Dijeli putem

Uspostavljanje DLP strategije

  • Članak

Pravilnici o sprječavanju gubitka podataka (DLP) djeluju kao zaštitne ograde kako bi spriječile korisnike od nenamjernog izlaganja podataka tvrtke ili ustanove i zaštitile informacijsku sigurnost klijenta. DLP pravilnici nameću pravila o tome koji su poveznici omogućeni za svako okruženje i koji se poveznici mogu zajedno koristiti. Poveznici su klasificirani kao samo poslovni podaci, poslovni podaci nisu dopušteni ili blokirano. Poveznik u grupi samo za poslovne podatke može se koristiti samo s ostalim poveznicima iz te grupe u istoj aplikaciji ili tijeku. Dodatne informacije: Administriranje Microsoft Power Platform: Pravilnici o sprječavanju gubitka podataka

Uspostavljanje pravila DLP-a ide ruku pod ruku s vašom strategijom okruženja.

Brze činjenice

  • Pravila za sprječavanje gubitka podataka (DLP) djeluju kao zaštitne ograde kako bi se spriječilo da korisnici nenamjerno izlože podatke.
  • DLP pravilnici mogu se obuhvatiti na razini okruženja i na razini klijenta, nudeći fleksibilnost u izradi pravilnika koji su razumni i ne blokiraju visoku produktivnost.
  • Pravila DLP-a okruženja ne mogu nadjačati pravila DLP-a na razini klijenta.
  • Ako je za jedno okruženje konfigurirano više pravilnika, najrestriktivniji se pravilnik primjenjuje na kombinaciju poveznika.
  • Prema zadanim postavkama u klijentu nisu implementirani DLP pravilnici.
  • Pravilnici se ne mogu primijeniti na razini korisnika, samo na razini okruženja ili klijenta.
  • DLP pravilnici uzimaju u obzir poveznike, ali ne kontroliraju veze stvorene pomoću poveznika – drugim riječima, DLP pravilnici ne uzimaju u obzir koristite li poveznik za povezivanje s razvojnim, testnim ili radnim okruženjem.
  • PowerShell i administratorski poveznici mogu upravljati pravilnicima.
  • Korisnici resursa u okruženjima mogu pregledavati pravilnike koji je primjenjuju.

Klasifikacija poveznika

Poslovne i neposlovne klasifikacije povlače granice oko toga koji se poveznici mogu zajedno koristiti u određenoj aplikaciji ili tijeku. Poveznici se mogu klasificirati u sljedeće grupe pomoću DLP pravilnika:

  • Posao: Određena Power App ili Power Automate resurs može koristiti jedan ili više poveznika iz poslovne grupe. Ako Power App ili Power Automate resurs koristi poslovni poveznik, ne može koristiti nijedan neposlovni poveznik.
  • Neposlovno: Određena Power App ili Power Automate resurs može koristiti jedan ili više poveznika iz neposlovne grupe. Ako Power App ili Power Automate resurs koristi neposlovni poveznik, ne može koristiti nijedan poslovni poveznik.
  • Blokirano: Nijedna Power App ili resurs ne Power Automate može koristiti poveznik iz blokirane grupe. MicrosoftPremium konektori u potpunom vlasništvu i konektori trećih strana (standardni i premium) mogu se blokirati. MicrosoftStandardni konektori i konektori Common Data Service u potpunom vlasništvu ne mogu se blokirati.

Nazivi „poslovno” i „neposlovno” nemaju nikakvo posebno značenje, to su jednostavno oznake. Važno je grupiranje samih poveznika, a ne naziv grupe u koju su smješteni.

Više informacija: Administriranje Microsoft Power Platform: Klasifikacija poveznika

Strategije za izradu pravilnika DLP-a

Kao administrator koji preuzima okruženje ili počinje s podrškom najprije biste trebali postaviti upotrebu pravilnika DLP-a za Power Apps i Power Automate. Nakon što je osnovni skup pravila uspostavljen, možete se usredotočiti na rukovanje iznimkama i stvaranje ciljanih DLP pravila koja implementiraju te iznimke nakon odobrenja.

