Разработка политики защиты от потери данных
По истечении времени на разработку политики перед ее реализацией вы сможете быстрее получить нужные результаты, с меньшим количеством непреднамеренных проблем, чем ее создание, а затем настройка с помощью проб и ошибок. Задокументированные схемы политик также помогут вам в обмене данными, проверках политик, устранении неполадок и дальнейшей настройке.
Если вы не знакомы с Microsoft Purview DLP, полезно проработать следующие статьи, прежде чем приступать к разработке политики:
Совет
Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.
Подготовка к работе
Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, которые вам понадобятся при реализации защиты от потери данных:
- Административные единицы
- Сведения о защите от потери данных в Microsoft Purview . Эта статья знакомит вас с дисциплиной защиты от потери данных и реализацией защиты от потери данных майкрософт.
- Планирование защиты от потери данных (DLP) — работая с этой статьей, вы:
- Справочник по политике защиты от потери данных . В этой статье рассматриваются все компоненты политики защиты от потери данных и их влияние на поведение политики.
- Разработка политики защиты от потери данных . В этой статье (которая сейчас читается) описано, как создать инструкцию о намерениях политики и сопоставить ее с определенной конфигурацией политики.
- Создание и развертывание политик защиты от потери данных . В этой статье представлены некоторые распространенные сценарии намерений политики, которые сопоставляются с параметрами конфигурации, а затем приводятся инструкции по настройке этих параметров.
- Сведения об изучении оповещений о предотвращении потери данных . В этой статье вы узнаете о жизненном цикле оповещений с момента создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.
Общие сведения о проектировании политики
Разработка политики в основном заключается в четком определении бизнес-потребностей, их документировании в заявлении о намерениях политики, а затем сопоставлении этих потребностей с конфигурацией политики. Вы используете решения, принятые на этапе планирования, для информирования о некоторых решениях по проектированию политики.
Определение намерения для политики
Вы должны иметь возможность суммировать в одном операторе бизнес-намерения для каждой политики. Разработка этого заявления ведет диалоги в вашей организации, и при его полной конкретике это заявление напрямую связывает политику с бизнес-целью и предоставляет стратегию разработки политики. Инструкции, описанные в статье Планирование защиты от потери данных (DLP), помогут вам приступить к работе с заявлением о намерениях политики.
Помните, что, как описано в обзоре конфигурации политики защиты от потери данных, для всех политик защиты от потери данных требуется:
- Выберите, что вы хотите отслеживать
- Выберите область политики.
- Выберите, где вы хотите отслеживать .
- Выберите условия, которые должны соответствовать для применения политики к элементу.
- Выберите действие, выполняеме при выполнении условий политики.
Например, ниже приведен вымышленный первый проект заявления о намерении, в котором содержатся ответы на все пять вопросов:
"Мы — организация, базирующаяся в США, и нам нужно обнаруживать документы Office, содержащие конфиденциальные медицинские сведения, хранящиеся в OneDrive/SharePoint, и защищать от этой информации в сообщениях чатов и каналов Teams, а также запретить всем предоставлять доступ к ним неавторизованным третьим лицам".
При разработке структуры политики вы, скорее всего, измените и расширите инструкцию.
Сопоставление бизнес-потребностей с конфигурацией политики
Давайте разберем пример инструкции черновика и сопоставим его с точками конфигурации политики защиты от потери данных. В этом примере предполагается, что вы используете неограниченную учетную запись администратора защиты от потери данных и что административные единицы не настроены.
Важно!
Убедитесь, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице , прочитайте статью Административные единицы , прежде чем начинать работу.
