može koristiti poveznik iz blokirane grupe. Mogu se blokirati svi premium poveznici u vlasništvu Microsofta i poveznici treće strane (standardni i premium). Ne mogu se blokirati svi standardni poveznici u vlasništvu Microsofta i poveznici Common Data Service.

Nazivi „poslovno” i „neposlovno” nemaju nikakvo posebno značenje, to su jednostavno oznake. Važno je grupiranje samih poveznika, a ne naziv grupe u koju su smješteni.

Više informacija: Administriranje Microsoft Power Platform: Klasifikacija poveznika

Strategije za izradu pravilnika DLP-a

Kao administrator koji preuzima okruženje ili počinje s podrškom najprije biste trebali postaviti upotrebu pravilnika DLP-a za Power Apps i Power Automate. To osigurava uspostavu osnovnog skupa pravilnika da biste se zatim mogli posvetiti obradi iznimki i stvaranju ciljanih pravilnika DLP-a koja primjenjuju te iznimke nakon što se odobre.

Preporučujemo sljedeću početnu točku za DLP pravilnike za zajednička okruženja produktivnosti korisnika i tima:

  • Stvorite pravilnik koji obuhvaća sva okruženja, osim odabranih (na primjer, vaša radna okruženja), a neka dostupni poveznici u ovom pravilniku budu ograničeni na Office 365 i ostale standardne mikrousluge te blokiraju pristup svemu ostalome. Ovaj će se pravilnik primjenjivati na zadano okruženje i na okruženja za obuku koja imate za vođenje internih događaja obuke. Osim toga, ovaj će se pravilnik primjenjivati i na sva nova okruženja koja će se stvoriti.
  • Stvorite odgovarajuće DLP pravilnike koji više dopuštaju za svoja zajednička okruženja produktivnosti korisnika i tima. Ti bi pravilnici proizvođačima mogli omogućiti korištenje poveznika poput usluga Azure uz usluge Office 365. Poveznici dostupni u tim okruženjima ovisit će o vašoj tvrtki ilil ustanovi i o tome gdje vaša tvrtka ili ustanova pohranjuje poslovne podatke.

Preporučujemo sljedeću početnu točku za DLP pravilnike za radna okruženja (poslovna jedinica i projekt):

  • Isključite ta okruženja iz zajedničkih pravilnika o produktivnosti korisnika i tima.
  • Surađujte s poslovnom jedinicom i projektom kako biste utvrdili koje će poveznike i kombinacije poveznika koristiti i stvorite pravilnik o klijentu koji uključuje samo odabrana okruženja.
  • Administratori okruženja tih okruženja mogu koristiti pravilnike o okruženju za kategorizaciju prilagođenih poveznika samo kao poslovnih podataka, ako je potrebno.

Uz navedeno preporučujemo i:

  • Stvaranje minimalnog broja pravilnika po okruženju. Ne postoji stroga hijerarhija između pravilnika o klijentu i okruženju, a tijekom dizajniranja i vremena izvođenja, svi pravilnici koji su primjenjivi na okruženje u kojem se nalazi aplikacija ili tijek procjenjuju se zajedno kako bi se odlučilo je li resurs sukladan ili krši DLP pravilnike. Višestruki DLP pravilnici koji se primjenjuju na jedno okruženje fragmentirat će prostor poveznika na komplicirane načine i možda će otežati razumijevanje problema s kojima se suočavaju proizvođači.
  • Središnje upravljanje DLP pravilnicima pomoću pravilnika na razini klijenta i korištenje pravilnika o okruženju samo za kategorizaciju prilagođenih poveznika ili u iznimnim slučajevima.

Kada je ovo postavljeno, planirajte kako se nositi s iznimkama. Možete učiniti sljedeće:

  • Odbijanje zahtjeva.
  • Dodavanje poveznika u zadani pravilnik DLP-a.
  • Dodajte okruženja na popis Sve osim za globalni zadani DLP i stvorite DLP pravilnik specifičan za slučaj s uključenom iznimkom.

Primjer: DLP strategija tvrtke Contoso

Pogledajmo kako je Contoso Corporation, naš primjer tvrtke ili ustanove za ove smjernice, postavila svoje DLP pravilnike. Postavljanje njihovih DLP pravilnika usko je povezano s njihovom strategijom okruženja.

Administratori tvrtke Contoso žele podržati scenarije produktivnosti korisnika i tima i poslovne aplikacije, uz upravljanje aktivnostima Centra izvrsnosti (CoE).