Preporučujemo sljedeću početnu točku za DLP pravilnike za zajednička okruženja produktivnosti korisnika i tima:

  • Stvorite pravilnik koji obuhvaća sva okruženja, osim odabranih (na primjer, vaša radna okruženja), a neka dostupni poveznici u ovom pravilniku budu ograničeni na Office 365 i ostale standardne mikrousluge te blokiraju pristup svemu ostalome. Ova se pravila primjenjuju na zadano okruženje i na okruženja za obuku koja imate za pokretanje internih događaja obuke. Osim toga, ova se pravila primjenjuju i na sva nova okruženja koja su stvorena.
  • Stvorite odgovarajuća i popustljivija pravila DLP-a za zajednička okruženja produktivnosti korisnika i timova. Ti bi pravilnici proizvođačima mogli omogućiti korištenje poveznika poput usluga Azure uz usluge Office 365. Poveznici dostupni u tim okruženjima ovise o vašoj tvrtki ili ustanovi i mjestu gdje vaša tvrtka ili ustanova pohranjuje poslovne podatke.

Preporučujemo sljedeću početnu točku za DLP pravilnike za radna okruženja (poslovna jedinica i projekt):

  • Isključite ta okruženja iz zajedničkih pravilnika o produktivnosti korisnika i tima.
  • Surađujte s poslovnom jedinicom i projektom kako biste utvrdili koje će poveznike i kombinacije poveznika koristiti i stvorite pravilnik o klijentu koji uključuje samo odabrana okruženja.
  • Administratori okruženja tih okruženja mogu koristiti pravila okruženja za kategorizaciju prilagođenih poveznika samo kao poslovnih podataka, ako je potrebno.

Također preporučujemo:

  • Stvaranje minimalnog broja pravilnika po okruženju. Ne postoji stroga hijerarhija između pravilnika klijenta i okruženja, a pri dizajnu i izvođenju sva pravila koja su primjenjiva na okruženje u kojem se nalazi aplikacija ili tijek procjenjuju se zajedno kako bi se odlučilo je li resurs usklađen ili krši pravila DLP-a. Više DLP pravila primijenjenih na jedno okruženje fragmentirat će vaš prostor konektora na komplicirane načine i mogu otežati razumijevanje problema s kojima se suočavaju vaši proizvođači.
  • Središnje upravljanje DLP pravilnicima pomoću pravilnika na razini klijenta i korištenje pravilnika o okruženju samo za kategorizaciju prilagođenih poveznika ili u iznimnim slučajevima.

S osnovnom strategijom planirajte kako postupati s iznimkama. Možete učiniti sljedeće:

  • Odbijanje zahtjeva.
  • Dodavanje poveznika u zadani pravilnik DLP-a.
  • Dodajte okruženja na popis Sve osim za globalni zadani DLP i stvorite DLP pravilnik specifičan za slučaj s uključenom iznimkom.

Primjer: DLP strategija tvrtke Contoso

Pogledajmo kako je Contoso Corporation, naš primjer tvrtke ili ustanove za ove smjernice, postavila svoje DLP pravilnike. Postavljanje njihovih DLP politika usko je povezano s njihovom strategijom zaštite okoliša.

Administratori tvrtke Contoso žele podržati scenarije produktivnosti korisnika i tima i poslovne aplikacije, uz upravljanje aktivnostima Centra izvrsnosti (CoE).

Okruženje i strategija DLP-a koju su ovdje primijenili administratori tvrtke Contoso sastoje se od:

  1. Restriktivni pravilnik DLP-a na razini klijenta koji se primjenjuje na sva okruženja u klijentu osim nekih specifičnih okruženja koja su isključena iz opsega pravilnika. Administratori namjeravaju ograničiti dostupne poveznike u ovom pravilniku na Office 365 i ostale standardne mikro-usluge blokiranjem pristupa svemu ostalome. Ova se pravila primjenjuju i na zadano okruženje.