Statement | Ответы на вопрос о конфигурации и сопоставление конфигурации |
---|---|
"Мы находимся в США, и нам нужно обнаруживать документы Office, которые содержат конфиденциальную информацию о здравоохранении, на которую распространяется HIPAA... |
-
Что отслеживать: документы Office, используйте шаблон - Закона о медицинском страховании США (HIPAA)Условия для соответствия: (предварительно настроенные, но редактируемые) - элемент содержит номер SSN и Агентства по борьбе с наркотиками США (DEA), Международная классификация заболеваний (ICD-9-CM), Международная классификация заболеваний (ICD-10-CM), содержимое предоставляется людям за пределами моей организации . Ведет беседы, чтобы уточнить пороговое значение триггера для обнаружения, например,уровни достоверности и количество экземпляров (называется допуском утечки). |
... которые хранятся в OneDrive или SharePoint и защищают от передачи этой информации в сообщениях чата и канала Teams... | - Где отслеживать: определение области расположения путем включения или исключения сайтов OneDrive и SharePoint, а также учетных записей чатов и каналов Teams или групп рассылки. Область политики (предварительная версия): полный каталог |
... и запретить всем пользователям делиться этими элементами с несанкционированными третьими лицами". |
-
Действия для выполнения. Вы добавляетеограничение доступа или шифруете содержимое в расположениях Microsoft 365. Ведет диалог о действиях, которые следует предпринять при активации политики, включая защитные действия, такие как ограничения общего доступа, действия по информированию, такие как уведомления и оповещения, и действия по расширению прав пользователей, такие как разрешить пользователям переопределения блокирующего действия. |
Этот пример не охватывает все точки конфигурации политики защиты от потери данных. его потребуется расширить. Однако он должен заставить вас думать в правильном направлении при разработке собственных заявлений о намерениях политики защиты от потери данных.
Важно!
Помните, что выбранные расположения влияют на возможность использования типов конфиденциальной информации, меток конфиденциальности и меток хранения. Выбранные расположения также влияют на доступные действия. Дополнительные сведения см. в статье Справочник по политике защиты от потери данных .
Сложное проектирование правил
Приведенное выше содержимое HIPAA в SharePoint и OneDrive является простым примером политики защиты от потери данных. Построитель правил защиты от потери данных поддерживает логическую логику (AND, OR, NOT) и вложенные группы.
Важно!
- Все существующие исключения заменяются условием NOT во вложенной группе внутри условий.
- Чтобы использовать несколько операторов, необходимо создать группы.
Важно!
Если действие в классических клиентских приложениях Office (Word, Outlook, Excel и PowerPoint) соответствует политике, которая использует сложные условия, пользователь будет видеть только подсказки политики для правил, использующих условие Содержимое содержит конфиденциальную информацию .
Пример 1. Необходимо заблокировать сообщения электронной почты всем получателям, содержащим номера кредитных карт, ИЛИ с меткой конфиденциальности, но не блокировать сообщение, если оно отправлено от кого-то из финансовой команды adele.vance@contoso.com
В примере 2 компании Contoso необходимо заблокировать все сообщения электронной почты, содержащие защищенный паролем файл или расширение zip-файла ('zip' или '7z'), но не блокировать сообщения электронной почты, если получатель находится в домене contoso.com или домене fabrikam.com или отправитель является членом группы отдела кадров Contoso.
Важно!
- Использование условия NOT во вложенной группе заменяет функциональные возможности исключений .
- Чтобы использовать несколько операторов, необходимо создать группы.
Важно!
Если действие в классических клиентских приложениях Office (Word, Outlook, Excel и PowerPoint) соответствует политике, которая использует сложные условия, пользователь будет видеть только советы политик для правил, использующих условие Содержимое содержит конфиденциальную информацию .
Процесс разработки политики
Выполните действия, описанные в статье Планирование защиты от потери данных (DLP). Для этого выполните следующие действия:
Ознакомьтесь со справочником по политике защиты от потери данных , чтобы понять все компоненты политики защиты от потери данных и то, как каждая из них влияет на поведение политики.
Ознакомьтесь с шаблонами политики защиты от потери данных.
Разработайте заявление о намерениях политики с ключевыми заинтересованными лицами. См. пример, приведенный выше в этой статье.
Определите, как эта политика вписывается в общую стратегию политики защиты от потери данных.
Важно!
Политики нельзя переименовать после их создания. Если необходимо переименовать политику, необходимо создать новую с нужным именем и снять с учета старую. Поэтому с самого начала определите структуру именования, которую будут использовать все политики.
Сопоставьте элементы в инструкции намерения политики с параметрами конфигурации.
Определите, с какого шаблона политики вы будете начинать: с предопределенного или настраиваемого.
Перед созданием политики просмотрите шаблон и соберите все необходимые сведения. Скорее всего, вы обнаружите, что есть некоторые точки конфигурации, которые не охватываются инструкцией о намерениях политики. Порядок. Вернитесь к заинтересованным лицам, чтобы сгладить требования для всех отсутствующих точек конфигурации.
Задокументируйте конфигурацию всех параметров политики и просмотрите их с заинтересованными лицами. Вы можете повторно использовать сопоставление инструкции намерения политики с точками конфигурации, которые теперь полностью конкретичены.
Создайте черновик политики и вернитесь к плану развертывания политики .