Поделиться через

Политики чрезмерного раскрытия данных в управлении рисками конфиденциальности

  • Статья

Ваша организация может хранить содержимое на различных уровнях доступа, включая общедоступные и другие ограниченные. Политики чрезмерного воздействия данных в Microsoft Priva Privacy Risk Management помогают обнаруживать и обрабатывать ситуации, в которых данные, хранящиеся в вашей организации, недостаточно защищены. Например, если доступ к внутреннему сайту открыт для слишком большого числа пользователей или параметры разрешений не были сохранены, персональные данные, хранящиеся на этом сайте, могут быть уязвимы для нарушения безопасности. Политики передержки данных могут оценивать данные на наличие этих рисков и оповещать вас о потенциальных проблемах.

При обнаружении соответствия политике вы можете отправлять пользователям уведомления по электронной почте, которые включают варианты исправления для устранения проблем. Для переэкспонирования данных они включают в себя создание элементов контента частными, уведомление владельцев содержимого или добавление тегов к элементам для дальнейшей проверки.

Процесс настройки политики упрощает настройку условий политики. Вы имеете полный контроль над временем оповещений и частотой сообщений электронной почты, которые позволяют привлечь внимание пользователей к безопасной обработке данных.

Существует два способа создания политики: из шаблона, который является нашим быстрым готовым вариантом с параметрами по умолчанию; или пользовательский параметр, который представляет собой интерактивный процесс настройки условий, оповещений и уведомлений.

Быстрая настройка: использование шаблона с параметрами по умолчанию

Политика передержки данных по умолчанию оценивает персональные данные на всех трех уровнях доступа: общедоступном, внешнем и внутреннем.

Чтобы создать политику передачи данных по умолчанию, выполните следующие действия.

  1. Войдите на один из следующих порталов, используя учетные данные для учетной записи администратора в организации Microsoft 365:

  2. Перейдите к решению по управлению рисками конфиденциальности и выберите страницу Политики .

  3. Выберите Создать политику.

  4. В поле Передержка данных выберите Создать.

  5. Всплывающий элемент содержит сведения о политике. Выберите Просмотреть параметры , чтобы отобразить параметры по умолчанию. Вы можете изменить параметры отсюда, что позволит вам перейти к интерактивному процессу, описанного ниже. Чтобы продолжить создание политики с помощью параметров по умолчанию, введите описательное имя и выберите Создать политику.

Ваша политика будет создана, и вы найдете ее в списке на странице "Политики ". Он начинается в тестовом режиме, чтобы вы могли отслеживать, как он работает, прежде чем включать.

Параметры политики избыточного доступа к данным по умолчанию

Политика передержки данных, созданная на основе шаблона, обнаружит:

  • Когда пользователь предоставляет слишком широкий доступ к элементам, содержащим персональные данные, которые хранятся в OneDrive или SharePoint вашей организации. Например, политика обнаруживает общий доступ к персональным данным следующими способами:
    • Через ссылку, доступ к которому может получить любой общедоступный
    • Через ссылку или из-за разрешений, которые позволяют всем в организации получить доступ
    • Предоставление прав доступа внешним пользователям или гостям к файлам OneDrive или SharePoint
  • Типы данных на основе следующих групп классификации:
    • Общий регламент ЕС по защите данных (GDPR)
    • Личная информация в США
    • Патриотический акт США
    • Закон об уведомлении штата США об уведомлении о нарушении
    • Закон Gramm-Leach-Bliley (GLBA)
    • Закон о переносимости и подотчетности медицинского страхования США (HIPAA)
    • Закон о медицинских записях Австралии (HRIP)
    • Закон о конфиденциальности Австралии
    • Личные сведения о Японии
    • Защита персональных данных в Японии

Пользовательская настройка: процесс создания интерактивной политики

Параметр настраиваемой политики — это интерактивный процесс создания новой политики путем задания условий, определения серьезности и частоты оповещений, а также включения уведомлений по электронной почте пользователей.

Важно!

Политики избыточного доступа к данным можно настроить для охвата как microsoft 365, так и многооблачных расположений (предварительная версия). Однако некоторые параметры политики применяются только к расположениям Microsoft 365. Сведения о выборе многооблачныхрасположений и параметров политики, зависящих от расположения.

Выполните следующие действия, чтобы создать новую политику чрезмерного воздействия данных:

  1. Войдите на один из следующих порталов, используя учетные данные для учетной записи администратора в организации Microsoft 365:

  2. Перейдите к решению по управлению рисками конфиденциальности и выберите страницу Политики .

  3. Выберите Создать политику.

  4. В поле Настраиваемый выберите Создать.