  2. Administratori tvrtke Contoso stvorili su još jedno zajedničko okruženje za korisnike za stvaranje aplikacija za slučajeve upotrebe produktivnosti korisnika i timova. Ovo okruženje ima pridruženi DLP pravilnik na razini klijenta koji nije tako nesklon riziku kao zadani pravilnik i proizvođačima omogućuje korištenje poveznika poput usluga Azure uz usluge Office 365. Budući da ovo okruženje nije zadano, administratori mogu aktivno kontrolirati popis autor okruženja za njega. Ovo je slojeviti pristup zajedničkom okruženju produktivnosti korisnika i tima i pridruženim DLP postavkama.

  3. Osim toga, kako bi poslovne jedinice stvorile poslovne aplikacije, stvorile su razvojna, testna i proizvodna okruženja za svoje porezne i revizijske podružnice u različitim zemljama/regijama. Pristupom proizvođača okruženja ovim okruženjima pažljivo se upravlja, a odgovarajući poveznici prve i treće strane dostupni su pomoću DLP pravilnika na razini klijenta u dogovoru sa zainteresiranim stranama poslovne jedinice.

  4. Slično tome, razvojna/testna/radna okruženja stvorena su za središnje IT korištenje za razvoj i uvođenje važnih ili ispravnih aplikacija. Ti scenariji poslovnih aplikacija obično imaju dobro definiran skup poveznika koji moraju biti dostupni proizvođačima, ispitivačima i korisnicima u tim okruženjima. Pristupom tim poveznicima upravlja se pomoću namjenskog pravilnika na razini klijenta.

  5. Contoso ima i okruženje posebne namjene posvećeno aktivnostima njihova Centra izvrsnosti. U Contosu je pravilnik DLP-a za okruženje posebne namjene i dalje na visokom nivou s obzirom na eksperimentalnu prirodu knjige teorijskih timova. U tom su slučaju administratori klijenta delegirali upravljanje DLP-om za ovo okruženje izravno pouzdanom administratoru okruženja tima izvrsnosti izvrsnosti i isključili ga iz škole svih pravila na razini klijenta. Ovim okruženjem upravlja samo DLP pravilnik na razini okruženja koji je prije iznimka nego pravilo u tvrtki Contoso.

Kao što se i očekivalo, sva nova okruženja stvorena u Contosu mapiraju se na izvorni pravilnik o svim okruženjima.

Ovo postavljanje DLP pravila usmjerenih na klijente ne sprječava administratore okruženja da osmisle vlastite DLP politike na razini okruženja ako žele uvesti više ograničenja ili klasificirati prilagođene poveznike.

Kako je Contoso postavio svoj pravilnik o DLP-u.

Postavljanje pravila o podacima

  1. Stvorite svoj pravilnik u Power Platform centru za administratore. Dodatne informacije: Upravljanje pravilima o podacima

  2. Koristite DLP SDK za dodavanje prilagođenih poveznika u DLP pravilnik.

Proizvođačima jasno priopćite DLP pravilnike svoje tvrtke ili ustanove

Postavite SharePoint mjesto ili wiki koje jasno navodi:

  • DLP pravilnike na razini klijenta i ključnog okruženja (na primjer, zadano okruženje, probno okruženje) nametnute u tvrtki ili ustanovi, uključujući popise poveznika klasificiranih kao poslovni, neposlovni i blokirani.
  • ID grupne e-pošte administratora kako bi proizvođači mogli uspostaviti kontakt za scenarije iznimki. Na primjer, administratori proizvođačima mogu pomoći da se vrate u sukladnost uređivanjem postojećih DLP pravilnika, premještanjem rješenja u drugo okruženje, stvaranjem novog okruženja i novog DLP pravilnika te premještanjem proizvođača i resursa u to novo okruženje.

Također jasno priopćite kreatorima strategiju okruženja svoje organizacije.