Strategija okruženja i DLP strategija koju su administratori tvrtke Contoso ovdje primijenili sastoji se od:

  1. Ograničavajući DLP pravilnik za klijenta koji se primjenjuje na sva okruženja u klijentu, osim na neka određena okruženja koja su isključili iz opsega pravilnika. Administratori namjeravaju ograničiti dostupne poveznike u ovom pravilniku na Office 365 i ostale standardne mikro-usluge blokiranjem pristupa svemu ostalome. Ovaj će se pravilnik primjenjivati i na zadano okruženje.

  2. Administratori tvrtke Contoso stvorili su još jedno zajedničko okruženje za korisnike za stvaranje aplikacija za slučajeve korištenja produktivnosti korisnika i tima. Ovo okruženje ima pridruženi DLP pravilnik na razini klijenta koji nije tako nesklon riziku kao zadani pravilnik i proizvođačima omogućuje korištenje poveznika poput usluga Azure uz usluge Office 365. Budući je riječ o nezadanom okruženju, administratori za njega mogu aktivno kontrolirati popis proizvođača okruženja. Ovo je slojeviti pristup zajedničkom okruženju produktivnosti korisnika i tima i pridruženim DLP postavkama.

  3. Osim toga, da bi poslovne jedinice stvorile poslovne aplikacije, stvorile su razvojna, testna i proizvodna okruženja za svoje porezne i revizijske podružnice u različitim zemljama/regijama. Pristupom proizvođača okruženja ovim okruženjima pažljivo se upravlja, a odgovarajući poveznici prve i treće strane dostupni su pomoću DLP pravilnika na razini klijenta u dogovoru sa zainteresiranim stranama poslovne jedinice.

  4. Slično tome, razvojna/testna/radna okruženja stvorena su za središnje IT korištenje za razvoj i uvođenje važnih ili ispravnih aplikacija. Ti scenariji poslovnih aplikacija obično imaju dobro definiran skup poveznika koji moraju biti dostupni proizvođačima, ispitivačima i korisnicima u tim okruženjima. Pristupom tim poveznicima upravlja se pomoću namjenskog pravilnika na razini klijenta.

  5. Contoso ima i okruženje posebne namjene posvećeno aktivnostima njihova Centra izvrsnosti. U tvrtki Contoso DLP pravilnik za okruženje posebne namjene ostat će na visokoj razini s obzirom na eksperimentalnu prirodu knjige teorijskih timova. U ovom su slučaju administratori klijenta delegirali upravljanje DLP-om za ovo okruženje izravno povjerenom administratoru okruženja tima CoE i isključili ga iz škole svih pravilnika na razini klijenta. Ovim okruženjem upravlja samo DLP pravilnik na razini okruženja koji je prije iznimka nego pravilo u tvrtki Contoso.

Kao što se očekivalo, svako novo okruženje stvoreno u tvrtki Contoso preslikat će se na izvorni pravilnik o svim okruženjima.

Ova postavka DLP pravilnika usmjerenih na klijente ne sprječava administratore okruženja da stvore svoje vlastite DLP pravilnike na razini okruženja ako žele uvesti dodatna ograničenja ili klasificirati prilagođene poveznike.

Kako je Contoso postavio svoju DLP politiku.

Postavljanje pravila podataka

  1. Stvorite svoj pravilnik u Power Platform centru za administratore. Dodatne informacije: Upravljanje pravilima podataka

  2. Koristite DLP SDK za dodavanje prilagođenih poveznika u DLP pravilnik.

Proizvođačima jasno priopćite DLP pravilnike svoje tvrtke ili ustanove

Postavite SharePoint mjesto ili wiki koje jasno navodi:

  • DLP pravilnike na razini klijenta i ključnog okruženja (na primjer, zadano okruženje, probno okruženje) nametnute u tvrtki ili ustanovi, uključujući popise poveznika klasificiranih kao poslovni, neposlovni i blokirani.
  • ID grupne e-pošte administratora kako bi proizvođači mogli uspostaviti kontakt za scenarije iznimki. Na primjer, administratori proizvođačima mogu pomoći da se vrate u sukladnost uređivanjem postojećih DLP pravilnika, premještanjem rješenja u drugo okruženje, stvaranjem novog okruženja i novog DLP pravilnika te premještanjem proizvođača i resursa u to novo okruženje.

S proizvođačima jasno komunicirajte i strategiju okruženja svoje tvrtke ili ustanove.