  5. На странице Имя и тип выберите шаблон политики переэкспонирования данных . Введите имя политики, чтобы легко определить ее из списка на странице Политики , а затем введите необязательное описание, а затем нажмите кнопку Далее.

  6. На странице Расположения выберите все расположения данных, которые будет охватывать политика. Сведения о выборе расположений.

    • Расположения Microsoft 365: доступны сайты SharePoint и учетные записи OneDrive. В SharePoint можно назначить все сайты или определенные сайты. Если выбрать Конкретные сайты SharePoint, можно ввести URL-адрес сайта в поле URL-адрес. Вы также можете выбрать +Выбрать сайты, а затем на всплывающей панели установите флажок слева от имени сайта, которое вы хотите выбрать.

    • Многооблачные расположения (предварительная версия) — служба хранилища Azure, Azure SQL Server и AWS S3. Сведения о выборе многооблачных расположений при создании политики.

    Завершив выбор расположений, нажмите кнопку Далее.

  7. На странице Данные для мониторинга выберите тип персональных данных, которые требуется отслеживать в политике. Существует два варианта:

    • Группы классификации. Группы типов конфиденциальной информации, которые используются для обнаружения содержимого, связанного с персональными данными или определенными правилами. При выборе этого параметра необходимо выбрать +Добавить группы классификации , чтобы выбрать одну или несколько групп из указанного списка.

    • Типы конфиденциальной информации или обучаемые классификаторы. Выберите этот параметр, а затем в раскрывающемся меню Добавить выберите Типы конфиденциальной информации или Классификаторы с возможностью обучения и выберите из списка с возможностью поиска. Вы можете выбрать типы данных в обеих категориях и использовать построитель условий для определения связи AND или OR между типами.

    Дополнительные сведения о выборе данных для мониторинга. Завершив выбор данных для мониторинга, нажмите кнопку Далее.

  8. На странице Пользователи и группы выберите пользователей в организации, к которым будет применяться политика. Вы можете выбрать всех отдельных пользователей и все группы рассылки Office 365 или выбрать определенных пользователей и группы. Дополнительные сведения о выборе пользователей и групп. По завершении нажмите кнопку Далее.

  9. На странице Условия выберите тип условия чрезмерного воздействия данных, обнаруженные политикой:

    • Общедоступный. Любой пользователь со ссылкой может получить доступ к содержимому.
    • Внешний: доступ имеют определенные пользователи за пределами организации.
    • Внутренний. Доступ имеют все пользователи в вашей организации.

    Выбор нескольких уровней доступа расширяет область данных и может привести к значительно большему количеству оповещений и уведомлений пользователей.

    Установите флажок рядом с выбранным вариантом, а затем нажмите кнопку Далее.

  10. На странице Результаты решите, следует ли уведомлять пользователей, когда они соответствуют условиям, заданным политикой. Если установить флажок уведомления по электронной почте, пользователи получают уведомление по электронной почте, когда их действия соответствуют условиям политики. Сообщения электронной почты содержат инструкции по выполнению действий по исправлению непосредственно из сообщения электронной почты, а также ссылку на обучение конфиденциальности. Вы назначите частоту сообщений электронной почты и URL-адрес для предпочитаемого обучения конфиденциальности.

    Дополнительные сведения о настройке уведомлений пользователей. Завершив выбор результатов, нажмите кнопку Далее.

  11. На странице Оповещения используйте переключатель, чтобы включить оповещения, которые будут отображаться администратором на странице Оповещения в разделе Политики управления рисками конфиденциальности. Вы указываете частоту создания оповещений, пороговые значения для совпадений перед созданием оповещений и степень серьезности оповещений. Дополнительные сведения о настройке оповещений для соответствия политике. По завершении нажмите кнопку Далее.

  12. На странице Режим выберите режим для включения политики: сначала протестируйте ее или включите. В тестовом режиме оповещения или уведомления не отправляются. Узнайте больше о рекомендациях и том, что следует проанализировать при тестировании политики. По завершении нажмите кнопку Далее.

  13. На странице Готово проверьте выбранные варианты. Выберите Изменить под любым из разделов, чтобы настроить параметры. Если вы удовлетворены параметрами политики, нажмите кнопку Отправить , чтобы создать политику.

Через несколько секунд вы увидите подтверждение создания политики. Выберите Готово на странице подтверждения, чтобы открыть страницу Политики , где в верхней части таблицы появится новая политика.

Дальнейшие действия

Дополнительные сведения о том, как изменять политики и управлять ими, см. в разделе Политики по управлению рисками конфиденциальности .

Отказ от ответственности по юридическим вопросам Microsoft Priva